Passer au contenu principal

Sécurité dans le Cloud AWS

Présentation

La sécurité et la conformité constituent une responsabilité partagée entre AWS et le client. Ce modèle partagé permet d’alléger la charge opérationnelle du client étant donné qu’AWS exécute, gère et contrôle les composants depuis le système d’exploitation hôte jusqu’à la couche de virtualisation en passant par la sécurité physique des installations dans lesquelles le service s’exécute. Le client est responsable de la gestion du système d'exploitation invité (et notamment de l'installation des mises à jour et correctifs de sécurité), de tout autre logiciel d'application associé, ainsi que de la configuration du pare-feu du groupe de sécurité fourni par AWS. Les clients doivent examiner avec attention les services choisis comme leurs responsabilités varient en fonction des services utilisés, de l’intégration de ces services à leur environnement informatique et des lois et réglementations applicables. La nature de cette responsabilité partagée offre également une certaine flexibilité qui donne le contrôle au client autorisant le déploiement. Comme indiqué dans le graphique ci-dessous, cette différenciation de responsabilité implique la sécurité dans le cloud côté AWS et sécurité dans le cloud côté client.

Diagram illustrating the AWS shared responsibility model for security and compliance. The chart describes the division of security responsibilities between the customer (security 'in' the cloud: customer data, platform, applications, OS and firewall configuration, encryption, and traffic protection) and AWS (security 'of' the cloud: software, compute, storage, database, networking, hardware/infrastructure, regions, availability zones, edge locations).

Compréhension du modèle de responsabilité partagée d’AWS

AWS se charge de protéger l’infrastructure sur laquelle s’exécutent tous les services proposés dans le Cloud AWS. Cette infrastructure est composée du matériel, des logiciels, du réseau et des installations exécutant les services du Cloud AWS.

La responsabilité du client sera déterminée par les services du Cloud AWS qu’un client sélectionne. Ces services détermineront le niveau de configuration que le client devra effectuer dans le cadre de sa responsabilité en matière de sécurité. Par exemple, un service tel qu'Amazon Elastic Compute Cloud (Amazon EC2) est placé dans la catégorie Infrastructure as a Service (IaaS) et dans ce sens, le client doit effectuer toutes les configurations de sécurité et tâches de gestion nécessaires. Le client qui déploie une instance Amazon EC2 est responsable de la gestion du système d'exploitation invité (mises à jour et correctifs de sécurité compris), des logiciels, applications et utilitaires installés par le client sur la ou les instances, ainsi que de la configuration du pare-feu fourni par AWS (groupe de sécurité) sur chaque instance. Pour les services compacts, tels qu'Amazon S3 et Amazon DynamoDB, AWS exploite la couche d'infrastructure, le système d'exploitation et les plates-formes, tandis que les clients ont accès aux points de terminaison pour stocker et extraire des données. Le client est responsable de la gestion de ses données (y compris des options de chiffrement), du classement de ses ressources et de l’utilisation des outils IAM pour appliquer les autorisations appropriées.

Ce modèle de responsabilité partagée entre le client et AWS s’étend également aux contrôles informatiques. Tout comme la responsabilité de l’exécution de l’environnement informatique est partagée entre AWS et ses clients, la gestion, l’exécution et la vérification des contrôles informatiques le sont également. AWS peut aider à alléger la charge de travail des clients par rapport aux contrôles d’exécution en gérant les contrôles associés à l’infrastructure physique déployée dans l’environnement AWS ayant pu être gérée auparavant par le client. Comme le déploiement dans AWS est différent pour chacun des clients, ces derniers peuvent profiter du passage de la gestion de certains contrôles informatiques à AWS, ce qui crée un (nouvel) environnement de contrôle distribué. Les clients peuvent alors utiliser la documentation disponible sur le contrôle et la conformité d'AWS pour réaliser leurs procédures d'évaluation et de vérification, si besoin. Vous trouverez ci-dessous des exemples de contrôles gérés par AWS et/ou par des clients AWS.

Les contrôles qu’un client acquiert d’AWS.

  • Contrôles physiques et de l’environnement

Les contrôles qui s’appliquent à la couche de l’infrastructure et aux couches du client, mais dans des contextes ou des perspectives complètement distincts. Dans un contexte de contrôle partagé, AWS fournit les prérequis de l’infrastructure, tandis que le client doit assurer la mise en œuvre de ses propres contrôles dans le cadre de son utilisation des services AWS. En voici quelques exemples :

  • Gestion des correctifs : AWS est responsable de la correction des défauts liés à l'infrastructure, mais le client est responsable de la correction de son ou ses systèmes d'exploitation et applications invités.
  • Gestion de la configuration : AWS entretient la configuration de ses infrastructures, mais le client doit configurer ses propres systèmes d'exploitation, bases de données et applications invités.
  • Connaissance et formation : AWS forme les collaborateurs AWS, mais le client est responsable de la formation de ses propres collaborateurs.

Les contrôles étant uniquement sous la responsabilité du client en fonction de l’application déployée dans les services AWS. En voici quelques exemples :

  • Protection du service et des communications ou sécurité de zone pouvant nécessiter de la part du client un routage ou un zonage des données au sein d’environnements de sécurité particuliers.

Utilisation d’un modèle de responsabilité partagée avec AWS dans les faits

Une fois que les clients ont compris le modèle de responsabilité partagée d’AWS et comment il s’applique aux opérations du cloud, ils doivent déterminer comment le mettre en œuvre dans leur cas d’utilisation. La responsabilité des clients varie en fonction de plusieurs facteurs, par exemple : les services et les régions AWS qu’ils choisissent, l’intégration de ces services à leur environnement informatique, ou encore les lois et les réglementations applicables à leur organisation et à leur charge de travail.

Les exercices suivants peuvent aider les clients à déterminer la répartition des responsabilités en fonction de leur cas d’utilisation propre :

Sujets de la page

Démarrer

Ouvrir tout

Évaluez les services AWS dédiés à la sécurité, à l’identité et à la conformité pour comprendre comment ils peuvent être utilisés pour atteindre vos objectifs de sécurité et de conformité.

Fournissez à vos équipes d’audit interne et externe des possibilités de formation spécifique au cloud en profitant des programmes de formation de la Cloud Audit Academy.

Examinez les documents d’attestation d’audit de tiers pour déterminer les contrôles hérités et les contrôles requis à mettre encore en œuvre dans votre environnement.

Exécutez une révision Well-Architected de vos charges de travail AWS pour évaluer la mise en œuvre des pratiques exemplaires en matière de sécurité, de fiabilité et de performances.

Explorez les solutions disponibles dans le catalogue numérique AWS Marketplace contenant des milliers de listes de logiciels créés par des prestataires indépendants. Vous pouvez y rechercher, tester, acheter et déployer des logiciels s’exécutant sur AWS.

Explorez les Partenaires AWS spécialisés en sécurité qui ont une expertise technique approfondie et ont fait leurs preuves auprès de leurs clients en garantissant la réussite de chaque étape de l’adoption du cloud, depuis la migration initiale jusqu’à la gestion quotidienne continue.

Considérez l’utilisation du cadre d’adoption du Cloud AWS (AWS CAF) et des pratiques exemplaires Well-Architected pour planifier et exécuter votre transformation numérique à grande échelle.

Examinez les fonctionnalités de sécurité et les options de configuration des services AWS individuels dans les chapitres relatifs à la sécurité de la documentation sur la sécurité AWS.

 

Déterminez les exigences et objectifs de sécurité externe et interne et de conformité associées, et prenez en compte les frameworks du secteur, comme le framework de cybersécurité du NIST (CSF) et les normes ISO.