Dropbox intègre les services de sécurité d'AWS pour étendre la protection de ses services de signature

Dropbox, société de stockage de fichiers et d'espaces de travail intelligents basée sur le cloud, a fait l'acquisition de la solution de signature et de stockage électroniques HelloSign en 2019. HelloSign s'est rapidement développée pour atteindre plus de 80 000 clients en 2021 et a reconnu l'importance de protéger les données d'identification personnelle (PII) et les données des cartes de paiement de ses clients. L'entreprise voulait rendre son utilisation à la fois sécurisée et hautement disponible, ce qui nécessitait de protéger ses services contre les attaques par déni de service distribué (DDoS) et autres incidents de sécurité.

Utilisant déjà Amazon Web Services (AWS) pour un grand nombre de ses besoins en matière d'infrastructure, l'entreprise a décidé d'étendre son utilisation d'AWS pour améliorer sa posture de sécurité. En six mois seulement, la posture de sécurité de Sign a été renforcée en utilisant une suite d'outils de sécurité évolutifs et personnalisés d'AWS, ce qui a permis de mettre en œuvre les bonnes pratiques, de faire gagner du temps aux développeurs, d'améliorer les délais des réponses de sécurité et d'éviter les incidents de sécurité.

Dropbox est un espace de travail intelligent qui propose des fonctionnalités de synchronisation et de partage de fichiers pour optimiser les flux de travail. Avec l'acquisition de Sign, Dropbox permet à ses clients d'envoyer, de signer et de stocker des documents en ligne sans quitter Dropbox. L'équipe de Sign a décidé de renforcer la posture de sécurité de la solution, notamment en améliorant la visibilité de la sécurité de ses applications Web et en identifiant de manière proactive les données d'identification personnelle stockées afin de déterminer où mettre en place des contrôles supplémentaires.

L'équipe de Sign était à la recherche d'une option évolutive et robuste ne nécessitant pas le transfert des données vers une solution tierce. En effet, un tel transfert risquerait de permettre à des entreprises extérieures d'accéder à des données d'identification personnelle et nécessiterait la mise en place d'un processus d'examen de sécurité complexe. L'équipe de Sign faisait déjà confiance à AWS pour son infrastructure, stockant des données chiffrées à l'aide d'Amazon Simple Storage Service (Amazon S3), un système de stockage d'objets conçu pour récupérer n'importe quel volume de données, n'importe où. Plutôt que d'adopter des services de sécurité individuels, l'équipe de Sign a mis en œuvre une suite de services de sécurité AWS pour son flux de travail interne.

La solution Amazon Macie assure le premier niveau de sécurité de Sign. Il s'agit d'un service entièrement géré de sécurité et de confidentialité des données qui utilise le machine learning et la correspondance de modèles pour identifier et protéger les données sensibles dans les compartiments Amazon S3. Amazon Macie fonctionne à grande échelle et sans transfert de données vers des solutions tierces. Pour la gestion des vulnérabilités, Sign utilise Amazon Inspector, qui contribue à améliorer la sécurité et la conformité des applications déployées sur AWS en évaluant leurs vulnérabilités et en vérifiant l'absence d'accès indésirable au réseau. « Nous utilisons les résultats d'Amazon Inspector dans le cadre de notre processus d'automatisation de la gestion des correctifs, ce qui nous permet d'économiser beaucoup de temps et de ressources lors de la mise à jour de nos logiciels et systèmes », explique Kirtika Dommeti, Senior Security Engineer de Sign. Pour renforcer encore la visibilité de la sécurité, Sign recourt à Amazon GuardDuty. Ce service de détection des menaces surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger les comptes AWS, les charges de travail et les données stockées dans Amazon S3. Pour mieux comprendre la cause racine des résultats d'Amazon GuardDuty, Sign a recours à la solution Amazon Detective. Elle utilise le machine learning, l'analyse statistique et la théorie des graphes pour créer un ensemble de données liées permettant aux utilisateurs de mener facilement des enquêtes de sécurité rapides et efficaces.

Pour surveiller sa posture de sécurité sur AWS et générer des rapports à ce sujet, Sign utilise AWS Security Hub, une solution qui regroupe toutes ses résultats d'enquêtes de sécurité et effectue des vérifications des bonnes pratiques de sécurité à l'échelle de tout son déploiement sur AWS. Cette vue complète des alertes de sécurité et de la posture de sécurité contribue à garantir la conformité. Par exemple, Sign utilise les fonctionnalités d'Amazon Macie pour détecter les données PII et relatives aux cartes de paiement, tandis qu'AWS Security Hub effectue des contrôles de sécurité exhaustifs afin de répondre aux critères de référence du Center for Internet Security et aux normes PCI DSS (normes de sécurité des données du secteur des cartes de paiement).

Sign gère les résultats à l'aide d'une logique de traitement propriétaire et de services comme AWS Lambda, un service de calcul sans serveur qui permet aux utilisateurs d'exécuter du code sans provisionner ni gérer de serveurs, et Amazon DynamoDB, une base de données document et clé-valeur qui fournit des données à n'importe quelle échelle, avec une latence de moins de 10 millisecondes. Les équipes internes de Sign résolvent ensuite tous les problèmes via le flux de travail de l'entreprise en matière de gestion des tickets et de réponse aux incidents.

L'entreprise lutte contre les incidents de sécurité des applications Web grâce au pare-feu d'applications Web (AWS WAF), qui protège les applications Web ou les API contre les exploits Web et les bots courants susceptibles de compromettre la disponibilité et la sécurité, ou d'entraîner une surconsommation des ressources. À l'aide d'AWS WAF, Sign peut filtrer le trafic avant qu'il n'atteigne les serveurs Web de l'entreprise, en atténuant les incidents en 15 à 30 minutes seulement, en personnalisant les règles qui bloquent de manière proactive les modèles d'événements de sécurité courants et en appliquant des blocages géographiques ou spécifiques à des pays à des zones soumises à des sanctions américaines. L'utilisation d'AWS WAF a aidé Sign à éviter 12 attaques par DDoS et d'autres menaces de sécurité qui auraient pu provoquer l'effondrement de son système. Sign utilise également AWS Shield Advanced, un service géré de protection contre les attaques par DDoS qui permet de protéger les applications exécutées sur AWS. Pour les ressources protégées à l'aide d'AWS Shield Advanced, les clients bénéficient d'AWS WAF et d'AWS Firewall Manager, des services de gestion de la sécurité sans frais supplémentaires. « Nous pouvons désormais prendre des décisions éclairées et avoir une meilleure visibilité sur la provenance des clients », explique Kirtika Dommeti.

Le processus d'authentification de Sign a été amélioré à l'aide d'AWS Single Sign-On (AWS SSO), une solution qui facilite la gestion centralisée de l'accès à plusieurs comptes AWS et applications métier et offre aux utilisateurs un accès par authentification unique centralisé à tous leurs comptes et applications. L'automatisation des fonctionnalités de sécurité en trois mois a rationalisé le flux de travail et réduit le nombre de tâches fastidieuses. Au total, ces mesures ont amélioré l'efficacité, permettant à l'équipe de Sign d'économiser environ 120 heures de travail hebdomadaire. « Les services étant intuitifs, nous avons pu les déployer et former le nouveau personnel à les utiliser facilement », ajoute Kirtika Dommeti.

La facilité d'utilisation et d'intégration des services de sécurité AWS a permis à Sign d'atteindre un niveau de sécurité supérieur aux normes du secteur. « Grâce à AWS, nous avons pu affiner notre modèle de sécurité et automatiser les processus manuels », confie Mark Dorsi, Director of Security de Sign. « Nous avons économisé près d'un million de dollars par an en temps de triage pour les opérations de sécurité, en dotation en personnel et en coûts de licence. »