Southwest Airlines investit dans son niveau de sécurité avec AWS Security Hub

Southwest Airlines (Southwest) souhaitait investir dans son dispositif de sécurité afin de protéger les nombreuses applications intégrées qui assurent le fonctionnement sûr et fluide de la compagnie aérienne. En utilisant des éléments natifs cloud pour recueillir des informations sur la sécurité, la compagnie aérienne pouvait se concentrer sur la création d’applications innovantes plutôt que sur la gestion de l’infrastructure. « Nous voulions être en mesure de fournir de riches informations sur la sécurité à nos équipes afin qu’elles soient mieux équipées pour enquêter sur les événements de sécurité et y remédier, ainsi que pour effectuer des analyses forensiques après coup », explique Will Walsh, responsable senior de la sécurité du cloud chez Southwest.

Dans le cadre de sa migration en cours vers Amazon Web Services (AWS), Southwest a adopté AWS Security Hub. Il s’agit d’un service de gestion de la posture de sécurité dans le cloud qui constitue un élément clé d’une intégration automatisée et évolutive plus large. Cette intégration fournit aux utilisateurs une vue complète de leurs alertes de sécurité et de leur posture de sécurité sur l’ensemble des comptes AWS. Grâce à AWS Security Hub, les équipes de sécurité de Southwest bénéficient d’une meilleure visibilité sur les opérations de sécurité de la compagnie aérienne et peuvent gérer facilement les applications natives cloud et les applications tierces.

Southwest, basée au Texas, est l’une des plus grandes compagnies aériennes à bas prix au monde, avec environ 54 000 employés transportant 130 millions de passagers par an vers 101 destinations dans 11 pays. La compagnie aérienne a été l’une des premières entreprises clientes d’AWS. Elle a commencé à utiliser les services AWS pour la première fois en 2010. Auparavant, la compagnie aérienne exploitait une technologie interne dans ses centres de données pour gérer les horaires des vols, prévoir la demande, maintenir les horaires, établir une tarification dynamique pour les ventes mobiles et sur le web, et répondre à des événements irréguliers tels que des conditions météorologiques entraînant des retards. Southwest souhaitait améliorer sa flexibilité et accélérer la création de valeur. C’est pourquoi, en 2017, la compagnie a commencé à migrer ses opérations vers AWS. Au départ, Southwest opérait dans le cloud tout en continuant à utiliser le même modèle opérationnel de sécurité que celui qu’elle avait développé pour ses centres de données, mais elle s’est vite rendu compte qu’en adoptant une approche native cloud, elle pouvait optimiser ses capacités. Le passage à un modèle de responsabilité partagée, dans lequel AWS gère l’infrastructure pour le compte de Southwest, permet aux équipes de sécurité de la compagnie aérienne de se concentrer sur des priorités plus importantes, notamment la détection, la prévention des événements de sécurité et la réponse à ces événements.

Southwest a choisi AWS pour sa haute disponibilité, sa résilience et sa gamme d’outils, que l’équipe de développement pouvait utiliser pour développer ses capacités de sécurité. « La migration vers AWS a été une étape importante pour améliorer la rapidité de diffusion de nos applications de sécurité », explique Jon Barcellona, directeur de l’ingénierie de cybersécurité chez Southwest. « L’utilisation des outils AWS simplifie l’intégration, la gestion et la segmentation naturelles de nos applications. »

Southwest a développé une solution de sécurité qui utilise AWS Security Hub pour gérer, puis collecter des données provenant de divers services de sécurité sur AWS ainsi que de produits de sécurité tiers. Southwest utilise également des règles personnalisées dans AWS Config, un service d’enregistrement et d’évaluation des configurations des ressources AWS, pour gérer ses différents services AWS. Parmi les services qui alimentent AWS Security Hub figure Amazon GuardDuty, un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés. Southwest utilise également Amazon Inspector, qui évalue automatiquement les applications afin de déterminer leur exposition et de détecter les éventuels écarts ou vulnérabilités par rapport aux meilleures pratiques. Pour lancer des enquêtes, la compagnie aérienne utilise Amazon Detective, qui permet d’analyser, d’enquêter et d’identifier simplement et rapidement les causes profondes des problèmes de sécurité potentiels.

La solution de Southwest utilise AWS Security Hub pour rassembler les événements détectés via Amazon GuardDuty, AWS Config et Amazon Inspector. À partir de là, les informations sur les événements sont agrégées au niveau régional et intégrées aux journaux d’Amazon CloudWatch, un service de surveillance et d’observabilité. Enfin, Southwest utilise un adaptateur pour Amazon CloudWatch Logs afin de transmettre des informations sur les événements à la solution tierce de gestion des informations de sécurité et des événements d’entreprise, qui regroupe les données provenant de nombreuses sources et effectue une corrélation des événements avec un contenu enrichi afin de détecter les événements de sécurité exploitables. Les événements sont surveillés en permanence par le centre des opérations de sécurité et sont analysés, contenus et éradiqués le cas échéant.

Grâce à AWS Security Hub, les différentes équipes de Southwest, notamment le centre des opérations de sécurité, l’équipe chargée du renseignement sur les menaces, les intervenants en cas d’incident et les équipes chargées des applications, peuvent obtenir une visibilité élevée sur la posture de sécurité de Southwest. La solution a réduit le temps et la main-d’œuvre nécessaires à la mise en œuvre de plus de 350 contrôles de sécurité automatisés. De plus, Southwest atteint un niveau élevé de respect des objectifs de contrôle de sécurité associés, qui constituent sa posture de sécurité. Au niveau mondial, Southwest analyse plus de 600 000 ressources sur des centaines de comptes AWS chaque mois, et 98 % des ressources donnent satisfaction lors des contrôles de sécurité. La restauration des 2 % restants des ressources est simple grâce à AWS Security Hub. « Grâce à AWS Security Hub, nous disposons désormais des capacités de sécurité renforcées dont nous avons besoin », déclare Jon Barcellona.

Southwest utilise AWS Security Finding Format (ASFF), un format de résultats standard, pour créer des bibliothèques qui réduisent le temps de développement des futurs contrôles de sécurité automatisés. Avec un format standard en place, Southwest peut implémenter des contrôles de test complexes sur plusieurs comptes. La compagnie aérienne a réduit le temps de développement pour la mise en œuvre de nouveaux contrôles de 5 à 6 semaines à 1 semaine. Les processus d’idéation, de production et d’activation du développement, qui prenaient auparavant des années, se déroulent désormais en quelques mois, voire quelques semaines. « AWS Security Hub a standardisé nos données, presque comme par magie », explique Will Walsh, « nous pouvons désormais appliquer le machine learning, l’intelligence artificielle et la détection d’anomalies, des choses que nous ne pouvions pas faire auparavant. »

À l’avenir, Southwest prévoit de simplifier la gestion des comptes à l’aide du service Gestion des identités et des accès AWS (AWS IAM), qui permet aux utilisateurs de gérer l’accès aux ressources et aux services AWS en toute sécurité. Southwest utilisera l’Analyseur d'accès AWS IAM, qui identifie les ressources et les comptes partagés avec des entités externes, afin d’obtenir une visibilité supplémentaire sur le risque de sécurité lié à un accès involontaire aux ressources et aux données.

En développant une solution de sécurité native cloud sur AWS, Southwest a atteint la visibilité, la résilience et l’efficacité dont elle a besoin pour garantir la sécurité de ses applications et de ses données sensibles. « Si notre système de sécurité ne fonctionne pas, nous ne volons pas », explique Jon Barcellona. « Il est donc essentiel pour nous de disposer de la solide posture de sécurité et des fonctionnalités que nous atteignons sur AWS. »