Volkswagen Group gère de manière centralisée les menaces de sécurité sur AWS grâce à Amazon GuardDuty
2021
Supervisant plus de 650 000 employés, Volkswagen Group (Volkswagen) a besoin d'une sécurité robuste pour soutenir ses opérations. Le constructeur automobile mondial utilise des solutions sur site et basées sur le cloud, notamment des applications à technologie Amazon Web Services (AWS). Cherchant à renforcer davantage sa posture de sécurité, Volkswagen a déployé Amazon GuardDuty, un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger les comptes, les charges de travail et les données AWS des organisations. Grâce aux services de sécurité AWS, l'entreprise a obtenu une vue centralisée de ses comptes AWS et peut réagir automatiquement face aux menaces.
AWS est une entreprise axée sur le client, et l'équipe AWS est à l'écoute de nos préoccupations. AWS Organizations pour Amazon GuardDuty nous a permis d'économiser beaucoup de temps. »
Sachin Patil
Propriétaire de produits pour les services fondamentaux du Cloud AWS, Volkswagen Group
Mise à l'échelle pour soutenir la demande d'hébergement d'applications
Fondée en 1937 et ayant son siège social en Allemagne, Volkswagen exploite 118 usines de production dans 20 pays européens. L'entreprise crée des produits pour 10 marques automobiles, dont Volkswagen Passenger Cars, Audi, SEAT, ŠKODA, Bentley, Bugatti, Lamborghini, Porsche, Ducati et Volkswagen Commercial Vehicles. Volkswagen avait besoin d'un moyen de mettre à l'échelle ses projets afin de pouvoir héberger des applications sur l'ensemble de son organisation. En 2016, elle a commencé à utiliser AWS pour mettre à l'échelle de grands projets, tels qu'une application qui consolide les commandes de ses véhicules électriques. « Après avoir commencé à utiliser les services AWS pour mettre à l'échelle le projet de matrice modulaire de véhicules électriques, la demande d'hébergement d'applications a augmenté », explique Sachin Patil, propriétaire de produits pour les services fondamentaux du Cloud AWS chez Volkswagen. « Nous avons alors commencé à travailler massivement sur AWS pour soutenir ces projets. »
Volkswagen utilise plus de 200 services AWS, notamment Amazon Elastic Compute Cloud (Amazon EC2), un service web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Comme l'entreprise a continué à adopter les services AWS, elle a voulu renforcer la sécurité et la détection des vulnérabilités sur l'ensemble des comptes AWS. Pour atteindre cet objectif, Volkswagen a développé une solution utilisant Amazon GuardDuty parallèlement à son service de gestion des informations et des événements de sécurité sur site à technologie Splunk, une solution logicielle qui collecte, indexe et corrèle les données en temps quasi réel dans une interface consultable.
Utilisation d'Amazon GuardDuty pour soutenir la sécurité organisationnelle
Volkswagen a déployé Amazon GuardDuty en utilisant un système d'approvisionnement de comptes développé en interne. Cependant, ce processus prenait beaucoup de temps et Volkswagen s'est rendu compte que la personnalisation des contrôles de sécurité pour les comptes AWS individuels était fastidieuse pour cette grande organisation. Après que l'entreprise a fait part de cette considération à AWS lors d'une évaluation opérationnelle trimestrielle, l'équipe AWS a ajouté la prise en charge d'AWS Organizations à Amazon GuardDuty. AWS Organizations est un service qui aide les entreprises à assurer la gestion et la gouvernance centralisées de leurs environnements AWS au fur et à mesure de leur croissance et de leur évolution. Grâce à AWS Organizations, Volkswagen peut déployer Amazon GuardDuty dès qu'elle crée un compte AWS. « Comme Amazon GuardDuty prend en charge AWS Organizations, nous n'avons pas besoin d'activer Amazon GuardDuty dans chaque compte individuel. Par défaut, il sera implémenté dans tout compte que nous créons », détaille Sachin. « AWS est une entreprise axée sur le client, et l'équipe AWS est à l'écoute de nos préoccupations. AWS Organizations pour Amazon GuardDuty nous a permis d'économiser beaucoup de temps. » En utilisant AWS Organizations pour Amazon GuardDuty, Volkswagen a réduit le temps d'approvisionnement des comptes de 5 à 7 minutes par lot.
Volkswagen utilise également AWS Organizations pour implémenter AWS Security Hub, un service qui fournit une vue complète des alertes de sécurité et de la posture de sécurité sur l'ensemble des comptes AWS, de sorte que les propriétaires de comptes disposent d'un accès centralisé aux menaces et aux constatations de sécurité. En utilisant AWS Organizations pour activer AWS Security Hub et d'autres services au niveau de l'organisation, Volkswagen a davantage réduit son temps global d'approvisionnement des comptes de 15 à 20 minutes supplémentaires par lot. L'entreprise peut également détecter les menaces au moment de la création du compte, ce qui améliore la sécurité. Lorsque le système détecte une menace, ses constatations sont transmises à l'instance Splunk de gestion des informations et des événements de sécurité de Volkswagen, ce qui permet au centre des opérations de sécurité (SOC) de Volkswagen d'agir.
Volkswagen a également mis en œuvre l'automatisation du processus de détection des menaces pour alléger la charge de travail des employés. Par exemple, si Amazon GuardDuty détecte une instance Amazon EC2 susceptible d'être contaminée par un virus rootkit, le service lance un flux qui envoie un e-mail au propriétaire du compte. Il ajoute également la constatation à AWS Security Hub, alertant ainsi l'équipe SOC. Un membre de l'équipe peut alors vérifier la constatation d'Amazon GuardDuty et effectuer des actions correctives, telles que la mise hors service de l'instance Amazon EC2 et la création d'une copie dans le compte AWS SOC. Ce compte contient des outils utilisés pour analyser les causes profondes et corriger les problèmes. Une fois le problème corrigé et marqué comme résolu, Amazon GuardDuty alertera le compte pour qu'il visualise les constatations de sécurité dans AWS Security Hub. Pour les problèmes particulièrement critiques, l'équipe SOC et les propriétaires de comptes reçoivent des alertes qui peuvent bloquer automatiquement et immédiatement l'application ou le compte affecté, empêchant ainsi la menace de nuire à d'autres parties du système de Volkswagen.
Volkswagen utilise également AWS Organizations pour appliquer les politiques de contrôle des services et gérer les autorisations sur les comptes AWS. Par exemple, l'équipe SOC gère une liste de régions AWS approuvées que les propriétaires de comptes sont autorisés à utiliser. Lorsqu'un employé commence un projet, l'équipe approuve certaines régions AWS en fonction des besoins du projet, de son objectif et des réglementations applicables. Ces politiques fournissent à l'équipe SOC une visibilité sur les problèmes de sécurité potentiels et empêchent les employés d'approvisionner des ressources et d'y accéder en dehors des régions AWS approuvées. Au cours du processus d'approvisionnement des comptes, Volkswagen applique automatiquement des politiques de contrôle des services, empêchant les comptes individuels de modifier Amazon GuardDuty ou AWS Security Hub. En implémentant des politiques centralisées et préventives, Volkswagen peut réduire les erreurs potentielles et se concentrer sur l'innovation. « Lorsque nos utilisateurs pensent à utiliser les services AWS pour la sécurité, ils sont déjà en place. Ils n'ont pas besoin d'aller construire une solution à partir de zéro », ajoute Sachin. « Cela permet en retour de gagner beaucoup de temps, car les utilisateurs savent que la solution est sécurisée et répond à la norme Volkswagen. Ils peuvent se concentrer sur la création d'applications et la connexion aux véhicules. »
Accélération du développement d'applications sur AWS
Grâce à Amazon GuardDuty, AWS Security Hub et AWS Organizations, Volkswagen peut identifier automatiquement les menaces de sécurité et déployer rapidement des solutions pour protéger ses comptes, ses applications professionnelles et son infrastructure AWS. Volkswagen continuera d'utiliser les services AWS pour développer des solutions innovantes, comme Firestarter, une application reposant sur Amazon API Gateway et basée sur la bibliothèque open-source JavaScript React. Volkswagen exploitera Firestarter sur Amazon API Gateway, un service entièrement géré, qui permet de créer, de publier, de gérer, de surveiller et de sécuriser facilement des API à n'importe quelle échelle. Grâce à Firestarter, Volkswagen pourra rationaliser et accélérer l'intégration de ses nouveaux clients dans son environnement AWS.
Volkswagen a également profité du support qu'elle a reçu de l'équipe AWS. « L'approche centrée sur le client chez AWS est perceptible », déclare Anurag Agrawal, propriétaire de la plateforme de base chez Volkswagen. « De nombreuses choses que nous avons apprises d'AWS sont maintenant devenues partie intégrante de notre organisation. »
Architecture de référence Volkswagen Group
Cliquez pour agrandir et afficher en plein écran.
À propos de Volkswagen Group
Volkswagen Group est un constructeur automobile mondial. Il supervise 10 marques, dont Volkswagen Passenger Cars, Audi, SEAT, ŠKODA, Bentley, Bugatti, Lamborghini, Porsche, Ducati et Volkswagen Commercial Vehicles.
Avantages d'AWS
- Déploiement automatique des services de sécurité lors de l'approvisionnement des comptes
- Gain de temps pour les membres de l'équipe de sécurité
- Implémentation de contrôles de sécurité cohérents au sein de l'organisation
- Centralisation des constatations de sécurité
- Mise à l'échelle pour prendre en charge l'hébergement d'un plus grand nombre d'applications
- Réduction du temps d'approvisionnement des comptes AWS de 20 à 27 minutes par lot
Services AWS utilisés
Amazon GuardDuty
Amazon GuardDuty est un service de détection des menaces qui surveille en permanence vos charges de travail et vos comptes AWS pour détecter les activités malveillantes et fournir des constatations de sécurité détaillées pour la visibilité et la correction.
AWS Organizations
AWS Organizations vous aide à gérer votre environnement de manière centralisée à mesure que vous vous développez et que vous mettez à l'échelle vos ressources AWS.
AWS Security Hub
AWS Security Hub est un service de gestion de la posture de sécurité dans le cloud qui effectue des vérifications de bonnes pratiques, regroupe les alertes et permet l'utilisation de la correction automatisée.
Amazon EC2
Amazon Elastic Compute Cloud (Amazon EC2) est un service Web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Destiné aux développeurs, il est conçu pour faciliter l'accès aux ressources de cloud computing à l'échelle du Web.
Démarrer
Les organisations de toutes tailles et de tous secteurs transforment leur activité et exécutent leurs missions au quotidien à l'aide d'AWS. Contactez nos experts et démarrez votre transition vers AWS dès aujourd'hui.