Volkswagen Group gère de manière centralisée les menaces de sécurité sur AWS grâce à Amazon GuardDuty

Supervisant plus de 650 000 employés, Volkswagen Group (Volkswagen) a besoin d'une sécurité robuste pour soutenir ses opérations. Le constructeur automobile mondial utilise des solutions sur site et basées sur le cloud, notamment des applications à technologie Amazon Web Services (AWS). Cherchant à renforcer davantage sa posture de sécurité, Volkswagen a déployé Amazon GuardDuty, un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger les comptes, les charges de travail et les données AWS des organisations. Grâce aux services de sécurité AWS, l'entreprise a obtenu une vue centralisée de ses comptes AWS et peut réagir automatiquement face aux menaces.

Fondée en 1937 et ayant son siège social en Allemagne, Volkswagen exploite 118 usines de production dans 20 pays européens. L'entreprise crée des produits pour 10 marques automobiles, dont Volkswagen Passenger Cars, Audi, SEAT, ŠKODA, Bentley, Bugatti, Lamborghini, Porsche, Ducati et Volkswagen Commercial Vehicles. Volkswagen avait besoin d'un moyen de mettre à l'échelle ses projets afin de pouvoir héberger des applications sur l'ensemble de son organisation. En 2016, elle a commencé à utiliser AWS pour mettre à l'échelle de grands projets, tels qu'une application qui consolide les commandes de ses véhicules électriques. « Après avoir commencé à utiliser les services AWS pour mettre à l'échelle le projet de matrice modulaire de véhicules électriques, la demande d'hébergement d'applications a augmenté », explique Sachin Patil, propriétaire de produits pour les services fondamentaux du Cloud AWS chez Volkswagen. « Nous avons alors commencé à travailler massivement sur AWS pour soutenir ces projets. »

Volkswagen utilise plus de 200 services AWS, notamment Amazon Elastic Compute Cloud (Amazon EC2), un service web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Comme l'entreprise a continué à adopter les services AWS, elle a voulu renforcer la sécurité et la détection des vulnérabilités sur l'ensemble des comptes AWS. Pour atteindre cet objectif, Volkswagen a développé une solution utilisant Amazon GuardDuty parallèlement à son service de gestion des informations et des événements de sécurité sur site à technologie Splunk, une solution logicielle qui collecte, indexe et corrèle les données en temps quasi réel dans une interface consultable.

Volkswagen a déployé Amazon GuardDuty en utilisant un système d'approvisionnement de comptes développé en interne. Cependant, ce processus prenait beaucoup de temps et Volkswagen s'est rendu compte que la personnalisation des contrôles de sécurité pour les comptes AWS individuels était fastidieuse pour cette grande organisation. Après que l'entreprise a fait part de cette considération à AWS lors d'une évaluation opérationnelle trimestrielle, l'équipe AWS a ajouté la prise en charge d'AWS Organizations à Amazon GuardDuty. AWS Organizations est un service qui aide les entreprises à assurer la gestion et la gouvernance centralisées de leurs environnements AWS au fur et à mesure de leur croissance et de leur évolution. Grâce à AWS Organizations, Volkswagen peut déployer Amazon GuardDuty dès qu'elle crée un compte AWS. « Comme Amazon GuardDuty prend en charge AWS Organizations, nous n'avons pas besoin d'activer Amazon GuardDuty dans chaque compte individuel. Par défaut, il sera implémenté dans tout compte que nous créons », détaille Sachin. « AWS est une entreprise axée sur le client, et l'équipe AWS est à l'écoute de nos préoccupations. AWS Organizations pour Amazon GuardDuty nous a permis d'économiser beaucoup de temps. » En utilisant AWS Organizations pour Amazon GuardDuty, Volkswagen a réduit le temps d'approvisionnement des comptes de 5 à 7 minutes par lot.

Volkswagen utilise également AWS Organizations pour implémenter AWS Security Hub, un service qui fournit une vue complète des alertes de sécurité et de la posture de sécurité sur l'ensemble des comptes AWS, de sorte que les propriétaires de comptes disposent d'un accès centralisé aux menaces et aux constatations de sécurité. En utilisant AWS Organizations pour activer AWS Security Hub et d'autres services au niveau de l'organisation, Volkswagen a davantage réduit son temps global d'approvisionnement des comptes de 15 à 20 minutes supplémentaires par lot. L'entreprise peut également détecter les menaces au moment de la création du compte, ce qui améliore la sécurité. Lorsque le système détecte une menace, ses constatations sont transmises à l'instance Splunk de gestion des informations et des événements de sécurité de Volkswagen, ce qui permet au centre des opérations de sécurité (SOC) de Volkswagen d'agir.

Volkswagen a également mis en œuvre l'automatisation du processus de détection des menaces pour alléger la charge de travail des employés. Par exemple, si Amazon GuardDuty détecte une instance Amazon EC2 susceptible d'être contaminée par un virus rootkit, le service lance un flux qui envoie un e-mail au propriétaire du compte. Il ajoute également la constatation à AWS Security Hub, alertant ainsi l'équipe SOC. Un membre de l'équipe peut alors vérifier la constatation d'Amazon GuardDuty et effectuer des actions correctives, telles que la mise hors service de l'instance Amazon EC2 et la création d'une copie dans le compte AWS SOC. Ce compte contient des outils utilisés pour analyser les causes profondes et corriger les problèmes. Une fois le problème corrigé et marqué comme résolu, Amazon GuardDuty alertera le compte pour qu'il visualise les constatations de sécurité dans AWS Security Hub. Pour les problèmes particulièrement critiques, l'équipe SOC et les propriétaires de comptes reçoivent des alertes qui peuvent bloquer automatiquement et immédiatement l'application ou le compte affecté, empêchant ainsi la menace de nuire à d'autres parties du système de Volkswagen.

Volkswagen utilise également AWS Organizations pour appliquer les politiques de contrôle des services et gérer les autorisations sur les comptes AWS. Par exemple, l'équipe SOC gère une liste de régions AWS approuvées que les propriétaires de comptes sont autorisés à utiliser. Lorsqu'un employé commence un projet, l'équipe approuve certaines régions AWS en fonction des besoins du projet, de son objectif et des réglementations applicables. Ces politiques fournissent à l'équipe SOC une visibilité sur les problèmes de sécurité potentiels et empêchent les employés d'approvisionner des ressources et d'y accéder en dehors des régions AWS approuvées. Au cours du processus d'approvisionnement des comptes, Volkswagen applique automatiquement des politiques de contrôle des services, empêchant les comptes individuels de modifier Amazon GuardDuty ou AWS Security Hub. En implémentant des politiques centralisées et préventives, Volkswagen peut réduire les erreurs potentielles et se concentrer sur l'innovation. « Lorsque nos utilisateurs pensent à utiliser les services AWS pour la sécurité, ils sont déjà en place. Ils n'ont pas besoin d'aller construire une solution à partir de zéro », ajoute Sachin. « Cela permet en retour de gagner beaucoup de temps, car les utilisateurs savent que la solution est sécurisée et répond à la norme Volkswagen. Ils peuvent se concentrer sur la création d'applications et la connexion aux véhicules. »

Grâce à Amazon GuardDuty, AWS Security Hub et AWS Organizations, Volkswagen peut identifier automatiquement les menaces de sécurité et déployer rapidement des solutions pour protéger ses comptes, ses applications professionnelles et son infrastructure AWS. Volkswagen continuera d'utiliser les services AWS pour développer des solutions innovantes, comme Firestarter, une application reposant sur Amazon API Gateway et basée sur la bibliothèque open-source JavaScript React. Volkswagen exploitera Firestarter sur Amazon API Gateway, un service entièrement géré, qui permet de créer, de publier, de gérer, de surveiller et de sécuriser facilement des API à n'importe quelle échelle. Grâce à Firestarter, Volkswagen pourra rationaliser et accélérer l'intégration de ses nouveaux clients dans son environnement AWS.

Volkswagen a également profité du support qu'elle a reçu de l'équipe AWS. « L'approche centrée sur le client chez AWS est perceptible », déclare Anurag Agrawal, propriétaire de la plateforme de base chez Volkswagen. « De nombreuses choses que nous avons apprises d'AWS sont maintenant devenues partie intégrante de notre organisation. »