Logo de ZS

ZS propose des bonnes pratiques de sécurité permanentes à l’aide des services de sécurité AWS

2022

ZS Associates (ZS) cherchait à améliorer la visibilité et à simplifier la gestion de sa posture de sécurité pour une clientèle mondiale diversifiée ayant des besoins de sécurité complexes et exigeants. Nombre de ses clients doivent respecter des normes de conformité qui varient selon les pays et les secteurs d’activité. ZS avait développé des architectures de solutions cloud propres à ses clients individuels en utilisant Amazon Web Services (AWS). L’entreprise recherchait donc une solution de sécurité réplicable capable d’évoluer simplement et de fonctionner parfaitement avec les centaines de services AWS qu’elle utilisait déjà. À l’aide d’AWS, ZS a créé un environnement de sécurité complet et évolutif qui automatise les procédures de sécurité manuelles fastidieuses et facilite le déploiement de l’architecture cloud pour les clients.

Group of business people is working on new business strategy with a financial analyst while analyzing financial chart during meeting in the office.
kr_quotemark

« La plupart des contrôles que nous avons mis en place dans AWS Security Hub remontent en fin de compte aux contrôles des différents cadres de sécurité de nos clients. Cela fournit vraiment une bonne autonomie technique. »

Rujuswami Gandhi
Directeur des services cloud, ZS Associates

Gestion de la sécurité au sein d’architectures complexes

Depuis sa création en 1983, ZS utilise des logiciels pour résoudre les problèmes des clients. Au fil des ans, l’entreprise a développé des offres innovantes utilisant des fonctionnalités d’analytique, d’intelligence artificielle et de machine learning, en les proposant sous forme de logiciels en tant que service. ZS développe souvent des solutions clients à l’aide de sa propre plateforme propriétaire, ZAIDYN, qui repose sur AWS et qui est complétée par divers services AWS gérés. La société possède son propre Centre d’excellence cloud (CCoE), un service dédié à la création, à la maintenance et à l’aide à la conception de plus de 250 comptes AWS qui font partie des solutions proposées par ZS à ses clients. Différents services AWS fonctionnent ensemble pour chaque client dans ce que ZS appelle un « compte AWS parallèle », que ZS peut surveiller en centralisant les journaux, les mesures et les événements pertinents.

Ces journaux, mesures et événements génèrent des téraoctets d’informations brutes, que ZS stocke pendant au moins un an à l’aide d’Amazon Simple Storage Service (Amazon S3). Ce service de stockage d’objets offre une capacité de mise à l’échelle, une disponibilité des données, une sécurité et des performances de pointe. Le CCoE a créé un moyen de filtrer ces informations en envoyant des centaines de gigaoctets via des composants intermédiaires vers une plateforme d’observabilité centralisée. (Consultez le schéma 1, Architecture de référence de la plateforme d’observabilité AWS) « Vous devez disposer d’un processus de due diligence propre à votre entreprise et qui crée différents niveaux de données. Cela vous permet de consulter les journaux qui vous fournissent le plus d’informations », explique Rujuswami Gandhi, directeur des services cloud chez ZS. 

Schéma 1 : Architecture de référence de la plateforme d’observabilité AWS

Intégration à un système tiers

La sécurité est un élément important de ce flux d’informations. ZS a créé un environnement de sécurité robuste centré sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST) : identification, protection, détection, réponse et restauration. ZS a ajouté la gouvernance, une initiative interne visant à aider l’entreprise à se préparer à un audit de sécurité par un tiers. « Parmi les nombreux services AWS que nous utilisons avec l’architecture de location unique que nous suivons pour nos clients, la sécurité est un élément très important car nos clients ont des attentes élevées en matière de sécurité des informations », explique Rujuswami Gandhi, « nos clients peuvent être sûrs que nous utilisons non seulement les services AWS de manière mature, mais que nous nous conformons également aux normes du secteur. » Pour plus de détails sur le paysage de sécurité créé par ZS, consultez le schéma 2, « Paysage de confiance Cloud AWS de ZS : objectif de sécurité ».

Schéma 2 : Paysage de confiance Cloud AWS de ZS : objectif de sécurité

Inspiré du cadre de cybersécurité du NIST

Mise en place de meilleures pratiques permanentes

Par exemple, dans le cadre de son pilier de détection et de réponse, ZS utilise huit services d’AWS complétés par de nombreuses solutions tierces. Grâce à AWS Security Hub, un service de gestion de la posture de sécurité dans le cloud qui vérifie les meilleures pratiques de sécurité, regroupe les alertes et prend en charge les mesures correctives automatisées, ZS obtient une visibilité centralisée en temps quasi réel. De plus, ZS a simplifié sa gestion fondamentale de la conformité grâce à des fonctionnalités de mappage pour de nombreux cadres de sécurité dont les clients ZS ont besoin, tels que SOC 2, ISO/IEC 27001 et HITRUST. L’utilisation d’AWS Security Hub a facilité l’expansion mondiale de ZS, car les normes de sécurité diffèrent d’un pays à l’autre, comme le Règlement général sur la protection des données de l’UE et le cadre de gouvernance chinois connu sous le nom de système de protection multicouche, par exemple. « Grâce à AWS Security Hub, il nous suffit de choisir parmi les ensembles de règles prédéfinis, puis ce service se déploie automatiquement pour fournir des informations sur la conformité et les tendances au fur et à mesure de l’avancement des travaux de correction », explique Rujuswami Gandhi, « la gestion d’AWS Security Hub ne demande que peu d’efforts. »

ZS utilise un autre service : Amazon Inspector. Ce service automatisé de gestion des vulnérabilités recherche en permanence les vulnérabilités logicielles et les expositions réseau involontaires dans les charges de travail AWS. Pour déjouer les menaces immédiates, ZS utilise Amazon GuardDuty. Il s’agit d’un service de détection des menaces qui surveille en permanence les charges de travail et comptes AWS pour détecter les activités malveillantes et fournir des résultats détaillés en matière de sécurité pour la visibilité et la correction. « L’utilisation d’Amazon GuardDuty nous a permis de mieux comprendre ce qui aurait pu être lié à des incidents de sécurité si notre équipe de réponse aux incidents n’en avait pas été informée rapidement », explique Rujuswami Gandhi. Et pour aider à démontrer la conformité, ZS utilise AWS CloudTrail, qui surveille et enregistre l’activité des comptes sur l’infrastructure AWS. Cette visibilité accrue simplifie les procédures d’audit.

Comme partie de son environnement qui s’aligne sur le pilier de protection du cadre NIST, ZS utilise le service Gestion des identités et des accès AWS (AWS IAM), qui fournit un contrôle d’accès précis sur tout AWS. « Il aurait été très complexe de résoudre ce problème sans utiliser AWS », explique Beeling Chang, architecte cloud chez ZS.

L’ensemble de la charge de travail du CCoE repose sur les concepts de la zone de destination AWS. Cette solution aide les clients à mettre en place plus rapidement un environnement AWS sécurisé et multi-comptes basé sur les meilleures pratiques d’AWS. La zone de destination AWS permet de gagner du temps en automatisant la configuration pour exécuter des charges de travail sécurisées et évolutives. ZS estime que le mode de conformité automatisé et permanent des solutions AWS permet d’économiser environ 1 000 heures de travail par mois, qui auraient été consacrées à la vérification manuelle du respect des meilleures pratiques de sécurité. De plus, ZS intègre de nouveaux clients trois fois plus rapidement grâce à la sécurité empilable et aux autres services d’AWS.

Innovation à l’aide des solutions AWS

L’équipe CCoE de ZS continue de se concentrer sur la sécurité dans le but d’améliorer le cadre AWS Well-Architected, qui aide les architectes cloud à créer une infrastructure sécurisée, hautes performances, résiliente et efficace pour plusieurs applications et charges de travail.

En outre, depuis qu’elle s’est concentrée sur les solutions AWS, l’entreprise ZS a amélioré son agilité en exploitant des fonctionnalités innovantes d’analytique et de machine learning tout en attirant des talents de qualité et en responsabilisant ses employés. Les employés utilisent ces technologies de pointe pour travailler en collaboration avec les clients afin de les aider à résoudre des problèmes complexes. « L’utilisation d’AWS nous permet de bénéficier d’une visibilité centralisée », explique Rujuswami Gandhi, « le système est toujours actif et toujours en cours d’utilisation. Cela change complètement notre état d’esprit. »


À propos de ZS Associates

Avec son siège social dans l’Illinois et 30 bureaux dans le monde entier, ZS Associates est une société de conseil et de services professionnels. Elle se concentre sur le conseil, les logiciels et les hautes technologies. Elle fournit ainsi des services à des clients des secteurs pharmaceutique, de la santé, des hautes technologies et autres. 

Avantages d’AWS

  • Permet d’économiser 1 000 heures de travail par mois dans la gestion de la sécurité
  • Intègre les clients trois fois plus rapidement  
  • Automatise les contrôles de sécurité continus en temps quasi réel
  • Simplifie la gestion de la conformité

Services AWS utilisés

AWS Security Hub

AWS Security Hub est un service de gestion de la posture de sécurité dans le cloud qui automatise les vérifications des meilleures pratiques, regroupe les alertes et prend en charge la correction automatisée.

En savoir plus »

Amazon GuardDuty

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence vos charges de travail et vos comptes AWS pour détecter les activités malveillantes et fournir des constatations de sécurité détaillées pour la visibilité et la correction.

En savoir plus »

AWS CloudTrail

AWS CloudTrail contrôle et enregistre l’activité du compte sur l’ensemble de votre infrastructure AWS afin de vous donner le contrôle sur le stockage, l’analyse et les actions correctives.

En savoir plus »

Amazon Inspector

Amazon Inspector est un service de gestion automatisée des vulnérabilités qui recherche en permanence des vulnérabilités logicielles dans les charges de travail AWS.

En savoir plus »


Démarrer

Les organisations de toutes tailles et de tous secteurs transforment leur activité et exécutent leurs missions au quotidien à l'aide d'AWS. Contactez nos experts et démarrez votre transition vers AWS dès aujourd'hui.