Accès des opérateurs sur AWS

La plupart des principaux systèmes et services AWS sont conçus sans aucun accès pour les opérateurs, notamment AWS Key Management Service (AWS KMS), Amazon EC2 (via le AWS Nitro System), AWS Lambda, Amazon Elastic Kubernetes Service (Amazon EKS) et AWS Wickr. Ces services ne disposent d’aucun moyen technique permettant aux opérateurs AWS d’accéder aux données des clients. Les systèmes et les services sont plutôt administrés par le biais d’API automatisées et sécurisées qui protègent les données des clients contre toute divulgation involontaire ou forcée.

AWS a toujours utilisé un modèle de moindre privilège afin de minimiser le nombre d’humains ayant accès aux systèmes traitant les données des clients. Cela signifie que nous veillons à ce que chaque Amazonien n’ait accès qu’à l’ensemble minimum de systèmes requis pour accomplir la tâche ou la responsabilité qui lui est assignée, dans la limite du temps où ce privilège est requis. Tout accès aux systèmes qui stockent ou traitent les données ou les métadonnées des clients est enregistré, surveillé pour détecter les anomalies et audité. AWS vous protège contre toute action susceptible de désactiver ou de contourner ces contrôles.

Nous appliquons également le principe du moindre privilège à la posture des systèmes et services AWS. AWS dépasse les normes du secteur dans ce domaine. AWS Identity and Account Management (IAM) permet aux clients d’articuler des autorisations précises à l’aide de rôles IAM, ce qui leur permet de contrôler avec précision qui a accès à quoi. Nous ajoutons également une couche de sécurité supplémentaire unique appelée Forward Access Sessions (FAS), qui garantit que les autorisations sensibles dépendent cryptographiquement de l’autorisation du client. Les services AWS tels qu’Amazon EC2 et Amazon Simple Storage Service (Amazon S3) permettent également aux clients de chiffrer leurs données, de sorte que même AWS ne peut pas utiliser les clés de chiffrement du client sans son autorisation directe. Ceci est appliqué par le FAS qui prouve que le client a autorisé cette opération. En outre, ces actions, appelées opérations de service « pour le compte de », sont enregistrées et mises à la disposition des clients dans AWS CloudTrail. De par sa conception, aucune clé de superutilisateur ne permet aux services AWS d’accéder aux ressources des clients dans un autre service sans leur autorisation implicite.

Pour empêcher les opérateurs d’accéder sans surveillance aux systèmes contenant des données clients, AWS a conçu nos systèmes de manière à garantir que toutes les opérations administratives sont enregistrées et surveillées de manière centralisée. Toutes les actions de l’opérateur peuvent être retracées avec précision jusqu’à l’être humain réel qui les exécute ; aucun compte d’équipe partagé ne garantit l’anonymat. L’accès est surveillé en temps réel pour détecter toute activité inhabituelle, y compris d’éventuelles erreurs ou activités suspectes et les responsables et les équipes de direction des opérateurs AWS, ainsi que l’organisation indépendante de sécurité AWS, reçoivent des résumés périodiques de toutes ces activités. Cette surveillance est à plusieurs niveaux et comprend des agents de journalisation sur l’hôte qui redirigent rapidement les événements locaux hors de l’hôte vers un système centralisé d’agrégation de journaux géré par l’équipe de sécurité AWS et des alertes en temps réel si, pour une raison quelconque, l’agent sur l’hôte cesse de fonctionner. Ceci est complété par la surveillance au niveau du réseau, la surveillance du service Bastion et d’autres contrôles.

Le personnel AWS effectue toutes les opérations via des interfaces sécurisées qui garantissent que les opérateurs disposent de postes de travail sécurisés et à jour, de jetons de sécurité matériels validés par la norme FIPS et d’une authentification correcte. Ces interfaces fournissent aux opérateurs AWS des informations d’identification temporaires de courte durée et surveillent également toutes les activités à l’aide de mécanismes qui ne peuvent être ni annulés ni contournés. Ces interfaces opérateurs sécurisées ne permettent que des opérations limitées qui ne divulguent pas les données des clients et imposent l’autorisation de plusieurs personnes pour les opérations sensibles.

S’il devient nécessaire d’accéder à des ressources internes susceptibles de stocker ou de traiter les données des clients, par exemple pour dépanner ou résoudre un problème lié à un service, nous ajoutons un niveau de contrôle supplémentaire pour restreindre, évaluer et surveiller l’accès des opérateurs.

Le personnel d’AWS support qui accompagne les clients dans leurs demandes d’assistance n’a pas accès aux données des clients. Toutes les autorisations AWS IAM utilisées à des fins de support sont entièrement documentées et sont accessibles à partir de rôles dédiés qui peuvent être désactivés par chaque client AWS. Toute utilisation de ces rôles dédiés est également enregistrée dans AWS CloudTrail.

AWS gère des centres de données sécurisés afin de réduire le risque d’écoute du réseau, de vol ou d’autres attaques physiques. Nous utilisons le principe du moindre privilège pour contrôler les demandes d’accès. Ces demandes doivent spécifier à quelle couche du centre de données la personne doit accéder et sont limitées dans le temps. Aucun support de stockage électronique n’est autorisé à quitter les centres de données AWS sans être détruit physiquement ou effacé de façon chiffrée à l’aide de techniques détaillées dans le NIST 800-88. Les services et systèmes AWS prennent en charge le chiffrement permanent du réseau, de la mémoire et du stockage. Dans de nombreux cas, il existe deux couches ou plus de chiffrement permanent, garantissant que les seuls accès aux données se font par les systèmes responsables du traitement de ces données pour les clients.

AWS utilise des freins et contrepoids organisationnels et techniques pour garantir qu’aucun événement de sécurité ne passe inaperçu et qu’aucun individu ou groupe ne puisse contourner des contrôles de sécurité importants. Les systèmes de contrôle d’accès et de surveillance des accès AWS sont intentionnellement indépendants et gérés par des équipes distinctes.

Nous avons conçu AWS avec des mesures de sécurité de défense en profondeur, notamment des contrôles des modifications, des fonctionnalités de journalisation immuables, la séparation des tâches, des approbations multipartites, des mécanismes d’autorisation conditionnelle et des outils opérationnels non interventionnistes. Ces mesures de sécurité vont au-delà des pratiques de sécurité standard afin que les actions entreprises par les opérateurs AWS soient sûres, transparentes, enregistrées et vérifiées.

Nous avons mis en place des groupes d’autorisations pour attribuer l’accès aux ressources, un outil d’autorisations pour gérer l’appartenance aux groupes d’autorisations et des outils sécurisés qui permettent aux opérateurs autorisés d’effectuer la maintenance et le dépannage du système sans accès direct aux ressources de service. Nous mettons également automatiquement à jour l’adhésion lorsque les employés changent de rôle ou quittent l’entreprise.