Contrôles préventifs - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles préventifs

Les contrôles préventifs sont des contrôles de sécurité conçus pour empêcher qu'un événement ne se produise. Ces barrières de protection constituent une première ligne de défense pour empêcher tout accès non autorisé ou toute modification indésirable de votre réseau. Un rôle AWS Identity and Access Management (IAM) doté d'un accès en lecture seule est un exemple de contrôle préventif, car il permet d'empêcher les actions d'écriture involontaires de la part d'utilisateurs non autorisés.

Examinez les points suivants concernant ce type de contrôle :

Objectifs

L'objectif principal des contrôles préventifs est de minimiser ou d'éviter la probabilité qu'un événement menaçant se produise. Le contrôle doit aider à empêcher tout accès non autorisé au système et que des modifications involontaires n'affectent le système. Les objectifs des contrôles préventifs sont les suivants :

  • Séparation des tâches : les contrôles préventifs peuvent établir des limites logiques qui limitent les privilèges, en autorisant uniquement l'exécution de tâches spécifiques dans des comptes ou des environnements désignés. En voici quelques exemples :

    • Segmentation des charges de travail entre différents comptes pour des services spécifiques

    • Séparation et comptes dans des environnements de production, de développement et de test isolés

    • Délégation de l'accès et des responsabilités à plusieurs entités pour exécuter des fonctions spécifiques, telles que l'utilisation de rôles IAM ou de rôles endossés pour autoriser uniquement des fonctions spécifiques à effectuer certaines actions

  • Contrôle d'accès : les contrôles préventifs peuvent systématiquement accorder ou refuser l'accès aux ressources et aux données de l'environnement. En voici quelques exemples :

    • Prévention des dépassements d’autorisation par les utilisateurs, connus sous le nom d’escalade de privilèges

    • Restreindre l'accès aux applications et aux données uniquement aux utilisateurs et aux services autorisés

    • Maintien d’un groupe d’administrateurs restreint

    • Prévention de l’utilisation des informations d’identification de l’utilisateur root

  • Exécution : les contrôles préventifs peuvent aider votre entreprise à respecter ses politiques, directives et normes. En voici quelques exemples :

    • Verrouiller les configurations servant de référence de sécurité minimale

    • Implémenter des mesures de sécurité supplémentaires, telles que l'authentification multifactorielle

    • Éviter les tâches et les actions non standard exécutées par des rôles non approuvés

Processus

Le mappage des contrôles préventifs est le processus qui consiste à mapper les contrôles aux exigences et à utiliser des politiques pour implémenter ces contrôles en les restreignant, en les désactivant ou en les bloquant. Lorsque vous mappez les contrôles, tenez compte de l'effet proactif qu'ils ont sur l'environnement, les ressources et les utilisateurs. Les bonnes pratiques en matière de mappage des contrôles sont les suivantes :

  • Les contrôles stricts qui interdisent une activité doivent être mappés aux environnements de production où l'action nécessite des processus d'examen, d'approbation et de modification.

  • Les environnements de développement ou confinés peuvent présenter moins de contrôles préventifs afin de fournir l'agilité nécessaire à la génération et aux tests.

  • La classification des données, le niveau de risque d'un actif et la politique de gestion des risques dictent les contrôles préventifs.

  • Mappez aux cadres existants afin de démontrer la conformité aux normes et aux réglementations.

  • Implémentez des contrôles préventifs en fonction de l'emplacement géographique, de l'environnement, des comptes, des réseaux, des utilisateurs, des rôles ou des ressources.

Cas d’utilisation

Manipulation des données

Un rôle est créé pour accéder à toutes les données d'un compte. S’il existe des données sensibles et chiffrées, des privilèges trop permissifs peuvent présenter un risque, selon les utilisateurs ou les groupes susceptibles d’endosser le rôle. En utilisant une politique de clé dans AWS Key Management Service (AWS KMS), vous pouvez contrôler qui a accès à la clé et peut déchiffrer les données.

Escalade de privilèges

Si les autorisations d'administration et d'écriture sont attribuées avec trop de souplesse, un utilisateur peut contourner les limites des autorisations prévues et s'octroyer des privilèges supplémentaires. L'utilisateur qui crée et gère un rôle peut attribuer une limite des autorisations qui définit les privilèges maximum admissibles pour le rôle.

Confinement de la charge de travail

Si votre entreprise n'a pas de besoin prévisible d'utiliser des services spécifiques, activez une politique de contrôle des services qui limite les services pouvant fonctionner sur les comptes des membres d'une organisation ou restreint les services en fonction du Région AWS. Ce contrôle préventif peut réduire la portée de l'impact si un acteur malveillant parvient à compromettre un compte de votre organisation et à y accéder. Pour plus d’informations, consultez Politiques de contrôle des services dans ce guide.

Incidence sur les autres applications

Les contrôles préventifs peuvent imposer l'utilisation de services et de fonctionnalités, comme IAM, le chiffrement et la journalisation, afin de répondre aux exigences de sécurité de vos applications. Vous pouvez également utiliser ces contrôles pour vous protéger contre les vulnérabilités en limitant les actions qu'un acteur malveillant peut exploiter en raison d'erreurs involontaires ou d'une mauvaise configuration.

Technologie

Politiques de contrôle des services

Dans AWS Organizations, les politiques de contrôle des services (SCP) définissent les autorisations maximales disponibles pour les comptes des membres d'une organisation. Ces politiques contribuent à ce que les comptes respectent les directives de contrôle d'accès de l'organisation. Tenez compte des points suivants lorsque vous concevez des SCP pour votre organisation :

  • Les SCP sont des contrôles préventifs car ils définissent et appliquent les autorisations maximales autorisées pour les rôles et les utilisateurs IAM dans les comptes membres de l'organisation.

  • Les SCP affectent uniquement les rôles et les utilisateurs IAM dans les comptes membres de l'organisation. Elles n'ont aucune incidence sur des utilisateurs ou des rôles dans le compte de gestion de l'organisation.

Vous pouvez faire en sorte qu'une SCP soit plus détaillée en définissant les autorisations maximales pour chaque Région AWS.

Limites d'autorisations IAM

Dans AWS Identity and Access Management (IAM), une limite d'autorisations est utilisée pour définir le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM (utilisateurs ou rôles). La limite des autorisations d'une entité lui permet d'effectuer uniquement les actions autorisées à la fois par ses politiques basées sur l'identité et ses limites des autorisations. Notez les points suivants en ce qui concerne l’utilisation des limites des autorisations :

  • Vous pouvez utiliser une politique AWS gérée ou une politique gérée par le client pour définir les limites d'une entité IAM.

  • Une limite d'autorisations restreint le nombre maximum d'autorisations, mais n'accorde pas seule l'accès. La politique de limite des autorisations limite les autorisations accordées à l'entité IAM.

Résultats métier

Gains de temps

  • En ajoutant l’automatisation après avoir configuré les contrôles préventifs, vous pouvez réduire le besoin d’intervention manuelle et la fréquence des erreurs.

  • L’utilisation des limites des autorisations comme contrôle préventif permet aux équipes de sécurité et IAM de se concentrer sur les tâches critiques, telles que la gouvernance et l’assistance.

Conformité aux réglementations

  • Les entreprises peuvent avoir besoin de se conformer aux réglementations internes ou sectorielles. Il peut s’agir de restrictions régionales, de restrictions relatives aux utilisateurs et aux rôles ou de restrictions de service. Les SCP peuvent vous aider à rester en conformité et à éviter les sanctions en cas de violation.

Réduction des risques

  • Avec la croissance, le nombre de demandes de création et de gestion de nouveaux rôles et de nouvelles politiques augmente. Il devient de plus en plus difficile de comprendre le contexte de ce qui est requis pour créer manuellement les autorisations pour chaque application. La mise en place de contrôles préventifs constitue une référence et permet d'empêcher les utilisateurs d'effectuer des actions involontaires, même s'ils y ont été accidentellement autorisés.

  • L'application de contrôles préventifs aux politiques d'accès constitue une couche supplémentaire pour protéger les données et les actifs.