Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Appliquez des services de sécurité à l'ensemble de votre organisation AWS
| Influencez le futur de l'architecture de référence de AWS sécurité (AWSSRA) en répondant à une courte enquête |
Comme décrit dans une section précédente, les clients recherchent un autre moyen de réfléchir à l'ensemble des services de sécurité AWS et de les organiser de manière stratégique. L'approche organisationnelle la plus courante aujourd'hui consiste à regrouper les services de sécurité par fonction principale, en fonction de ce que fait chaque service. Le point de vue de la sécurité de l'AWS CAF répertorie neuf fonctionnalités, notamment la gestion des identités et des accès, la protection de l'infrastructure, la protection des données et la détection des menaces. Associer les services AWS à ces fonctionnalités est un moyen pratique de prendre des décisions de mise en œuvre dans chaque domaine. Par exemple, en matière de gestion des identités et des accès, IAM et IAM Identity Center sont des services à prendre en compte. Lors de l'élaboration de votre approche de détection des menaces, Amazon GuardDuty peut être votre première considération.
En complément de cette vue fonctionnelle, vous pouvez également visualiser votre sécurité à l'aide d'une vue structurelle transversale. C'est-à-dire, en plus de demander : « Quels services AWS dois-je utiliser pour contrôler et protéger mes identités, mon accès logique ou mes mécanismes de détection des menaces ? » , vous pouvez également demander : « Quels services AWS dois-je appliquer à l'ensemble de mon organisation AWS ? Quelles sont les couches de défense que je dois mettre en place pour protéger les instances Amazon EC2 au cœur de mon application ? » Dans cette vue, vous mappez les services et fonctionnalités AWS aux couches de votre environnement AWS. Certains services et fonctionnalités conviennent parfaitement à la mise en œuvre de contrôles dans l'ensemble de votre organisation AWS. Par exemple, le blocage de l'accès public aux compartiments Amazon S3 est un contrôle spécifique à cette couche. Il est préférable de le faire au niveau de l'organisation racine plutôt que de faire partie de la configuration du compte individuel. Il est préférable d'utiliser d'autres services et fonctionnalités pour protéger les ressources individuelles d'un compte AWS. La mise en œuvre d'une autorité de certification (CA) subordonnée au sein d'un compte qui nécessite des certificats TLS privés est un exemple de cette catégorie. Un autre groupe tout aussi important comprend les services qui ont un effet sur la couche réseau virtuelle de votre infrastructure AWS. Le schéma suivant montre six couches dans un environnement AWS typique : organisation AWS, unité organisationnelle (UO), compte, infrastructure réseau, principes et ressources.
Comprendre les services dans ce contexte structurel, y compris les contrôles et les protections au niveau de chaque couche, vous aide à planifier et à mettre en œuvre une defense-in-depth stratégie dans votre environnement AWS. Dans cette perspective, vous pouvez répondre aux questions du haut vers le bas (par exemple, « Quels services est-ce que j'utilise pour mettre en œuvre des contrôles de sécurité dans l'ensemble de mon organisation AWS ? ») et de bas en haut (par exemple, « Quels services gèrent les contrôles sur cette instance EC2 ? »). Dans cette section, nous allons passer en revue les éléments d'un environnement AWS et identifier les services et fonctionnalités de sécurité associés. Bien entendu, certains services AWS comportent de vastes ensembles de fonctionnalités et répondent à de multiples objectifs de sécurité. Ces services peuvent prendre en charge plusieurs éléments de votre environnement AWS.
Pour plus de clarté, nous fournissons de brèves descriptions de la manière dont certains services répondent aux objectifs énoncés. La section suivante fournit une discussion plus approfondie sur les différents services de chaque compte AWS.
Comptes multiples ou à l'échelle de l'organisation
Au niveau supérieur, certains services et fonctionnalités AWS sont conçus pour appliquer des fonctionnalités ou des garde-fous de gouvernance et de contrôle à plusieurs comptes d'une organisation AWS (y compris l'ensemble de l'organisation ou des unités d'organisation spécifiques). Les politiques de contrôle des services (SCP) sont un bon exemple de fonctionnalité IAM qui fournit un garde-fou préventif à l'échelle de l'organisation AWS. Un autre exemple est AWS CloudTrail, qui fournit une surveillance par le biais d'un journal d'organisation qui enregistre tous les événements pour tous les comptes AWS de cette organisation AWS. Ce parcours complet est distinct des parcours individuels qui peuvent être créés dans chaque compte. Le troisième exemple est AWS Firewall Manager, que vous pouvez utiliser pour configurer, appliquer et gérer plusieurs ressources sur tous les comptes de votre organisation AWS : règles AWS WAF, règles AWS WAF Classic, protections AWS Shield Advanced, groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC), politiques AWS Network Firewall et Amazon Route 53 Resolver Politiques de pare-feu DNS.
Les services marqués d'un astérisque * dans le schéma suivant ont une double portée : à l'échelle de l'organisation et axés sur les comptes. Ces services surveillent ou aident essentiellement à contrôler la sécurité d'un compte individuel. Cependant, ils offrent également la possibilité d'agréger les résultats de plusieurs comptes dans un compte à l'échelle de l'organisation pour une visibilité et une gestion centralisées. Pour plus de clarté, considérez les SCP qui s'appliquent à l'ensemble d'une unité d'organisation, d'un compte AWS ou d'une organisation AWS. En revanche, vous pouvez configurer et gérer Amazon à la GuardDuty fois au niveau du compte (où les résultats individuels sont générés) et au niveau de l'organisation AWS (à l'aide de la fonctionnalité d'administrateur délégué), où les résultats peuvent être consultés et gérés de manière globale.
Comptes AWS
Au sein des unités d'organisation, il existe des services qui aident à protéger plusieurs types d'éléments au sein d'un compte AWS. Par exemple, AWS Secrets Manager est généralement géré à partir d'un compte spécifique et protège les ressources (telles que les informations d'identification de base de données ou d'authentification), les applications et les services AWS de ce compte. AWS IAM Access Analyzer peut être configuré pour générer des résultats lorsque des ressources spécifiées sont accessibles par des personnes extérieures au compte AWS. Comme indiqué dans la section précédente, bon nombre de ces services peuvent également être configurés et administrés au sein d'AWS Organizations, afin de pouvoir être gérés sur plusieurs comptes. Ces services sont marqués d'un astérisque (*) dans le schéma. Ils facilitent également l'agrégation des résultats de plusieurs comptes et leur transfert vers un seul compte. Cela donne aux équipes d'application individuelles la flexibilité et la visibilité nécessaires pour gérer les besoins de sécurité spécifiques à leur charge de travail, tout en offrant une gouvernance et une visibilité aux équipes de sécurité centralisées. Amazon GuardDuty est un exemple de ce type de service. GuardDutysurveille les ressources et les activités associées à un seul compte, et GuardDuty les résultats provenant de plusieurs comptes membres (tels que tous les comptes d'une organisation AWS) peuvent être collectés, consultés et gérés à partir d'un compte d'administrateur délégué.
Réseau virtuel, calcul et diffusion de contenu
Étant donné que l'accès au réseau est essentiel en matière de sécurité et que l'infrastructure informatique est un élément fondamental de nombreuses charges de travail AWS, de nombreux services et fonctionnalités de sécurité AWS sont dédiés à ces ressources. Par exemple, Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos charges de travail AWS pour détecter les vulnérabilités. Ces analyses incluent des contrôles d'accessibilité au réseau qui indiquent qu'il existe des chemins réseau autorisés vers les instances Amazon EC2 dans votre environnement. Amazon Virtual Private Cloud
Principes et ressources
Les principes et les ressources AWS (ainsi que les politiques IAM) sont les éléments fondamentaux de la gestion des identités et des accès sur AWS. Un mandant authentifié dans AWS peut effectuer des actions et accéder aux ressources AWS. Un principal peut être authentifié en tant qu'utilisateur root du compte AWS, ou en tant qu'utilisateur IAM, ou en assumant un rôle.
Note
Ne créez pas de clés d'API persistantes associées à l'utilisateur root AWS. L'accès à l'utilisateur root doit être limité uniquement aux tâches qui nécessitent un utilisateur root, et uniquement par le biais d'un processus d'exception et d'approbation rigoureux. Pour connaître les meilleures pratiques visant à protéger l'utilisateur root de votre compte, consultez la documentation AWS.
Une ressource AWS est un objet existant au sein d'un service AWS avec lequel vous pouvez travailler. Les exemples incluent une instance EC2, une CloudFormation pile AWS, une rubrique Amazon Simple Notification Service (Amazon SNS) et un compartiment S3. Les politiques IAM sont des objets qui définissent les autorisations lorsqu'elles sont associées à une identité IAM (utilisateur, groupe ou rôle) ou à une ressource AWS. Les politiques basées sur l'identité sont des documents de stratégie que vous attachez à un principal (rôles, utilisateurs et groupes d'utilisateurs) pour contrôler les actions qu'un principal peut effectuer, sur quelles ressources et dans quelles conditions. Les politiques basées sur les ressources sont des documents de politique que vous attachez à une ressource telle qu'un compartiment S3. Ces politiques accordent l'autorisation principale spécifiée pour effectuer des actions spécifiques sur cette ressource et définissent les conditions de cette autorisation. Les politiques basées sur les ressources sont des politiques intégrées. La section des ressources IAM approfondit les types de politiques IAM et leur mode d'utilisation.
Pour simplifier les choses dans cette discussion, nous listons les services et fonctionnalités de sécurité AWS pour les entités IAM dont l'objectif principal est d'opérer sur les principaux comptes ou de s'appliquer à ceux-ci. Nous conservons cette simplicité tout en reconnaissant la flexibilité et l'étendue des effets des politiques d'autorisation IAM. Une seule déclaration dans une politique peut avoir des effets sur plusieurs types d'entités AWS. Par exemple, bien qu'une politique basée sur l'identité IAM soit associée à une entité IAM et définisse les autorisations (autoriser, refuser) pour cette entité, la politique définit également implicitement les autorisations pour les actions, les ressources et les conditions spécifiées. Ainsi, une politique basée sur l'identité peut être un élément essentiel dans la définition des autorisations pour une ressource.
Le schéma suivant illustre les services et fonctionnalités de sécurité AWS pour les principaux utilisateurs d'AWS. Les politiques basées sur l'identité sont associées aux objets de ressources IAM utilisés pour l'identification et le regroupement, tels que les utilisateurs, les groupes et les rôles. Ces politiques vous permettent de spécifier ce que peut faire cette identité (ses autorisations). Une stratégie de session IAM est une politique d'autorisation intégrée que les utilisateurs transmettent au cours de la session lorsqu'ils assument le rôle. Vous pouvez transmettre la politique vous-même ou configurer votre courtier d'identité pour qu'il insère la politique lorsque vos identités sont fédérées dans AWS. Cela permet à vos administrateurs de réduire le nombre de rôles qu'ils doivent créer, car plusieurs utilisateurs peuvent assumer le même rôle tout en disposant d'autorisations de session uniques. Le service IAM Identity Center est intégré aux opérations AWS Organizations et aux API AWS, et vous aide à gérer l'accès SSO et les autorisations utilisateur sur vos comptes AWS dans AWS Organizations.
Le schéma suivant illustre les services et les fonctionnalités des ressources du compte. Les politiques basées sur les ressources sont attachées à une ressource. Par exemple, vous pouvez associer des politiques basées sur les ressources aux compartiments S3, aux files d'attente Amazon Simple Queue Service (Amazon SQS), aux points de terminaison VPC et aux clés de chiffrement AWS KMS. Vous pouvez utiliser des politiques basées sur les ressources pour spécifier qui a accès à la ressource et quelles actions ils peuvent effectuer sur celle-ci. Les politiques relatives aux compartiments S3, les politiques clés d'AWS KMS et les politiques relatives aux points de terminaison VPC sont des types de politiques basées sur les ressources. AWS IAM Access Analyzer vous aide à identifier les ressources de votre organisation et les comptes, tels que les compartiments S3 ou les rôles IAM, qui sont partagés avec une entité externe. Cela vous permet d'identifier les accès imprévus à vos ressources et données, ce qui constitue un risque de sécurité. AWS Config vous permet d'évaluer, d'auditer et d'évaluer les configurations des ressources AWS prises en charge dans vos comptes AWS. AWS Config surveille et enregistre en permanence les configurations des ressources AWS, et évalue automatiquement les configurations enregistrées par rapport aux configurations souhaitées.
