Security OU — Compte Security Tooling - AWS Directives prescriptives
Administrateur délégué pour les services de sécuritéAWS CloudTrailAWS Security HubAmazon GuardDutyAWS ConfigAmazon Security LakeAmazon MacieAWS IAM Access AnalyzerAWS Firewall ManagerAmazon EventBridgeAmazon DetectiveAWS Audit ManagerAWS ArtifactAWS KMSAutorité de certification privée AWSAmazon InspectorDéploiement de services de sécurité communs au sein de tous les comptes AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Security OU — Compte Security Tooling

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Le schéma suivant illustre les services de sécurité AWS configurés dans le compte Security Tooling.

Services de sécurité pour le compte Security Tooling

Le compte Security Tooling est dédié à l'exploitation des services de sécurité, à la surveillance des comptes AWS et à l'automatisation des alertes et réponses de sécurité. Les objectifs de sécurité sont notamment les suivants :

  • Fournissez un compte dédié avec un accès contrôlé pour gérer l'accès aux garde-fous de sécurité, à la surveillance et à la réponse.

  • Maintenez l'infrastructure de sécurité centralisée appropriée pour surveiller les données relatives aux opérations de sécurité et garantir la traçabilité. La détection, l'investigation et la réponse sont des éléments essentiels du cycle de vie de la sécurité et peuvent être utilisées pour soutenir un processus de qualité, une obligation légale ou de conformité, ainsi que pour l'identification des menaces et les efforts de réponse.

  • Soutenez davantage la stratégie de defense-in-depth l'entreprise en maintenant un niveau de contrôle supplémentaire sur la configuration et les opérations de sécurité appropriées, telles que les clés de chiffrement et les paramètres des groupes de sécurité. Il s'agit d'un compte sur lequel travaillent les opérateurs de sécurité. Les rôles en lecture seule ou en audit permettant de consulter les informations à l'échelle de l'organisation AWS sont typiques, tandis que les rôles d'écriture/modification sont limités en nombre, étroitement contrôlés, surveillés et consignés.

Considérations relatives à la conception

  • AWS Control Tower nomme le compte sous l'unité d'organisation de sécurité le compte d'audit par défaut. Vous pouvez renommer le compte lors de la configuration d'AWS Control Tower.

  • Il peut être approprié de disposer de plusieurs comptes Security Tooling. Par exemple, la surveillance et la réponse aux événements de sécurité sont souvent confiées à une équipe dédiée. La sécurité du réseau peut justifier son propre compte et ses propres rôles en collaboration avec l'infrastructure cloud ou l'équipe réseau. Ces divisions conservent l'objectif de séparer les enclaves de sécurité centralisées et mettent davantage l'accent sur la séparation des tâches, le moindre privilège et la simplicité potentielle des affectations des équipes. Si vous utilisez AWS Control Tower, cela limite la création de comptes AWS supplémentaires dans le cadre de l'unité d'organisation de sécurité.

Administrateur délégué pour les services de sécurité

Le compte Security Tooling sert de compte administrateur pour les services de sécurité gérés dans une structure administrateur/membre sur l'ensemble des comptes AWS. Comme indiqué précédemment, cela est géré par le biais de la fonctionnalité d'administrateur délégué d'AWS Organizations. Les services de l'AWS SRA qui prennent actuellement en charge l'administrateur délégué incluent AWS Config, AWS Firewall Manager, Amazon GuardDuty, AWS IAM Access Analyzer, Amazon Macie, AWS Security Hub, Amazon Detective, AWS Audit Manager, Amazon Inspector, AWS et AWS CloudTrail Systems Manager. Votre équipe de sécurité gère les fonctionnalités de sécurité de ces services et surveille tous les événements ou découvertes spécifiques à la sécurité.

IAM Identity Center prend en charge l'administration déléguée à un compte membre. AWS SRA utilise le compte Shared Services comme compte d'administrateur délégué pour IAM Identity Center, comme expliqué plus loin dans la section IAM Identity Center du compte Shared Services.

AWS CloudTrail

AWS CloudTrail est un service qui prend en charge la gouvernance, la conformité et l'audit de l'activité de votre compte AWS. Vous pouvez ainsi enregistrer, surveiller en permanence et conserver l'activité du compte liée aux actions menées au sein de votre infrastructure AWS. CloudTrail CloudTrail est intégré à AWS Organizations, et cette intégration peut être utilisée pour créer un journal unique qui enregistre tous les événements pour tous les comptes de l'organisation AWS. Cet élément est appelé journal de suivi d'une organisation. Vous pouvez créer et gérer un journal d'organisation uniquement depuis le compte de gestion de l'organisation ou depuis un compte d'administrateur délégué. Lorsque vous créez un journal d'organisation, un journal portant le nom que vous spécifiez est créé dans chaque compte AWS appartenant à votre organisation AWS. Le journal enregistre l'activité de tous les comptes, y compris le compte de gestion, de l'organisation AWS et stocke les journaux dans un seul compartiment S3. En raison de la sensibilité de ce compartiment S3, vous devez le sécuriser en suivant les meilleures pratiques décrites dans la section Amazon S3 en tant que magasin de journaux central plus loin dans ce guide. Tous les comptes de l'organisation AWS peuvent voir le parcours de l'organisation dans leur liste de sentiers. Toutefois, les comptes AWS des membres ont un accès en lecture seule à ce parcours. Par défaut, lorsque vous créez un parcours d'organisation dans la CloudTrail console, il s'agit d'un parcours multirégional. Pour en savoir plus sur les meilleures pratiques en matière de sécurité, consultez la CloudTrail documentation AWS.

Dans l'AWS SRA, le compte Security Tooling est le compte d'administrateur délégué pour la gestion. CloudTrail Le compartiment S3 correspondant pour stocker les journaux de suivi de l'organisation est créé dans le compte Log Archive. Il s'agit de séparer la gestion et l'utilisation des privilèges de CloudTrail journalisation. Pour plus d'informations sur la création ou la mise à jour d'un compartiment S3 pour stocker les fichiers journaux d'un journal d'entreprise, consultez la CloudTrail documentation AWS.

Note

Vous pouvez créer et gérer des traces d'organisation à partir de comptes de gestion et d'administrateur délégué. Toutefois, il est recommandé de limiter l'accès au compte de gestion et d'utiliser la fonctionnalité d'administrateur délégué lorsqu'elle est disponible.

Considération relative à la conception

  • Si un compte membre a besoin d'accéder aux fichiers CloudTrail journaux pour son propre compte, vous pouvez partager de manière sélective les fichiers CloudTrail journaux de l'organisation à partir du compartiment S3 central. Toutefois, si les comptes membres nécessitent des groupes de CloudWatch journaux locaux pour les CloudTrail journaux de leur compte ou souhaitent configurer la gestion des journaux et les événements de données (lecture seule, écriture seule, événements de gestion, événements de données) différemment du journal de l'organisation, ils peuvent créer un journal local avec les contrôles appropriés. Les sentiers spécifiques au compte local entraînent des frais supplémentaires.

AWS Security Hub

AWS Security Hub vous fournit une vue complète de votre niveau de sécurité dans AWS et vous aide à vérifier que votre environnement est conforme aux normes du secteur de la sécurité et aux meilleures pratiques. Security Hub collecte des données de sécurité provenant des services intégrés AWS, des produits tiers pris en charge et d'autres produits de sécurité personnalisés que vous pouvez utiliser. Il vous aide à surveiller et à analyser en permanence les tendances en matière de sécurité et à identifier les problèmes de sécurité prioritaires. Outre les sources ingérées, Security Hub génère ses propres résultats, qui sont représentés par des contrôles de sécurité correspondant à une ou plusieurs normes de sécurité. Ces normes incluent AWS Foundational Security Best Practices (FSBP), le Center for Internet Security (CIS) AWS Foundations Benchmark v1.20 et v1.4.0, le National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5, la norme de sécurité des données du secteur des cartes de paiement (PCI DSS) et les normes de gestion des services. Pour obtenir une liste des normes de sécurité actuelles et des informations sur les contrôles de sécurité spécifiques, consultez la référence aux normes Security Hub dans la documentation de Security Hub.

Security Hub s'intègre à AWS Organizations pour simplifier la gestion du niveau de sécurité sur tous les comptes existants et futurs de votre organisation AWS. Vous pouvez utiliser la fonctionnalité de configuration centrale de Security Hub depuis le compte d'administrateur délégué (dans ce cas, Security Tooling) pour spécifier comment le service Security Hub, les normes de sécurité et les contrôles de sécurité sont configurés dans les comptes et les unités organisationnelles (UO) de votre organisation dans toutes les régions. Vous pouvez configurer ces paramètres en quelques étapes à partir d'une région principale, appelée région d'origine. Si vous n'utilisez pas la configuration centralisée, vous devez configurer Security Hub séparément dans chaque compte et région. L'administrateur délégué peut désigner les comptes et les unités d'organisation comme étant autogérés, où le membre peut configurer les paramètres séparément dans chaque région, ou comme gérés de manière centralisée, où l'administrateur délégué peut configurer le compte du membre ou l'unité d'organisation entre les régions. Vous pouvez désigner tous les comptes et unités d'organisation de votre organisation comme étant gérés de manière centralisée, tous autogérés ou une combinaison des deux. Cela simplifie l'application d'une configuration cohérente tout en offrant la flexibilité de la modifier pour chaque unité d'organisation et chaque compte.

Le compte d'administrateur délégué de Security Hub peut également consulter les résultats, consulter les informations et contrôler les détails de tous les comptes membres. Vous pouvez également désigner une région d'agrégation au sein du compte administrateur délégué afin de centraliser vos résultats entre vos comptes et les régions associées. Vos résultats sont synchronisés de manière continue et bidirectionnelle entre la région agrégatrice et toutes les autres régions.

Security Hub prend en charge les intégrations avec plusieurs services AWS. Amazon GuardDuty, AWS Config, Amazon Macie, AWS IAM Access Analyzer, AWS Firewall Manager, Amazon Inspector et AWS Systems Manager Patch Manager peuvent transmettre les résultats à Security Hub. Security Hub traite les résultats en utilisant un format standard appelé AWS Security Finding Format (ASFF). Security Hub met en corrélation les résultats des produits intégrés afin de prioriser les plus importants. Vous pouvez enrichir les métadonnées des résultats du Security Hub pour mieux les contextualiser, les hiérarchiser et prendre les mesures nécessaires en fonction des résultats de sécurité. Cet enrichissement ajoute des balises de ressources, une nouvelle balise d'application AWS et des informations de nom de compte à chaque découverte ingérée dans Security Hub. Cela vous permet d'affiner les résultats pour les règles d'automatisation, de rechercher ou de filtrer les résultats et les informations, et d'évaluer l'état du niveau de sécurité par application. En outre, vous pouvez utiliser des règles d'automatisation pour mettre à jour automatiquement les résultats. Au fur et à mesure que Security Hub ingère des résultats, il peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes aux résultats. Ces actions de règle prennent effet lorsque les résultats correspondent aux critères que vous avez spécifiés, tels que les identifiants de ressource ou de compte auxquels le résultat est associé, ou son titre. Vous pouvez utiliser des règles d'automatisation pour mettre à jour certains champs de recherche dans l'ASFF. Les règles s'appliquent à la fois aux nouvelles découvertes et aux mises à jour.

Au cours de l'enquête sur un événement de sécurité, vous pouvez accéder de Security Hub à Amazon Detective pour étudier une GuardDuty découverte d'Amazon. Security Hub recommande d'aligner les comptes d'administrateur délégué pour des services tels que Detective (lorsqu'ils existent) pour une intégration plus fluide. Par exemple, si vous n'alignez pas les comptes d'administrateur entre Detective et Security Hub, la navigation entre les résultats et Detective ne fonctionnera pas. Pour obtenir une liste complète, consultez la section Présentation des intégrations des services AWS avec Security Hub dans la documentation de Security Hub.

Vous pouvez utiliser Security Hub avec la fonctionnalité Network Access Analyzer d'Amazon VPC pour surveiller en permanence la conformité de votre configuration réseau AWS. Cela vous aidera à bloquer les accès indésirables au réseau et à empêcher l'accès externe à vos ressources critiques. Pour plus de détails sur l'architecture et la mise en œuvre, consultez le billet de blog AWS intitulé Vérification continue de la conformité du réseau à l'aide d'Amazon VPC Network Access Analyzer et d'AWS Security Hub.

Outre ses fonctionnalités de surveillance, Security Hub prend en charge l'intégration avec Amazon EventBridge afin d'automatiser la correction de résultats spécifiques. Vous pouvez définir des actions personnalisées à effectuer lors de la réception d'un résultat. Vous pouvez, par exemple, configurer des actions personnalisées, pour envoyer des conclusions à un système de tickets ou à un système de correction automatique. Pour des discussions et des exemples supplémentaires, consultez les articles de blog AWS Automated Response and Remediation with AWS Security Hub et How to deploy the AWS Solution for Security Hub Automated Response and Remediation.

Security Hub utilise les règles AWS Config liées aux services pour effectuer la plupart de ses contrôles de sécurité. Pour prendre en charge ces contrôles, AWS Config doit être activé sur tous les comptes, y compris le compte administrateur (ou administrateur délégué) et les comptes des membres, dans chaque région AWS où Security Hub est activé.

Considérations relatives à la conception

  • Si une norme de conformité, telle que PCI-DSS, est déjà présente dans Security Hub, le service Security Hub entièrement géré est le moyen le plus simple de la rendre opérationnelle. Toutefois, si vous souhaitez élaborer votre propre norme de conformité ou de sécurité, qui peut inclure des contrôles de sécurité, d'exploitation ou d'optimisation des coûts, les packs de conformité AWS Config proposent un processus de personnalisation simplifié. (Pour plus d'informations sur AWS Config et les packs de conformité, consultez la section AWS Config.)

  • Les cas d'utilisation courants de Security Hub sont les suivants :

    • En tant que tableau de bord qui fournit aux propriétaires d'applications une visibilité sur le niveau de sécurité et de conformité de leurs ressources AWS

    • En tant que vue centrale des résultats de sécurité utilisés par les opérations de sécurité, les intervenants en cas d'incident et les chasseurs de menaces pour trier et prendre des mesures en fonction des résultats de sécurité et de conformité d'AWS sur les comptes et les régions AWS

    • Pour agréger et acheminer les résultats de sécurité et de conformité provenant de différents comptes et régions AWS vers un système centralisé de gestion des informations et des événements de sécurité (SIEM) ou un autre système d'orchestration de sécurité

    Pour obtenir des conseils supplémentaires sur ces cas d'utilisation, notamment sur la façon de les configurer, consultez le billet de blog Three Recurrent Security Hub use patterns and how to deploy them.

Exemple de mise en œuvre

La bibliothèque de code AWS SRA fournit un exemple d'implémentation de Security Hub. Cela inclut l'activation automatique du service, l'administration déléguée à un compte membre (Security Tooling) et la configuration permettant d'activer Security Hub pour tous les comptes existants et futurs de l'organisation AWS.

Amazon GuardDuty

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos comptes et charges de travail AWS. Vous devez toujours capturer et stocker les journaux appropriés à des fins de surveillance et d'audit, mais Amazon GuardDuty extrait des flux de données indépendants directement depuis AWS CloudTrail, les journaux de flux Amazon VPC et les journaux DNS AWS. Vous n'avez pas à gérer les politiques relatives aux compartiments Amazon S3 ni à modifier la façon dont vous collectez et stockez vos journaux. GuardDutyles autorisations sont gérées comme des rôles liés à un service que vous pouvez révoquer à tout moment en les désactivant. GuardDuty Cela facilite l'activation du service sans configuration complexe et élimine le risque qu'une modification des autorisations IAM ou une modification de la politique du compartiment S3 affecte le fonctionnement du service.

En plus de fournir des sources de données de base, GuardDuty fournit des fonctionnalités facultatives pour identifier les résultats de sécurité. Il s'agit notamment de la protection EKS, de la protection RDS, de la protection S3, de la protection contre les logiciels malveillants et de la protection Lambda. Pour les nouveaux détecteurs, ces fonctionnalités optionnelles sont activées par défaut, à l'exception de la protection EKS, qui doit être activée manuellement.

  • Avec GuardDuty S3 Protection, GuardDuty surveille les événements liés aux données Amazon S3 CloudTrail en plus des événements de CloudTrail gestion par défaut. La surveillance des événements liés aux données permet GuardDuty de surveiller les opérations d'API au niveau des objets afin de détecter les risques de sécurité potentiels pour les données de vos compartiments S3.

  • GuardDuty Malware Protection détecte la présence de malwares sur les instances Amazon EC2 ou les charges de travail des conteneurs en lançant des scans sans agent sur les volumes Amazon Elastic Block Store (Amazon EBS) connectés.

  • GuardDuty La protection RDS est conçue pour profiler et surveiller les activités d'accès aux bases de données Amazon Aurora sans affecter les performances des bases de données.

  • GuardDuty La protection EKS inclut la surveillance du journal d'audit EKS et la surveillance du temps d'exécution EKS. Avec EKS Audit Log Monitoring, GuardDuty surveille les journaux d'audit Kubernetes des clusters Amazon EKS et les analyse pour détecter toute activité potentiellement malveillante et suspecte. EKS Runtime Monitoring utilise l'agent de GuardDuty sécurité (qui est un module complémentaire Amazon EKS) pour fournir une visibilité de l'exécution sur les charges de travail Amazon EKS individuelles. L'agent GuardDuty de sécurité aide à identifier les conteneurs spécifiques au sein de vos clusters Amazon EKS qui sont potentiellement compromis. Il peut également détecter les tentatives d'augmentation des privilèges d'un conteneur individuel vers l'hôte Amazon EC2 sous-jacent ou vers l'environnement AWS au sens large.

GuardDuty est activé dans tous les comptes via AWS Organizations, et tous les résultats sont consultables et exploitables par les équipes de sécurité appropriées sur le compte d'administrateur GuardDuty délégué (dans ce cas, le compte Security Tooling). 

Lorsque AWS Security Hub est activé, GuardDuty les résultats sont automatiquement transmis à Security Hub. Lorsque Amazon Detective est activé, GuardDuty les résultats sont inclus dans le processus d'ingestion du journal Detective. GuardDuty et Detective prennent en charge les flux de travail utilisateur multiservices, où GuardDuty vous trouverez des liens depuis la console qui vous redirigent depuis une découverte sélectionnée vers une page Detective contenant un ensemble de visualisations sélectionnées pour étudier cette découverte. Par exemple, vous pouvez également intégrer GuardDuty Amazon EventBridge pour automatiser les meilleures pratiques GuardDuty, telles que l'automatisation des réponses aux nouvelles GuardDuty découvertes.

Exemple de mise en œuvre

La bibliothèque de code AWS SRA fournit un exemple d'implémentation d'Amazon GuardDuty. Il inclut la configuration chiffrée du compartiment S3, l'administration déléguée et l' GuardDuty activation de tous les comptes existants et futurs de l'organisation AWS.

AWS Config

AWS Config est un service qui vous permet d'évaluer, d'auditer et d'évaluer les configurations des ressources AWS prises en charge dans vos comptes AWS. AWS Config surveille et enregistre en permanence les configurations des ressources AWS, et évalue automatiquement les configurations enregistrées par rapport aux configurations souhaitées. Vous pouvez également intégrer AWS Config à d'autres services pour effectuer le gros du travail en matière de pipelines d'audit et de surveillance automatisés. Par exemple, AWS Config peut surveiller les modifications apportées à des secrets individuels dans AWS Secrets Manager. 

Vous pouvez évaluer les paramètres de configuration de vos ressources AWS à l'aide des règles AWS Config. AWS Config fournit une bibliothèque de règles prédéfinies personnalisables appelées règles gérées. Vous pouvez également écrire vos propres règles personnalisées. Vous pouvez exécuter les règles AWS Config en mode proactif (avant le déploiement des ressources) ou en mode détective (après le déploiement des ressources). Les ressources peuvent être évaluées lors de changements de configuration, selon un calendrier périodique, ou les deux.

Un pack de conformité est un ensemble de règles et d'actions correctives AWS Config qui peuvent être déployées en tant qu'entité unique dans un compte et une région, ou au sein d'une organisation dans AWS Organizations. Les packs de conformité sont créés en créant un modèle YAML qui contient la liste des règles gérées ou personnalisées par AWS Config et des actions de correction. Pour commencer à évaluer votre environnement AWS, utilisez l'un des exemples de modèles de pack de conformité

AWS Config s'intègre à AWS Security Hub pour envoyer les résultats des évaluations de règles gérées et personnalisées par AWS Config sous forme de conclusions à Security Hub. 

Les règles AWS Config peuvent être utilisées conjointement avec AWS Systems Manager pour remédier efficacement aux ressources non conformes. Vous utilisez AWS Systems Manager Explorer pour connaître l'état de conformité des règles AWS Config dans vos comptes AWS dans toutes les régions AWS, puis vous utilisez les documents d'automatisation de Systems Manager (runbooks) pour résoudre vos règles AWS Config non conformes. Pour plus de détails sur la mise en œuvre, consultez le billet de blog Remediate non-compliant AWS Config rules with AWS Systems Manager Automation runbooks.

L'agrégateur AWS Config collecte les données de configuration et de conformité sur plusieurs comptes, régions et organisations au sein d'AWS Organizations. Le tableau de bord de l'agrégateur affiche les données de configuration des ressources agrégées. Les tableaux de bord d'inventaire et de conformité fournissent des informations essentielles et actuelles sur la configuration de vos ressources AWS et sur l'état de conformité de vos comptes AWS, des régions AWS ou au sein d'une organisation AWS. Ils vous permettent de visualiser et d'évaluer votre inventaire de ressources AWS sans avoir à écrire de requêtes avancées AWS Config. Vous pouvez obtenir des informations essentielles, telles qu'un résumé de la conformité par ressources, les 10 principaux comptes dont les ressources ne sont pas conformes, une comparaison des instances EC2 en cours d'exécution et arrêtées par type, et des volumes EBS par type et taille de volume.

Si vous utilisez AWS Control Tower pour gérer votre organisation AWS, elle déploiera un ensemble de règles AWS Config à titre de garde-fous (classées comme obligatoires, fortement recommandées ou facultatives). Ces garde-fous vous aident à gérer vos ressources et à contrôler la conformité entre les comptes de votre organisation AWS. Ces règles AWS Config utiliseront automatiquement une aws-control-tower balise dont la valeur est demanaged-by-control-tower.

AWS Config doit être activé pour chaque compte membre de l'organisation AWS et de la région AWS qui contient les ressources que vous souhaitez protéger. Vous pouvez gérer de manière centralisée (par exemple, créer, mettre à jour et supprimer) les règles AWS Config sur tous les comptes de votre organisation AWS. À partir du compte d'administrateur délégué AWS Config, vous pouvez déployer un ensemble commun de règles AWS Config sur tous les comptes et spécifier les comptes pour lesquels les règles AWS Config ne doivent pas être créées. Le compte d'administrateur délégué AWS Config peut également agréger les données de configuration et de conformité des ressources provenant de tous les comptes membres afin de fournir une vue unique. Utilisez les API du compte d'administrateur délégué pour appliquer la gouvernance en vous assurant que les règles AWS Config sous-jacentes ne peuvent pas être modifiées par les comptes membres de votre organisation AWS.

Considérations relatives à la conception

  • AWS Config envoie des notifications de modification de configuration et de conformité à Amazon EventBridge. Cela signifie que vous pouvez utiliser les fonctionnalités de filtrage natives EventBridge pour filtrer les événements AWS Config afin de pouvoir acheminer des types spécifiques de notifications vers des cibles spécifiques. Par exemple, vous pouvez envoyer des notifications de conformité pour des règles ou des types de ressources spécifiques à des adresses e-mail spécifiques, ou acheminer les notifications de modification de configuration vers un outil externe de gestion des services informatiques (ITSM) ou de base de données de gestion des configurations (CMDB). Pour plus d'informations, consultez le billet de blog AWS Config best practices

  • Outre l'évaluation proactive des règles AWS Config, vous pouvez utiliser AWS CloudFormation Guard, un outil d' policy-as-code évaluation qui vérifie de manière proactive la conformité de la configuration des ressources. L'interface de ligne de commande (CLI) AWS CloudFormation Guard vous fournit un langage déclaratif spécifique au domaine (DSL) que vous pouvez utiliser pour exprimer une politique sous forme de code. En outre, vous pouvez utiliser les commandes de l'AWS CLI pour valider des données structurées au format JSON ou YAML, telles que des ensembles de CloudFormation modifications, des fichiers de configuration Terraform basés sur JSON ou des configurations Kubernetes. Vous pouvez exécuter les évaluations localement en utilisant la CLI AWS CloudFormation Guard dans le cadre de votre processus de création ou dans le cadre de votre pipeline de déploiement. Si vous possédez des applications AWS Cloud Development Kit (AWS CDK), vous pouvez utiliser cdk-nag pour vérifier de manière proactive les meilleures pratiques.

Exemple de mise en œuvre

La bibliothèque de code AWS SRA fournit un exemple d'implémentation qui déploie les packs de conformité AWS Config sur tous les comptes et régions AWS au sein d'une organisation AWS. Le module AWS Config Aggregator vous aide à configurer un agrégateur AWS Config en déléguant l'administration à un compte membre (Security Tooling) au sein du compte Org Management, puis en configurant AWS Config Aggregator dans le compte administrateur délégué pour tous les comptes existants et futurs de l'organisation AWS. Vous pouvez utiliser le module AWS Config Control Tower Management Account pour activer AWS Config dans le compte Org Management. Il n'est pas activé par AWS Control Tower.

Amazon Security Lake

Amazon Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant des environnements AWS, des fournisseurs de logiciels en tant que service (SaaS), des sites locaux et de sources tierces. Security Lake vous aide à créer une source de données normalisée qui simplifie l'utilisation des outils d'analyse par rapport aux données de sécurité, afin que vous puissiez mieux comprendre votre posture de sécurité dans l'ensemble de l'entreprise. Le lac de données est soutenu par des compartiments Amazon Simple Storage Service (Amazon S3), et vous restez propriétaire de vos données. Security Lake collecte automatiquement les journaux pour les services AWS, notamment les journaux d'audit AWS CloudTrail, Amazon VPC, Amazon Route 53, Amazon S3, AWS Lambda et Amazon EKS.

AWS SRA vous recommande d'utiliser le compte Log Archive comme compte d'administrateur délégué pour Security Lake. Pour plus d'informations sur la configuration du compte administrateur délégué, consultez Amazon Security Lake dans la section Security OU — Log Archive account account. Les équipes de sécurité qui souhaitent accéder aux données de Security Lake ou qui ont besoin de pouvoir écrire des journaux non natifs dans les compartiments Security Lake à l'aide de fonctions personnalisées d'extraction, de transformation et de chargement (ETL) doivent opérer dans le compte Security Tooling.

Security Lake peut collecter des journaux provenant de différents fournisseurs de cloud, des journaux provenant de solutions tierces ou d'autres journaux personnalisés. Nous vous recommandons d'utiliser le compte Security Tooling pour exécuter les fonctions ETL afin de convertir les journaux au format Open Cybersecurity Schema Framework (OCSF) et de générer un fichier au format Apache Parquet. Security Lake crée le rôle entre comptes avec les autorisations appropriées pour le compte Security Tooling et la source personnalisée soutenue par les fonctions AWS Lambda ou les robots d'exploration AWS Glue, afin d'écrire des données dans les compartiments S3 pour Security Lake.

L'administrateur de Security Lake doit configurer les équipes de sécurité qui utilisent le compte Security Tooling et qui ont besoin d'accéder aux journaux que Security Lake collecte en tant qu'abonnés. Security Lake prend en charge deux types d'accès pour les abonnés :

  • Accès aux données — Les abonnés peuvent accéder directement aux objets Amazon S3 pour Security Lake. Security Lake gère l'infrastructure et les autorisations. Lorsque vous configurez le compte Security Tooling en tant qu'abonné à l'accès aux données de Security Lake, le compte est informé de la présence de nouveaux objets dans les compartiments Security Lake via Amazon Simple Queue Service (Amazon SQS), et Security Lake crée les autorisations nécessaires pour accéder à ces nouveaux objets.

  • Accès aux requêtes : les abonnés peuvent interroger les données sources à partir des tables AWS Lake Formation de votre compartiment S3 en utilisant des services tels qu'Amazon Athena. L'accès entre comptes est automatiquement configuré pour l'accès aux requêtes à l'aide d'AWS Lake Formation. Lorsque vous configurez le compte Security Tooling en tant qu'abonné à l'accès aux requêtes Security Lake, le compte bénéficie d'un accès en lecture seule aux journaux du compte Security Lake. Lorsque vous utilisez ce type d'abonné, les tables Athena et AWS Glue sont partagées entre le compte Security Lake Log Archive et le compte Security Tooling via AWS Resource Access Manager (AWS RAM). Pour activer cette fonctionnalité, vous devez mettre à jour les paramètres de partage de données entre comptes vers la version 3.

Pour plus d'informations sur la création d'abonnés, consultez la section Gestion des abonnés dans la documentation de Security Lake.

Pour connaître les meilleures pratiques en matière d'ingestion de sources personnalisées, consultez la section Collecte de données à partir de sources personnalisées dans la documentation de Security Lake.

Vous pouvez utiliser Amazon QuickSight OpenSearch, Amazon et Amazon SageMaker pour configurer des analyses par rapport aux données de sécurité que vous stockez dans Security Lake.

Considération relative à la conception

Si une équipe d'application a besoin d'un accès par requête aux données de Security Lake pour répondre à une exigence commerciale, l'administrateur de Security Lake doit configurer ce compte d'application en tant qu'abonné.

Amazon Macie

Amazon Macie est un service de sécurité et de confidentialité des données entièrement géré qui utilise l'apprentissage automatique et la correspondance de modèles pour découvrir et protéger vos données sensibles dans AWS. Vous devez identifier le type et la classification des données traitées par votre charge de travail afin de garantir l'application des contrôles appropriés. Vous pouvez utiliser Macie pour automatiser la découverte et le reporting des données sensibles de deux manières : en effectuant une découverte automatique des données sensibles et en créant et en exécutant des tâches de découverte de données sensibles. Grâce à la découverte automatique des données sensibles, Macie évalue quotidiennement votre inventaire de compartiments S3 et utilise des techniques d'échantillonnage pour identifier et sélectionner des objets S3 représentatifs de vos compartiments. Macie récupère et analyse ensuite les objets sélectionnés, en les inspectant pour détecter la présence de données sensibles. Les tâches de découverte de données sensibles permettent une analyse plus approfondie et plus ciblée. Avec cette option, vous définissez l'étendue et la profondeur de l'analyse, y compris les compartiments S3 à analyser, la profondeur d'échantillonnage et les critères personnalisés dérivés des propriétés des objets S3. Si Macie détecte un problème potentiel lié à la sécurité ou à la confidentialité d'un bucket, il crée une politique à votre intention. La découverte automatique des données est activée par défaut pour tous les nouveaux clients Macie, et les clients Macie existants peuvent l'activer en un clic.

Macie est activé dans tous les comptes via AWS Organizations. Les administrateurs disposant des autorisations appropriées sur le compte d'administrateur délégué (dans ce cas, le compte Security Tooling) peuvent activer ou suspendre Macie sur n'importe quel compte, créer des tâches de découverte de données sensibles pour les buckets appartenant à des comptes membres et consulter toutes les conclusions relatives aux politiques relatives à tous les comptes membres. Les résultats de données sensibles ne peuvent être consultés que par le compte qui a créé la tâche de résultats sensibles. Pour plus d'informations, consultez la section Gestion de plusieurs comptes dans Amazon Macie dans la documentation Macie.

Les résultats de Macie sont transmis à AWS Security Hub pour examen et analyse. Macie s'intègre également EventBridge à Amazon pour faciliter les réponses automatisées aux résultats tels que les alertes, les flux vers les systèmes de gestion des informations et des événements de sécurité (SIEM) et les mesures correctives automatisées.

Considérations relatives à la conception
Exemple de mise en œuvre

La bibliothèque de code AWS SRA fournit un exemple d'implémentation d'Amazon Macie. Cela inclut la délégation de l'administration à un compte membre et la configuration de Macie dans le compte d'administrateur délégué pour tous les comptes existants et futurs de l'organisation AWS. Macie est également configuré pour envoyer les résultats à un compartiment S3 central chiffré à l'aide d'une clé gérée par le client dans AWS KMS.

AWS IAM Access Analyzer

Alors que vous accélérez votre processus d'adoption du cloud AWS et que vous continuez à innover, il est essentiel de contrôler étroitement les accès précis (autorisations), de contenir la prolifération des accès et de garantir une utilisation efficace des autorisations. L'accès excessif et non utilisé pose des problèmes de sécurité et complique l'application du principe du moindre privilège par les entreprises. Ce principe est un pilier important de l'architecture de sécurité qui implique de dimensionner en permanence les autorisations IAM afin de trouver un équilibre entre les exigences de sécurité et les exigences opérationnelles et de développement d'applications. Cet effort implique de nombreuses parties prenantes, notamment des équipes de sécurité centrale et du Cloud Center of Excellence (CCoE) ainsi que des équipes de développement décentralisées.

AWS IAM Access Analyzer fournit des outils permettant de définir efficacement des autorisations précises, de vérifier les autorisations prévues et d'affiner les autorisations en supprimant les accès non utilisés afin de vous aider à respecter les normes de sécurité de votre entreprise. Il vous donne une visibilité sur les résultats d'accès externes et non utilisés via des tableaux de bord et AWS Security Hub. En outre, il prend en charge Amazon EventBridge pour les flux de travail personnalisés de notification et de correction basés sur les événements.

La fonctionnalité de résultats externes d'IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes AWS, tels que les compartiments Amazon S3 ou les rôles IAM, qui sont partagés avec une entité externe. L'organisation ou le compte AWS que vous choisissez est connu sous le nom de zone de confiance. L'analyseur utilise un raisonnement automatique pour analyser toutes les ressources prises en charge dans la zone de confiance et génère des résultats pour les principaux qui peuvent accéder aux ressources depuis l'extérieur de la zone de confiance. Ces résultats permettent d'identifier les ressources partagées avec une entité externe et de prévisualiser l'impact de votre politique sur l'accès public et multicompte à votre ressource avant de déployer les autorisations relatives aux ressources.

Les résultats d'IAM Access Analyzer vous aident également à identifier les accès non utilisés accordés dans vos organisations et comptes AWS, notamment :

  • Rôles IAM non utilisés : rôles n'ayant aucune activité d'accès dans la fenêtre d'utilisation spécifiée.

  • Utilisateurs, informations d'identification et clés d'accès IAM non utilisés : informations d'identification appartenant aux utilisateurs IAM et utilisées pour accéder aux services et ressources AWS.

  • Politiques et autorisations IAM non utilisées : autorisations au niveau du service et au niveau de l'action qui n'ont pas été utilisées par un rôle dans une fenêtre d'utilisation spécifiée. IAM Access Analyzer utilise des politiques basées sur l'identité associées aux rôles pour déterminer les services et les actions auxquels ces rôles peuvent accéder. L'analyseur fournit un aperçu des autorisations non utilisées pour toutes les autorisations de niveau de service.

Vous pouvez utiliser les résultats générés par IAM Access Analyzer pour obtenir de la visibilité sur tout accès involontaire ou non utilisé et y remédier, conformément aux politiques et aux normes de sécurité de votre organisation. Après correction, ces résultats sont marqués comme résolus lors de la prochaine exécution de l'analyseur. Si le résultat est intentionnel, vous pouvez le marquer comme archivé dans IAM Access Analyzer et hiérarchiser les autres résultats présentant un risque de sécurité accru. En outre, vous pouvez configurer des règles d'archivage pour archiver automatiquement des résultats spécifiques. Par exemple, vous pouvez créer une règle d’archivage pour archiver automatiquement tous les résultats pour un compartiment Amazon S3 spécifique auquel vous accordez régulièrement l’accès.

En tant que créateur, vous pouvez utiliser IAM Access Analyzer pour effectuer des vérifications automatisées des politiques IAM plus tôt dans votre processus de développement et de déploiement (CI/CD) afin de respecter les normes de sécurité de votre entreprise. Vous pouvez intégrer les vérifications et révisions de politiques personnalisées d'IAM Access Analyzer CloudFormation à AWS pour automatiser les révisions des politiques dans le cadre des pipelines CI/CD de votre équipe de développement. Cela consiste notamment à :

  • Validation des politiques IAM : IAM Access Analyzer valide vos politiques par rapport à la grammaire des politiques IAM et aux meilleures pratiques d'AWS. Vous pouvez consulter les résultats des contrôles de validation des politiques, notamment les avertissements de sécurité, les erreurs, les avertissements généraux et les suggestions pour votre politique. Plus de 100 contrôles de validation des politiques sont actuellement disponibles et peuvent être automatisés à l'aide de l'interface de ligne de commande (AWS CLI) et des API.

  • Contrôles de politique personnalisés IAM — Les contrôles de politique personnalisés d'IAM Access Analyzer valident vos politiques par rapport aux normes de sécurité que vous avez spécifiées. Les contrôles de politique personnalisés utilisent un raisonnement automatisé pour fournir un niveau d'assurance supérieur quant au respect des normes de sécurité de votre entreprise. Les types de vérifications de politiques personnalisées incluent :

    • Comparaison avec une politique de référence : lorsque vous modifiez une politique, vous pouvez la comparer à une stratégie de référence, telle qu'une version existante de la stratégie, pour vérifier si la mise à jour accorde un nouvel accès. L'CheckNoNewAccessAPI compare deux politiques (une politique mise à jour et une politique de référence) pour déterminer si la politique mise à jour introduit un nouvel accès par rapport à la politique de référence, et renvoie une réponse positive ou négative.

    • Comparaison avec une liste d'actions IAM : vous pouvez utiliser l'CheckAccessNotGrantedAPI pour vous assurer qu'une politique n'autorise pas l'accès à une liste d'actions critiques définies dans votre norme de sécurité. Cette API utilise une politique et une liste de 100 actions IAM au maximum pour vérifier si la politique autorise au moins l'une des actions, et renvoie une réponse d'échec ou de réussite.

Les équipes de sécurité et les autres auteurs de politiques IAM peuvent utiliser IAM Access Analyzer pour créer des politiques conformes à la grammaire des politiques IAM et aux normes de sécurité. La création manuelle de politiques adaptées peut être source d'erreurs et prendre du temps. La fonction de génération de politiques IAM Access Analyzer aide à créer des politiques IAM basées sur l'activité d'accès d'un principal. IAM Access Analyzer examine CloudTrail les journaux AWS pour les services pris en charge et génère un modèle de politique contenant les autorisations utilisées par le principal dans la plage de dates spécifiée. Vous pouvez ensuite utiliser ce modèle pour créer une politique avec des autorisations détaillées qui n'accordent que les autorisations nécessaires.

  • Un suivi doit être activé CloudTrail pour que votre compte puisse générer une politique basée sur l'activité d'accès.

  • IAM Access Analyzer n'identifie pas l'activité au niveau de l'action pour les événements de données, tels que les événements de données Amazon S3, dans les politiques générées.

  • L'iam:PassRoleaction n'est pas suivie CloudTrail et n'est pas incluse dans les politiques générées.

Access Analyzer est déployé dans le compte Security Tooling via la fonctionnalité d'administrateur délégué dans AWS Organizations. L'administrateur délégué est autorisé à créer et à gérer des analyseurs avec l'organisation AWS comme zone de confiance.

Considération relative à la conception

  • Pour obtenir des résultats spécifiques au compte (où le compte sert de limite fiable), vous devez créer un analyseur de l'étendue du compte dans chaque compte membre. Cela peut être fait dans le cadre du pipeline de comptes. Les résultats relatifs au compte sont transmis à Security Hub au niveau du compte membre. De là, ils sont transférés vers le compte administrateur délégué du Security Hub (Security Tooling).

Exemples de mise en œuvre

AWS Firewall Manager

AWS Firewall Manager aide à protéger votre réseau en simplifiant les tâches d'administration et de maintenance pour AWS WAF, AWS Shield Advanced, les groupes de sécurité Amazon VPC, AWS Network Firewall et Route 53 Resolver DNS Firewall sur plusieurs comptes et ressources. Avec Firewall Manager, vous ne configurez qu'une seule fois les règles de pare-feu AWS WAF, les protections Shield Advanced, les groupes de sécurité Amazon VPC, les pare-feux AWS Network Firewall et les associations de groupes de règles de pare-feu DNS. Le service applique automatiquement les règles et les protections sur l'ensemble de vos comptes et de vos ressources, même celles qui sont ajoutées ultérieurement.

Firewall Manager est particulièrement utile lorsque vous souhaitez protéger l'ensemble de votre organisation AWS plutôt qu'un petit nombre de comptes et de ressources spécifiques, ou si vous ajoutez fréquemment de nouvelles ressources que vous souhaitez protéger. Firewall Manager utilise des politiques de sécurité pour vous permettre de définir un ensemble de configurations, notamment les règles, protections et actions pertinentes qui doivent être déployées, ainsi que les comptes et ressources (indiqués par des balises) à inclure ou à exclure. Vous pouvez créer des configurations granulaires et flexibles tout en étant en mesure d'étendre le contrôle à un grand nombre de comptes et de VPC. Ces politiques appliquent automatiquement et de manière cohérente les règles que vous configurez, même lorsque de nouveaux comptes et ressources sont créés. Firewall Manager est activé dans tous les comptes via AWS Organizations, et la configuration et la gestion sont effectuées par les équipes de sécurité appropriées sur le compte administrateur délégué de Firewall Manager (dans ce cas, le compte Security Tooling). 

Vous devez activer AWS Config pour chaque région AWS qui contient les ressources que vous souhaitez protéger. Si vous ne souhaitez pas activer AWS Config pour toutes les ressources, vous devez l'activer pour les ressources associées au type de politiques Firewall Manager que vous utilisez. Lorsque vous utilisez à la fois AWS Security Hub et Firewall Manager, Firewall Manager envoie automatiquement vos résultats à Security Hub. Firewall Manager crée des résultats pour les ressources non conformes et pour les attaques qu'il détecte, et envoie les résultats à Security Hub. Lorsque vous configurez une politique Firewall Manager pour AWS WAF, vous pouvez activer de manière centralisée la connexion aux listes de contrôle d'accès Web (ACL Web) pour tous les comptes concernés et centraliser les journaux sous un seul compte. 

Considération relative à la conception

  • Les responsables de comptes des comptes membres individuels de l'organisation AWS peuvent configurer des contrôles supplémentaires (tels que les règles AWS WAF et les groupes de sécurité Amazon VPC) dans les services gérés de Firewall Manager en fonction de leurs besoins particuliers.

Exemple de mise en œuvre

La bibliothèque de code AWS SRA fournit un exemple d'implémentation d'AWS Firewall Manager. Il illustre l'administration déléguée (outils de sécurité), déploie un groupe de sécurité maximal autorisé, configure une politique de groupe de sécurité et configure plusieurs politiques WAF.

Amazon EventBridge

Amazon EventBridge est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources. Il est fréquemment utilisé dans l'automatisation de la sécurité. Vous pouvez configurer des règles de routage pour déterminer où envoyer vos données afin de créer des architectures d'applications qui réagissent en temps réel à toutes vos sources de données. Vous pouvez créer un bus d'événements personnalisé pour recevoir les événements de vos applications personnalisées, en plus d'utiliser le bus d'événements par défaut dans chaque compte. Vous pouvez créer un bus d'événements dans le compte Security Tooling qui peut recevoir des événements spécifiques à la sécurité provenant d'autres comptes de l'organisation AWS. Par exemple, en associant les règles AWS Config et Security Hub GuardDuty EventBridge, vous créez un pipeline flexible et automatisé pour le routage des données de sécurité, le lancement d'alertes et la gestion des actions visant à résoudre les problèmes. 

Considérations relatives à la conception

  • EventBridge est capable d'acheminer des événements vers un certain nombre de cibles différentes. Un modèle intéressant pour automatiser les actions de sécurité consiste à connecter des événements particuliers à des répondeurs AWS Lambda individuels, qui prennent les mesures appropriées. Par exemple, dans certaines circonstances, vous souhaiterez peut-être l'utiliser EventBridge pour acheminer une recherche de compartiment S3 public vers un répondeur Lambda qui corrige la politique du compartiment et supprime les autorisations publiques. Ces intervenants peuvent être intégrés à vos manuels d'enquête et à vos manuels d'exécution afin de coordonner les activités d'intervention.

  • L'une des meilleures pratiques pour une équipe des opérations de sécurité efficace consiste à intégrer le flux des événements et des résultats de sécurité dans un système de notification et de flux de travail tel qu'un système de billetterie, un système de bogues/problèmes ou un autre système de gestion des informations et des événements de sécurité (SIEM). Cela permet de réduire le flux de travail lié aux e-mails et aux rapports statiques, et de vous aider à acheminer, à escalader et à gérer les événements ou les résultats. Les capacités de routage flexibles qu' EventBridge il contient constituent un puissant outil pour cette intégration.

Amazon Detective

Amazon Detective soutient votre stratégie de contrôle de sécurité réactive en simplifiant l'analyse, l'investigation et l'identification rapide de la cause première des découvertes de sécurité ou des activités suspectes pour vos analystes de sécurité. Detective extrait automatiquement les événements temporels tels que les tentatives de connexion, les appels d'API et le trafic réseau à partir des CloudTrail journaux AWS et des journaux de flux Amazon VPC. Vous pouvez utiliser Detective pour accéder à un an de données historiques sur les événements. Detective utilise ces événements en utilisant des flux indépendants de CloudTrail journaux et des journaux de flux Amazon VPC. Detective utilise l'apprentissage automatique et la visualisation pour créer une vue unifiée et interactive du comportement de vos ressources et des interactions entre elles au fil du temps. C'est ce que l'on appelle un graphe de comportement. Vous pouvez explorer le graphe de comportement pour examiner des actions disparates telles que des tentatives d'ouverture de session infructueuses ou des appels d'API suspects.

Detective s'intègre à Amazon Security Lake pour permettre aux analystes de sécurité d'interroger et de récupérer les journaux stockés dans Security Lake. Vous pouvez utiliser cette intégration pour obtenir des informations supplémentaires à partir des CloudTrail journaux AWS et des journaux de flux Amazon VPC stockés dans Security Lake lorsque vous menez des enquêtes de sécurité dans Detective.

Detective ingère également les résultats détectés par Amazon GuardDuty, y compris les menaces détectées par GuardDuty Runtime Monitoring. Lorsqu'un compte active Detective, il devient le compte administrateur du graphe de comportement. Avant d'essayer d'activer Detective, assurez-vous que votre compte est connecté GuardDuty depuis au moins 48 heures. Si vous ne répondez pas à cette exigence, vous ne pouvez pas activer Detective.

Detective regroupe automatiquement plusieurs résultats liés à un seul événement de compromission de sécurité dans des groupes de recherche. Les acteurs de la menace exécutent généralement une séquence d'actions qui aboutissent à de multiples constatations de sécurité réparties dans le temps et les ressources. Par conséquent, la recherche de groupes devrait être le point de départ des enquêtes impliquant plusieurs entités et conclusions. Detective fournit également des résumés de groupes de recherche en utilisant une IA générative qui analyse automatiquement les groupes de recherche et fournit des informations en langage naturel pour vous aider à accélérer les enquêtes de sécurité.

Detective s'intègre à AWS Organizations. Le compte Org Management délègue un compte membre en tant que compte administrateur Detective. Dans l'AWS SRA, il s'agit du compte Security Tooling. Le compte administrateur Detective permet d'activer automatiquement tous les comptes membres actuels de l'organisation en tant que comptes de membre détective, et d'ajouter de nouveaux comptes membres au fur et à mesure de leur ajout à l'organisation AWS. Les comptes d'administrateur Detective ont également la possibilité d'inviter des comptes membres qui ne résident pas actuellement dans l'organisation AWS, mais qui appartiennent à la même région, à fournir leurs données au graphique de comportement du compte principal. Lorsqu'un compte membre accepte l'invitation et est activé, Detective commence à ingérer et à extraire les données du compte membre dans ce graphique de comportement.

Considération relative à la conception

  • Vous pouvez accéder à Detective pour trouver des profils depuis les consoles AWS Security Hub GuardDuty et AWS Security Hub. Ces liens peuvent aider à rationaliser le processus d'enquête. Votre compte doit être le compte administratif de Detective et du service que vous quittez (GuardDuty ou Security Hub). Si les comptes principaux sont les mêmes pour les services, les liens d'intégration fonctionnent parfaitement.

AWS Audit Manager

AWS Audit Manager vous aide à auditer en permanence votre utilisation d'AWS afin de simplifier la gestion des audits et la conformité aux réglementations et aux normes du secteur. Elle vous permet de passer de la collecte, de l'examen et de la gestion manuels des preuves à une solution qui automatise la collecte des preuves, fournit un moyen simple de suivre la source des preuves d'audit, permet la collaboration en équipe et aide à gérer la sécurité et l'intégrité des preuves. Lorsqu’il est temps d’effectuer un audit, Audit Manager vous aide à gérer les examens de vos contrôles par les parties prenantes.

Avec Audit Manager, vous pouvez effectuer des audits par rapport à des frameworks prédéfinis tels que le benchmark du Center for Internet Security (CIS), le CIS AWS Foundations Benchmark, System and Organization Controls 2 (SOC 2) et le Payment Card Industry Data Security Standard (PCI DSS). Il vous permet également de créer vos propres frameworks avec des contrôles standard ou personnalisés en fonction de vos exigences spécifiques en matière d'audits internes.

Audit Manager collecte quatre types de preuves. Trois types de preuves sont automatisés : les preuves de contrôle de conformité provenant d'AWS Config et d'AWS Security Hub, les preuves des événements de gestion provenant d'AWS CloudTrail et les preuves de configuration issues des appels d' service-to-service API AWS. Pour les preuves qui ne peuvent pas être automatisées, Audit Manager vous permet de télécharger des preuves manuelles.

Note

Audit Manager aide à collecter des preuves pertinentes pour vérifier la conformité aux normes et réglementations de conformité spécifiques. Toutefois, il n'évalue pas votre conformité. Par conséquent, les preuves collectées par le biais d'Audit Manager peuvent ne pas inclure les détails de vos processus opérationnels nécessaires aux audits. Audit Manager ne remplace pas un conseiller juridique ou un expert en conformité. Nous vous recommandons de faire appel aux services d'un évaluateur tiers certifié pour le ou les cadres de conformité par rapport auxquels vous êtes évalué.

Les évaluations d'Audit Manager peuvent être effectuées sur plusieurs comptes au sein de vos organisations AWS. Audit Manager collecte et consolide les preuves dans un compte d'administrateur délégué dans AWS Organizations. Cette fonctionnalité d'audit est principalement utilisée par les équipes de conformité et d'audit interne, et ne nécessite qu'un accès en lecture à vos comptes AWS.

Considérations relatives à la conception

  • Audit Manager complète d'autres services de sécurité AWS tels que Security Hub et AWS Config pour aider à mettre en œuvre un cadre de gestion des risques. Audit Manager fournit des fonctionnalités d'assurance des risques indépendantes, tandis que Security Hub vous aide à superviser vos risques et que les packs de conformité AWS Config vous aident à gérer vos risques. Les professionnels de l'audit qui connaissent le modèle à trois lignes développé par l'Institute of Internal Auditors (IIA) doivent noter que cette combinaison de services AWS vous permet de couvrir les trois lignes de défense. Pour plus d'informations, consultez la série de blogs en deux parties sur le blog AWS Cloud Operations & Migrations.

  • Pour qu'Audit Manager puisse collecter les preuves du Security Hub, le compte d'administrateur délégué pour les deux services doit être le même compte AWS. C'est pourquoi, dans l'AWS SRA, le compte Security Tooling est l'administrateur délégué d'Audit Manager.

AWS Artifact

AWS Artifact est hébergé dans le compte Security Tooling afin de séparer la fonctionnalité de gestion des artefacts de conformité du compte AWS Org Management. Cette séparation des tâches est importante car nous vous recommandons d'éviter d'utiliser le compte AWS Org Management pour les déploiements, sauf en cas de nécessité absolue. Transférez plutôt les déploiements aux comptes des membres. Étant donné que la gestion des artefacts d'audit peut être effectuée à partir d'un compte membre et que la fonction est étroitement liée à l'équipe de sécurité et de conformité, le compte Security Tooling est désigné comme compte administrateur d'AWS Artifact. Vous pouvez utiliser les rapports AWS Artifact pour télécharger des documents de sécurité et de conformité AWS, tels que les certifications ISO AWS, les rapports PCI (Payment Card Industry) et les rapports SOC (System and Organization Controls).

AWS Artifact ne prend pas en charge la fonctionnalité d'administration déléguée. Au lieu de cela, vous pouvez limiter cette fonctionnalité aux seuls rôles IAM du compte Security Tooling relatifs à vos équipes d'audit et de conformité, afin qu'elles puissent télécharger, examiner et fournir ces rapports aux auditeurs externes selon les besoins. Vous pouvez également restreindre les rôles IAM spécifiques afin de n'avoir accès qu'à des rapports AWS Artifact spécifiques par le biais de politiques IAM. Pour des exemples de politiques IAM, consultez la documentation AWS Artifact.

Considération relative à la conception

  • Si vous choisissez de disposer d'un compte AWS dédié aux équipes d'audit et de conformité, vous pouvez héberger AWS Artifact dans un compte d'audit de sécurité, distinct du compte Security Tooling. Les rapports AWS Artifact fournissent des preuves démontrant qu'une organisation suit un processus documenté ou répond à une exigence spécifique. Les artefacts d'audit sont collectés et archivés tout au long du cycle de développement du système et peuvent être utilisés comme preuves dans le cadre d'audits et d'évaluations internes ou externes.

AWS KMS

AWS Key Management Service (AWS KMS) vous aide à créer et à gérer des clés de chiffrement et à contrôler leur utilisation dans un large éventail de services AWS et dans vos applications. AWS KMS est un service sécurisé et résilient qui utilise des modules de sécurité matériels pour protéger les clés cryptographiques. Il suit les processus de cycle de vie standard du secteur pour les éléments clés, tels que le stockage, la rotation et le contrôle d'accès des clés. AWS KMS peut vous aider à protéger vos données à l'aide de clés de chiffrement et de signature, et peut être utilisé à la fois pour le chiffrement côté serveur et le chiffrement côté client via le SDK de chiffrement AWS. Pour des raisons de protection et de flexibilité, AWS KMS prend en charge trois types de clés : les clés gérées par le client, les clés gérées par AWS et les clés détenues par AWS. Les clés gérées par le client sont des clés AWS KMS de votre compte AWS que vous créez, détenez et gérez. Les clés gérées par AWS sont des clés AWS KMS de votre compte qui sont créées, gérées et utilisées en votre nom par un service AWS intégré à AWS KMS. Les clés détenues par AWS sont un ensemble de clés AWS KMS qu'un service AWS possède et gère pour être utilisées dans plusieurs comptes AWS. Pour plus d'informations sur l'utilisation des clés KMS, consultez la documentation AWS KMS et les détails cryptographiques d'AWS KMS.

L'une des options de déploiement consiste à centraliser la responsabilité de la gestion des clés KMS sur un seul compte tout en déléguant la capacité d'utiliser les clés du compte d'application aux ressources de l'application en utilisant une combinaison de politiques clés et IAM. Cette approche est sûre et simple à gérer, mais vous pouvez rencontrer des obstacles en raison des limites de régulation d'AWS KMS, des limites de service des comptes et de l'inondation de l'équipe de sécurité par les tâches opérationnelles de gestion des clés. Une autre option de déploiement consiste à utiliser un modèle décentralisé dans lequel vous autorisez AWS KMS à résider dans plusieurs comptes, et vous autorisez les responsables de l'infrastructure et des charges de travail d'un compte spécifique à gérer leurs propres clés. Ce modèle donne à vos équipes chargées de la charge de travail plus de contrôle, de flexibilité et d'agilité en ce qui concerne l'utilisation des clés de chiffrement. Cela permet également d'éviter les limites d'API, de limiter l'étendue de l'impact à un seul compte AWS et de simplifier les tâches de reporting, d'audit et autres tâches liées à la conformité. Dans un modèle décentralisé, il est important de déployer et d'appliquer des garde-fous afin que les clés décentralisées soient gérées de la même manière et que l'utilisation des clés KMS soit auditée conformément aux meilleures pratiques et politiques établies. Pour plus d'informations, consultez le livre blanc AWS Key Management Service Best Practices. AWS SRA recommande un modèle de gestion distribuée des clés dans lequel les clés KMS résident localement dans le compte sur lequel elles sont utilisées. Nous vous recommandons d'éviter d'utiliser une seule clé dans un compte pour toutes les fonctions cryptographiques. Les clés peuvent être créées en fonction des exigences relatives à la fonction et à la protection des données, et pour appliquer le principe du moindre privilège. Dans certains cas, les autorisations de chiffrement seraient séparées des autorisations de déchiffrement, et les administrateurs géreraient les fonctions du cycle de vie mais ne seraient pas en mesure de chiffrer ou de déchiffrer les données avec les clés qu'ils gèrent. 

Dans le compte Security Tooling, AWS KMS est utilisé pour gérer le chiffrement des services de sécurité centralisés tels que le CloudTrail journal d'organisation AWS géré par l'organisation AWS.

Autorité de certification privée AWS

AWS Private Certificate Authority(Autorité de certification privée AWS) est un service de CA privé géré qui vous aide à gérer en toute sécurité le cycle de vie de vos certificats TLS d'entité finale privée pour les instances EC2, les conteneurs, les appareils IoT et les ressources sur site. Il permet de chiffrer les communications TLS avec les applications en cours d'exécution. Vous pouvez ainsi créer votre propre hiérarchie d'autorités de certification (une autorité de certification racine, via des autorités de certification subordonnées, pour des certificats d'entité finale) et émettre des certificats avec celle-ci pour authentifier les utilisateurs internes, les ordinateurs, les applications, les services, les serveurs et autres appareils, et pour signer le code informatique. Autorité de certification privée AWS Les certificats émis par une autorité de certification privée ne sont fiables qu'au sein de votre organisation AWS, et non sur Internet.

Une infrastructure à clé publique (PKI) ou une équipe de sécurité peut être chargée de gérer l'ensemble de l'infrastructure PKI. Cela inclut la gestion et la création de l'autorité de certification privée. Cependant, il doit y avoir une disposition permettant aux équipes chargées de la charge de travail de répondre elles-mêmes à leurs exigences en matière de certificats. L'AWS SRA décrit une hiérarchie d'autorité de certification centralisée dans laquelle l'autorité de certification racine est hébergée dans le compte Security Tooling. Cela permet aux équipes de sécurité d'appliquer un contrôle de sécurité rigoureux, car l'autorité de certification racine est à la base de l'ensemble de l'infrastructure PKI. Cependant, la création de certificats privés à partir de l'autorité de certification privée est déléguée aux équipes de développement d'applications en répartissant l'autorité de certification sur un compte d'application à l'aide d'AWS Resource Access Manager (AWS RAM). AWS RAM gère les autorisations requises pour le partage entre comptes. Cela élimine le besoin d'une autorité de certification privée pour chaque compte et constitue un mode de déploiement plus rentable. Pour plus d'informations sur le flux de travail et la mise en œuvre, consultez le billet de blog Comment utiliser la RAM AWS pour partager vos Autorité de certification privée AWS comptes entre comptes.

Note

ACM vous aide également à fournir, gérer et déployer des certificats TLS publics à utiliser avec les services AWS. Pour prendre en charge cette fonctionnalité, ACM doit résider dans le compte AWS qui utiliserait le certificat public. Cette question est abordée plus loin dans ce guide, dans la section Compte de l'application.

Considérations relatives à la conception

  • Avec Autorité de certification privée AWS, vous pouvez créer une hiérarchie d'autorités de certification comportant jusqu'à cinq niveaux. Vous pouvez également créer plusieurs hiérarchies, chacune ayant sa propre racine. La Autorité de certification privée AWS hiérarchie doit être conforme à la conception de l'infrastructure PKI de votre organisation. Cependant, gardez à l'esprit que l'augmentation de la hiérarchie de l'autorité de certification augmente le nombre de certificats dans le parcours de certification, ce qui, à son tour, augmente le temps de validation d'un certificat d'entité finale. Une hiérarchie d'autorités de certification bien définie présente des avantages tels qu'un contrôle de sécurité granulaire adapté à chaque autorité de certification, la délégation des autorités de certification subordonnées à une application différente, ce qui entraîne une division des tâches administratives, l'utilisation d'une autorité de certification avec une confiance révocable limitée, la possibilité de définir différentes périodes de validité et la capacité d'appliquer des limites de chemin. Idéalement, vos autorités de certification racine et subordonnées se trouvent dans des comptes AWS distincts. Pour plus d'informations sur la planification d'une hiérarchie CA à l'aide de Autorité de certification privée AWS, consultez la Autorité de certification privée AWS documentation et le billet de blog Comment sécuriser une Autorité de certification privée AWS hiérarchie à l'échelle de l'entreprise pour l'automobile et le secteur manufacturier.

  • Autorité de certification privée AWS peut s'intégrer à votre hiérarchie de CA existante, ce qui vous permet d'utiliser l'automatisation et la capacité d'intégration AWS native d'ACM en conjonction avec la racine de confiance existante que vous utilisez aujourd'hui. Vous pouvez créer une autorité de certification subordonnée dans Autorité de certification privée AWS soutenue par une autorité de certification parent sur site. Pour plus d'informations sur la mise en œuvre, consultez la section Installation d'un certificat d'autorité de certification subordonnée signé par une autorité de certification parent externe dans la Autorité de certification privée AWS documentation.

Amazon Inspector

Amazon Inspector est un service de gestion automatique des vulnérabilités qui découvre et analyse automatiquement les instances Amazon EC2, les images de conteneurs dans Amazon Container Registry (Amazon ECR) et les fonctions AWS Lambda pour détecter les vulnérabilités logicielles connues et les expositions réseau involontaires.

Amazon Inspector évalue en permanence votre environnement tout au long du cycle de vie de vos ressources en analysant automatiquement les ressources chaque fois que vous y apportez des modifications. Les événements qui déclenchent la nouvelle analyse d'une ressource incluent l'installation d'un nouveau package sur une instance EC2, l'installation d'un correctif et la publication d'un nouveau rapport CVE (Common Vulnerabilities and Exposures) qui affecte la ressource. Amazon Inspector prend en charge les évaluations de référence du Center of Internet Security (CIS) pour les systèmes d'exploitation dans les instances EC2.

Amazon Inspector s'intègre à des outils de développement tels que Jenkins et TeamCity pour l'évaluation des images de conteneurs. Vous pouvez évaluer les vulnérabilités logicielles de vos images de conteneur au sein de vos outils d'intégration continue et de livraison continue (CI/CD), et placer la sécurité à un stade plus précoce du cycle de développement logiciel. Les résultats de l'évaluation sont disponibles dans le tableau de bord de l'outil CI/CD, afin que vous puissiez effectuer des actions automatisées en réponse à des problèmes de sécurité critiques tels que le blocage de builds ou le transfert d'images vers des registres de conteneurs. Si vous avez un compte AWS actif, vous pouvez installer le plugin Amazon Inspector depuis votre place de marché d'outils CI/CD et ajouter un scan Amazon Inspector à votre pipeline de génération sans avoir à activer le service Amazon Inspector. Cette fonctionnalité fonctionne avec les outils CI/CD hébergés n'importe où (sur AWS, sur site ou dans des clouds hybrides) afin que vous puissiez toujours utiliser une solution unique dans tous vos pipelines de développement. Lorsqu'Amazon Inspector est activé, il découvre automatiquement toutes vos instances EC2, les images de conteneur dans les outils Amazon ECR et CI/CD, ainsi que les fonctions AWS Lambda à grande échelle, et les surveille en permanence pour détecter les vulnérabilités connues.

Les résultats d'Amazon Inspector relatifs à l'accessibilité du réseau évaluent l'accessibilité de vos instances EC2 vers ou depuis les périphériques VPC, tels que les passerelles Internet, les connexions d'appairage VPC ou les réseaux privés virtuels (VPN) via une passerelle virtuelle. Ces règles permettent d'automatiser la surveillance de vos réseaux AWS et d'identifier les endroits où l'accès réseau à vos instances EC2 peut être mal configuré en raison de groupes de sécurité mal gérés, de listes de contrôle d'accès (ACL), de passerelles Internet, etc. Pour plus d'informations, consultez la documentation Amazon Inspector.

Lorsqu'Amazon Inspector identifie des vulnérabilités ou des chemins réseau ouverts, il produit un résultat que vous pouvez examiner. Le résultat inclut des informations complètes sur la vulnérabilité, notamment un score de risque, la ressource affectée et des recommandations de correction. Le score de risque est spécifiquement adapté à votre environnement et est calculé en corrélant les informations up-to-date CVE avec des facteurs temporels et environnementaux tels que les informations d'accessibilité et d'exploitabilité du réseau afin de fournir une constatation contextuelle.

Pour détecter les vulnérabilités, les instances EC2 doivent être gérées dans AWS Systems Manager à l'aide de l'agent AWS Systems Manager (agent SSM). Aucun agent n'est requis pour l'accessibilité réseau des instances EC2 ou pour l'analyse des vulnérabilités des images de conteneurs dans les fonctions Amazon ECR ou Lambda.

Amazon Inspector est intégré à AWS Organizations et prend en charge l'administration déléguée. Dans l'AWS SRA, le compte Security Tooling devient le compte d'administrateur délégué d'Amazon Inspector. Le compte d'administrateur délégué Amazon Inspector peut gérer les données relatives aux résultats et certains paramètres pour les membres de l'organisation AWS. Cela inclut l'affichage des détails des résultats agrégés pour tous les comptes membres, l'activation ou la désactivation des scans des comptes membres et l'examen des ressources numérisées au sein de l'organisation AWS.

Considérations relatives à la conception

  • Amazon Inspector s'intègre automatiquement à AWS Security Hub lorsque les deux services sont activés. Vous pouvez utiliser cette intégration pour envoyer tous les résultats d'Amazon Inspector à Security Hub, qui les inclura ensuite dans son analyse de votre niveau de sécurité.

  • Amazon Inspector exporte automatiquement les événements relatifs aux résultats, aux modifications de la couverture des ressources et aux analyses initiales des ressources individuelles vers Amazon et EventBridge, éventuellement, vers un bucket Amazon Simple Storage Service (Amazon S3). Pour exporter les résultats actifs vers un compartiment S3, vous avez besoin d'une clé AWS KMS qu'Amazon Inspector peut utiliser pour chiffrer les résultats et d'un compartiment S3 doté d'autorisations permettant à Amazon Inspector de télécharger des objets. EventBridge l'intégration vous permet de surveiller et de traiter les résultats en temps quasi réel dans le cadre de vos flux de travail existants en matière de sécurité et de conformité. EventBridge les événements sont publiés sur le compte administrateur délégué Amazon Inspector en plus du compte membre dont ils proviennent.

Exemple de mise en œuvre

La bibliothèque de code AWS SRA fournit un exemple d'implémentation d'Amazon Inspector. Il illustre l'administration déléguée (outils de sécurité) et configure Amazon Inspector pour tous les comptes existants et futurs de l'organisation AWS.

Déploiement de services de sécurité communs au sein de tous les comptes AWS

La section Appliquer les services de sécurité à l'ensemble de votre organisation AWS plus haut dans cette référence a mis en évidence les services de sécurité qui protègent un compte AWS, et a noté que bon nombre de ces services peuvent également être configurés et gérés au sein d'AWS Organizations. Certains de ces services doivent être déployés dans tous les comptes, et vous les verrez dans l'AWS SRA. Cela permet de disposer d'un ensemble cohérent de garde-fous et de centraliser la surveillance, la gestion et la gouvernance au sein de votre organisation AWS. 

Security Hub GuardDuty, AWS Config, Access Analyzer et les traces d' CloudTrail organisation AWS apparaissent dans tous les comptes. Les trois premiers prennent en charge la fonctionnalité d'administrateur délégué décrite précédemment dans les sections Compte de gestion, accès sécurisé et administrateurs délégués. CloudTrail utilise actuellement un mécanisme d'agrégation différent.

Le référentiel de GitHub code AWS SRA fournit un exemple d'implémentation permettant d'activer Security Hub GuardDuty, AWS Config, Firewall Manager et les traces d' CloudTrail organisation sur tous vos comptes, y compris le compte AWS Org Management.

Considérations relatives à la conception

  • Des configurations de compte spécifiques peuvent nécessiter des services de sécurité supplémentaires. Par exemple, les comptes qui gèrent les compartiments S3 (les comptes Application et Log Archive) devraient également inclure Amazon Macie et envisager d'activer CloudTrail la journalisation des événements de données S3 dans ces services de sécurité courants. (Macie prend en charge l'administration déléguée avec une configuration et une surveillance centralisées.) Un autre exemple est Amazon Inspector, qui s'applique uniquement aux comptes hébergeant des instances EC2 ou des images Amazon ECR.

  • Outre les services décrits précédemment dans cette section, l'AWS SRA inclut deux services axés sur la sécurité, Amazon Detective et AWS Audit Manager, qui prennent en charge l'intégration d'AWS Organizations et la fonctionnalité d'administrateur délégué. Toutefois, ils ne sont pas inclus dans les services recommandés pour la définition de base des comptes, car nous avons constaté que ces services sont mieux utilisés dans les scénarios suivants :

    • Vous disposez d'une équipe ou d'un groupe de ressources dédié qui exécute ces fonctions. Detective est utilisé de préférence par les équipes d'analystes de sécurité et Audit Manager est utile à vos équipes d'audit interne ou de conformité.

    • Vous souhaitez vous concentrer sur un ensemble d'outils de base tels que GuardDuty Security Hub au début de votre projet, puis vous appuyer sur ceux-ci en utilisant des services offrant des fonctionnalités supplémentaires.