SEC06-BP03 Réduire la gestion manuelle et l'accès interactif - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC06-BP03 Réduire la gestion manuelle et l'accès interactif

Utilisez l’automatisation pour effectuer des tâches de déploiement, de configuration, de maintenance et d’investigation dans la mesure du possible. Envisagez l’accès manuel aux ressources de calcul en cas de procédures d’urgence ou dans des environnements sécurisés (environnement de test [sandbox]), lorsque l’automatisation n’est pas disponible.

Résultat souhaité : les scripts programmatiques et les documents d’automatisation (runbooks) capturent les actions autorisées sur vos ressources informatiques. Ces runbooks sont lancés soit automatiquement, par le biais de systèmes de détection des changements, soit manuellement, lorsque le jugement humain est requis. L’accès direct aux ressources de calcul n’est disponible qu’en cas d’urgence, lorsque l’automatisation n’est pas disponible. Toutes les activités manuelles sont enregistrées et intégrées à un processus de révision afin d’améliorer continuellement vos capacités d’automatisation.

Anti-modèles courants :

  • Accès interactif aux EC2 instances Amazon avec des protocoles tels que SSH ouRDP.

  • Gestion des connexions utilisateur individuelles, telles que celles des utilisateurs locaux /etc/passwd ou Windows.

  • Partage d’un mot de passe ou d’une clé privée pour accéder à une instance entre plusieurs utilisateurs.

  • Installation manuelle des logiciels et création ou mise à jour des fichiers de configuration.

  • Mise à jour ou correction manuelle des logiciels.

  • Connexion à une instance pour résoudre les problèmes.

Avantages du respect de cette bonne pratique : la réalisation d’actions automatisées vous aide à réduire le risque opérationnel lié à des modifications involontaires et à des erreurs de configuration. La suppression de l'utilisation de Secure Shell (SSH) et du Remote Desktop Protocol (RDP) pour l'accès interactif réduit l'étendue de l'accès à vos ressources informatiques. Cette opération supprime un chemin commun pour les actions non autorisées. La saisie de vos tâches de gestion des ressources de calcul dans des documents d’automatisation et des scripts programmatiques fournit un mécanisme permettant de définir et d’auditer l’ensemble des activités autorisées à un niveau de détail précis.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

La connexion à une instance est une approche classique de l’administration du système. Après avoir installé le système d’exploitation du serveur, les utilisateurs se connectent généralement manuellement pour configurer le système et installer les logiciels souhaités. Pendant la durée de vie du serveur, les utilisateurs peuvent se connecter pour effectuer des mises à jour logicielles, appliquer des correctifs, modifier des configurations et résoudre des problèmes.

L’accès manuel présente toutefois un certain nombre de risques. Cela nécessite un serveur qui écoute les demandes, telles qu'un RDP service SSH ou, qui peuvent fournir un chemin potentiel vers un accès non autorisé. Cela augmente également le risque d’erreur humaine associée à l’exécution d’étapes manuelles. Ces étapes peuvent entraîner des incidents liés à la charge de travail, une corruption ou une destruction de données, ou d’autres problèmes de sécurité. L’accès humain requiert également des protections contre le partage d’informations d’identification, ce qui entraîne des frais de gestion supplémentaires. 

Pour atténuer ces risques, vous pouvez implémenter une solution d'accès à distance basée sur des agents, telle que AWS Systems Manager. AWS Systems Manager L'agent (SSMagent) initie un canal crypté et ne repose donc pas sur l'écoute des demandes initiées de l'extérieur. Envisagez de configurer SSM l'agent pour établir ce canal sur un VPC point de terminaison.

Systems Manager vous permet de contrôler avec précision la manière dont vous pouvez interagir avec vos instances gérées. Vous définissez les automatisations à exécuter, qui peut les exécuter et quand elles peuvent être exécutées. Systems Manager peut appliquer des correctifs, installer des logiciels et apporter des modifications de configuration sans accès interactif à l’instance. Systems Manager peut également fournir un accès à un shell distant et enregistrer chaque commande invoquée, ainsi que sa sortie, pendant la session dans les journaux et Amazon S3. AWS CloudTrailenregistre les appels de Systems Manager à des APIs fins d'inspection.

Étapes d’implémentation

  1. Installez l'agent AWS Systems Manager (SSMagent) sur vos EC2 instances Amazon. Vérifiez si l'SSMagent est inclus et démarré automatiquement dans le cadre de votre AMI configuration de base.

  2. Vérifiez que les IAM rôles associés à vos profils d'EC2instance incluent la IAMpolitique AmazonSSMManagedInstanceCore gérée.

  3. Désactivez SSH et RDP les autres services d'accès à distance exécutés sur vos instances. Vous pouvez le faire en exécutant des scripts configurés dans la section des données utilisateur de vos modèles de lancement ou en les personnalisant à l'AMIsaide d'outils tels qu'EC2Image Builder.

  4. Vérifiez que les règles d'entrée du groupe de sécurité applicables à vos EC2 instances n'autorisent pas l'accès sur le port 22/tcp (SSH) ou le port 3389/tcp (). RDP Mettez en œuvre la détection et l’alerte en cas de groupes de sécurité mal configurés à l’aide de services tels que AWS Config.

  5. Définissez les automatisations, les runbooks et les commandes d’exécution appropriés dans Systems Manager. Utilisez IAM des politiques pour définir qui peut effectuer ces actions et les conditions dans lesquelles elles sont autorisées. Testez minutieusement ces automatisations dans un environnement hors production. Invoquez ces automatisations si nécessaire, au lieu d’accéder à l’instance de manière interactive.

  6. Utilisez AWS Systems Manager Session Manager pour fournir un accès interactif aux instances lorsque cela est nécessaire. Activez la journalisation des activités de session pour conserver une piste d'audit dans Amazon CloudWatch Logs ou Amazon S3

Ressources

Bonnes pratiques associées :

Exemples connexes :

Outils associés :

Vidéos connexes :