SEC08-BP04 Appliquer le contrôle d’accès

Pour vous aider à protéger vos données au repos, appliquez le contrôle d’accès à l’aide de mécanismes tels que l’isolement et la gestion des versions. Appliquez les contrôles d’accès conditionnel et de moindre privilège. Empêchez l’octroi d’un accès public à vos données.

Résultat escompté : vous vérifiez que seuls les utilisateurs autorisés peuvent accéder aux données lorsqu’ils en ont besoin. Vous protégez vos données avec des sauvegardes régulières et la gestion des versions pour éviter toute modification ou suppression intentionnelle ou involontaire des données. Vous isolez les données critiques des autres données afin de protéger leur confidentialité et leur intégrité.

Anti-modèles courants :

Stocker ensemble des données ayant différentes exigences en termes de sensibilité ou de classification.
Utiliser des autorisations trop permissives sur les clés de déchiffrement.
Classer les données de façon incorrecte.
Ne pas conserver les sauvegardes détaillées des données importantes.
Fournir un accès permanent aux données de production.
Ne pas auditer l’accès aux données ni examiner régulièrement les autorisations.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Il est important de protéger les données au repos pour préserver leur intégrité, leur confidentialité et leur conformité aux exigences réglementaires. Vous pouvez mettre en œuvre plusieurs contrôles pour y parvenir, notamment le contrôle d’accès, l’isolation, l’accès conditionnel et la gestion des versions.

Vous pouvez appliquer le contrôle d’accès selon le principe du moindre privilège, qui fournit uniquement les autorisations nécessaires aux utilisateurs et aux services pour qu’ils effectuent leurs tâches. Cela inclut l’accès aux clés de chiffrement. Passez en revue vos politiques AWS Key Management Service (AWS KMS) pour vous assurer que le niveau d’accès que vous accordez est approprié et que les conditions appropriées s’appliquent.

Vous pouvez séparer les données en fonction de différents niveaux de classification en utilisant des Comptes AWS distincts pour chaque niveau, et gérer ces comptes à l’aide d’AWS Organizations. Cette isolation contribue à empêcher tout accès non autorisé et minimise le risque d’exposition des données.

Examinez régulièrement le niveau d’accès accordé dans les politiques de compartiment Amazon S3. Évitez d’utiliser des compartiments publiquement accessibles en lecture ou en écriture à moins que cela ne soit absolument nécessaire. Envisagez d’utiliser AWS Config pour détecter les compartiments publiquement disponibles et Amazon CloudFront pour diffuser du contenu à partir d’Amazon S3. Vérifiez que les compartiments qui ne doivent pas autoriser l’accès public sont configurés correctement pour l’empêcher.

Mettez en œuvre des mécanismes de gestion des versions et de verrouillage d’objets pour les données critiques stockées dans Amazon S3. La gestion des versions d’Amazon S3 préserve les versions précédentes des objets pour permettre de récupérer les données en cas de suppression ou de remplacement accidentels. Le verrouillage d’objet Amazon S3 fournit un contrôle d’accès obligatoire pour les objets, ce qui empêche leur suppression ou leur remplacement, même par l’utilisateur racine, jusqu’à l’expiration du verrou. En outre, le verrouillage de coffre Amazon S3 Glacier propose une fonctionnalité similaire pour les archives stockées dans Amazon S3 Glacier.

Étapes d’implémentation

Appliquez un contrôle d’accès selon le principe du moindre privilège :
- Passez en revue les autorisations d’accès accordées aux utilisateurs et aux services, et vérifiez que ces derniers ne disposent que des autorisations nécessaires à l’exécution de leurs tâches.
- Passez en revue l’accès aux clés de chiffrement en vérifiant les politiques AWS Key Management Service (AWS KMS).
Séparez les données en fonction des différents niveaux de classification :
- Utilisez des Comptes AWS distincts pour chaque niveau de classification des données.
- Gérez ces comptes avec AWS Organizations.
Passez en revue les autorisations relatives aux objets et aux compartiments Amazon S3 :
- Examinez régulièrement le niveau d’accès accordé dans les politiques de compartiment Amazon S3.
- Évitez d’utiliser des compartiments publiquement accessibles en lecture ou en écriture à moins que cela ne soit absolument nécessaire.
- Envisagez d’utiliser AWS Config pour détecter les compartiments disponibles publiquement.
- Utilisez Amazon CloudFront pour diffuser du contenu à partir d’Amazon S3.
- Vérifiez que les compartiments qui ne doivent pas autoriser l’accès public sont configurés correctement pour l’empêcher.
- Vous pouvez appliquer le même processus de révision aux bases de données et à toutes les autres sources de données qui utilisent l’authentification IAM, telles que SQS ou les entrepôts de données tiers.
Utilisez l’Analyseur d’accès AWS IAM :
- Vous pouvez configurer l'Analyseur d'accès AWS IAM pour analyser des compartiments Amazon S3 et générer des résultats lorsqu'une politique S3 accorde l’accès à une entité externe.
Implémentez des mécanismes de gestion des versions et de verrouillage d’objet :
- Utilisez la gestion des versions d’Amazon S3 pour préserver les versions précédentes des objets et permettre de récupérer les données en cas de suppression ou de remplacement accidentels.
- Utilisez le verrouillage d’objet Amazon S3 pour fournir un contrôle d’accès obligatoire pour les objets, ce qui empêche leur suppression ou leur remplacement, même par l’utilisateur racine, jusqu’à l’expiration du verrou.
- Utilisez le verrouillage de coffre Amazon S3 Glacier pour les archives stockées dans Amazon S3 Glacier.
Utilisez l’inventaire Amazon S3 :
- Vous pouvez utiliser l’inventaire Amazon S3 pour auditer et signaler le statut de réplication et de chiffrement de vos objets S3.
Vérifiez les autorisations de partage Amazon EBS et d’AMI :
- Passez en revue vos autorisations de partage pour Amazon EBS et le partage d’AMI afin de vous assurer que vos images et volumes ne sont pas partagés avec des Comptes AWS en dehors de votre charge de travail.
Passez régulièrement en revue les partages d’AWS Resource Access Manager :
- Vous pouvez utiliser AWS Resource Access Manager pour partager des ressources, telles que des politiques AWS Network Firewall, des règles d’Amazon Route 53 Resolver et des sous-réseaux, au sein de vos VPC Amazon.
- Auditez régulièrement les ressources partagées et cessez de partager les ressources qui n’ont plus besoin de l’être.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Securing Your Block Storage on AWS

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC08-BP03 Automatiser la protection des données au repos

SÉC 9. Comment protéger vos données en transit ?