SEC08-BP04 Appliquer le contrôle d’accès - Framework AWS Well-Architected
Directives d’implémentationRessources

SEC08-BP04 Appliquer le contrôle d’accès

Pour vous aider à protéger vos données au repos, appliquez le contrôle d’accès à l’aide de mécanismes tels que l’isolement et la gestion des versions, et appliquez le principe du moindre privilège. Empêchez l’octroi d’un accès public à vos données.

Résultat souhaité : vérifiez que seuls les utilisateurs autorisés peuvent accéder aux données lorsqu’ils en ont besoin. Protégez vos données avec des sauvegardes et une gestion des versions régulières pour éviter toute modification ou suppression intentionnelle ou involontaire des données. Isolez les données critiques des autres données afin de protéger leur confidentialité et leur intégrité.

Anti-modèles courants :

  • Stocker ensemble des données ayant différentes exigences en termes de sensibilité ou de classification.

  • Utiliser des autorisations trop permissives sur les clés de déchiffrement.

  • Classer les données de façon incorrecte.

  • Ne pas conserver les sauvegardes détaillées des données importantes.

  • Fournir un accès permanent aux données de production.

  • Ne pas auditer l’accès aux données ni examiner régulièrement les autorisations.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : faible

Directives d’implémentation

L’utilisation de plusieurs contrôles permet de protéger vos données au repos, y compris l’accès (en utilisant le moindre privilège), l’isolement et la gestion des versions. L’accès à vos données doit être vérifié à l’aide des mécanismes de détection, notamment AWS CloudTrail, et le journal des niveaux de service, comme les journaux d’accès Amazon Simple Storage Service (Amazon S3). Vous devez faire l’inventaire des données accessibles au public et créer un plan permettant de réduire la quantité de données disponibles publiquement au fil du temps.

Amazon S3 Glacier Vault Lock et le verrouillage d’objet Amazon S3 sont des fonctionnalités qui fournissent un contrôle d’accès obligatoire pour les objets dans Amazon S3. Lorsqu’une politique de coffre est verrouillée avec l’option de conformité, même l’utilisateur racine ne peut pas la modifier avant l’expiration du verrouillage.

Étapes d’implémentation

  • Appliquer le contrôle d’accès : appliquez le contrôle d’accès avec le principe du moindre privilège, y compris l’accès aux clés de chiffrement.

  • Séparer les données selon différents niveaux de classification : utilisez des Comptes AWS différents pour les niveaux de classification des données et gérer ces comptes à l’aide d’AWS Organizations.

  • Vérifier les politiques AWS Key Management Service (AWS KMS) : examinez le niveau d’accès accordé dans les politiques AWS KMS.

  • Examiner les autorisations de compartiment et d’objet Amazon S3 : examinez régulièrement le niveau d’accès accordé dans les règles de compartiment S3. Une bonne pratique consiste à éviter d’utiliser des compartiments publiquement accessibles en lecture ou en écriture. Pensez à utiliser AWS Config pour détecter les compartiments qui sont publiquement disponibles et Amazon CloudFront pour diffuser du contenu à partir d’Amazon S3. Vérifiez que les compartiments qui ne doivent pas permettre l’accès public sont configurés correctement pour empêcher l’accès public. Par défaut, tous les compartiments S3 sont privés et ne sont accessibles qu’aux utilisateurs auxquels l’accès a été explicitement accordé.

  • Utiliser AWS IAM Access Analyzer : IAM Access Analyzer analyse des compartiments Amazon S3 et génère un résultat si une politique S3 accorde l’accès à une entité externe.

  • Utilisez la gestion des versions Amazon S3 et le verrouillage d’objet, le cas échéant.

  • Utiliser l’inventaire Amazon S3 : l’inventaire Amazon S3 est l’un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets S3.

  • Passer en revue les autorisations de partage Amazon EBS et AMI : les autorisations de partage permettent aux images et aux volumes d’être partagés avec des Comptes AWS en dehors de votre charge de travail.

  • Passez régulièrement en revue les partages d’AWS Resource Access Manager pour déterminer si les ressources doivent continuer à être partagées. Le Gestionnaire des accès aux ressources vous permet de partager des ressources, telles que les politiques AWS Network Firewall, les règles du résolveur Amazon Route 53 et les sous-réseaux, au sein de vos VPC Amazon. Auditez régulièrement les ressources partagées et cessez de partager les ressources qui n’ont plus besoin de l’être.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :