SEC01-BP05 Réduire le périmètre de gestion de la sécurité - AWS Framework Well-Architected
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC01-BP05 Réduire le périmètre de gestion de la sécurité

Déterminez si vous pouvez réduire votre périmètre de sécurité en utilisant AWS des services qui transfèrent la gestion de certains contrôles vers AWS (services gérés). Ces services peuvent vous aider à réduire vos tâches de maintenance de sécurité, telles que le provisionnement de l’infrastructure, la configuration logicielle, l’application de correctifs ou les sauvegardes.

Résultat escompté : Vous tenez compte de l'étendue de votre gestion de la sécurité lorsque vous sélectionnez les AWS services adaptés à votre charge de travail. Le coût des frais généraux de gestion et des tâches de maintenance (le coût total de possession, ouTCO) est mis en balance avec le coût des services que vous sélectionnez, en plus des autres considérations relatives à Well-Architected. Vous intégrez la documentation AWS de contrôle et de conformité dans vos procédures d'évaluation et de vérification des contrôles.

Anti-modèles courants :

  • Déployer des charges de travail sans bien comprendre le modèle de responsabilité partagée pour les services que vous sélectionnez.

  • Héberger des bases de données et d’autres technologies sur des machines virtuelles sans avoir évalué un équivalent de service géré.

  • Ne pas inclure les tâches de gestion de la sécurité dans le coût total de possession des technologies d’hébergement sur les machines virtuelles par rapport aux options de services gérés.

Avantages du respect de cette bonne pratique : l’utilisation de services gérés peut réduire la charge globale que représente la gestion des contrôles de sécurité opérationnels, ce qui peut réduire les risques de sécurité et le coût total de possession. Le temps qui serait autrement consacré à certaines tâches de sécurité peut être réinvesti dans des tâches qui apportent plus de valeur à votre entreprise. Les services gérés peuvent également réduire la portée de vos exigences de conformité en transférant certaines exigences de contrôle à AWS.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Vous pouvez intégrer les composants de votre charge de travail sur AWS de plusieurs manières. Pour installer et exécuter des technologies sur EC2 des instances Amazon, vous devez souvent assumer la plus grande part de la responsabilité globale en matière de sécurité. Pour vous aider à réduire le fardeau lié à l'exploitation de certains contrôles, identifiez les services AWS gérés qui réduisent la portée de votre part du modèle de responsabilité partagée et comprenez comment vous pouvez les utiliser dans votre architecture existante. Les exemples incluent l'utilisation d'Amazon Relational Database Service (RDSAmazon) pour déployer des bases de données, d'Amazon Elastic Kubernetes Service (Amazon) ou d'Amazon Elastic Container ECS Service EKS (Amazon) pour orchestrer des conteneurs, ou d'utiliser des options sans serveur. Lorsque vous créez de nouvelles applications, réfléchissez aux services qui peuvent vous aider à réduire les délais et les coûts liés à la mise en œuvre et à la gestion des contrôles de sécurité.

Les exigences de conformité peuvent également entrer en ligne de compte lors de la sélection des services. Les services gérés peuvent transférer la conformité de certaines exigences vers AWS. Discutez avec votre équipe de conformité de la mesure dans laquelle elle est à l'aise pour auditer les aspects des services que vous exploitez et gérez et pour accepter les déclarations de contrôle dans les rapports AWS d'audit pertinents. Vous pouvez fournir les artefacts d'audit trouvés AWS Artifactà vos auditeurs ou régulateurs comme preuve des contrôles de AWS sécurité. Vous pouvez également utiliser les conseils de responsabilité fournis par certains artefacts AWS d'audit pour concevoir votre architecture, ainsi que les guides de conformitéAWS client. Ces conseils aident à déterminer les contrôles de sécurité supplémentaires à mettre en place afin de prendre en charge les cas d’utilisation spécifiques de votre système.

Lorsque vous utilisez des services gérés, familiarisez-vous avec le processus de mise à jour de leurs ressources vers des versions plus récentes (par exemple, mise à jour de la version d'une base de données gérée par Amazon RDS ou d'un environnement d'exécution de langage de programmation pour une AWS Lambda fonction). Bien que le service géré puisse effectuer cette opération pour vous, il vous incombe de configurer le calendrier de la mise à jour et de comprendre son impact sur vos opérations. Des outils comme AWS Health peuvent vous aider à suivre et à gérer ces mises à jour dans l’ensemble de vos environnements.

Étapes d’implémentation

  1. Évaluez les composants de votre charge de travail qui peuvent être remplacés par un service géré.

    1. Si vous migrez une charge de travail vers AWS, tenez compte de la réduction de la gestion (temps et dépenses) et de la réduction des risques lorsque vous déterminez si vous devez réhéberger, refactoriser, reprogrammer, reconstruire ou remplacer votre charge de travail. Dans certains cas, des investissements supplémentaires au début d’une migration peuvent permettre de réaliser des économies importantes à long terme.

  2. Envisagez de mettre en œuvre des services gérésRDS, comme Amazon, au lieu d'installer et de gérer vos propres déploiements technologiques.

  3. Utilisez les directives relatives à la responsabilité AWS Artifact pour déterminer les contrôles de sécurité que vous devez mettre en place pour votre charge de travail.

  4. Tenez un inventaire des ressources utilisées et tenez-vous au courant up-to-date des nouveaux services et approches afin d'identifier de nouvelles opportunités de réduction de la portée.

Ressources

Bonnes pratiques associées :

Documents connexes :

Outils associés :

Vidéos connexes :