SEC08-BP03 Automatiser la protection des données au repos - Pilier Sécurité
Directives d’implémentation Ressources

SEC08-BP03 Automatiser la protection des données au repos

Utilisez l’automatisation pour valider et appliquer les contrôles des données au repos.  Utilisez l’analyse automatique pour détecter les erreurs de configuration de vos solutions de stockage de données et effectuez des corrections par le biais d’une réponse programmatique automatisée dans la mesure du possible.  Intégrez l’automatisation à vos processus de CI/CD afin de détecter les erreurs de configuration du stockage de données avant leur déploiement en production.

Résultat escompté : les systèmes automatisés analysent et surveillent les emplacements de stockage de données pour détecter les erreurs de configuration des commandes, les accès non autorisés et les utilisations inattendues.  La détection d’emplacements de stockage mal configurés déclenche des mesures correctives automatisées.  Les processus automatisés créent des sauvegardes de données et stockent des copies immuables en dehors de l’environnement d’origine.

Anti-modèles courants :

  • Ne pas prendre en compte les options permettant d’activer des paramètres de chiffrement par défaut, lorsque le chiffrement est pris en charge.

  • Ne pas prendre en compte les événements de sécurité, en plus des événements opérationnels, lors de la formulation d’une stratégie de sauvegarde et de restauration automatisée.

  • Ne pas appliquer les paramètres d’accès public pour les services de stockage.

  • Ne pas surveiller ni auditer vos contrôles pour protéger les données au repos.

Avantages du respect de cette bonne pratique : l’automatisation permet de prévenir le risque de mauvaise configuration de vos emplacements de stockage de données. Cela permet d’éviter que des erreurs de configuration ne pénètrent dans vos environnements de production. Grâce à cette bonne pratique, vous pouvez également détecter et corriger les erreurs de configuration, le cas échéant. 

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation 

L’automatisation est un thème récurrent dans les pratiques de protection de vos données au repos. SEC01-BP06 Automatiser le déploiement de contrôles de sécurité standard décrit comment vous pouvez capturer la configuration de vos ressources à l’aide de modèles d’infrastructure en tant que code (IaC), tels que AWS CloudFormation.  Ces modèles sont validés dans un système de contrôle de version et sont utilisés pour déployer des ressources sur AWS via un pipeline CI/CD.  Ces techniques s’appliquent également à l’automatisation de la configuration de vos solutions de stockage de données, telles que les paramètres de chiffrement des compartiments Amazon S3.  

Vous pouvez vérifier si les paramètres que vous définissez dans les modèles IaC ont été configurés correctement dans vos pipelines CI/CD à l’aide de règles dans AWS CloudFormation Guard.  Vous pouvez surveiller les paramètres qui ne sont pas encore disponibles dans CloudFormation ou dans d’autres outils IaC pour détecter toute mauvaise configuration avec AWS Config.  Les alertes générées par Config en cas d’erreur de configuration peuvent être corrigées automatiquement, comme décrit dans SEC04-BP04 Initier les mesures de correction pour les ressources non conformes.

L’utilisation de l’automatisation dans le cadre de votre stratégie de gestion des autorisations fait également partie intégrante des protections automatisées des données. SEC03-BP02 Accorder l’accès au moindre privilège et SEC03-BP04 Réduire les autorisations en continu décrivent la configuration de stratégies d’accès au moindre privilège qui sont surveillées en permanence par AWS Identity and Access Management Access Analyzer pour générer des résultats lorsque les autorisations peuvent être réduites.  Au-delà de l’automatisation des autorisations de surveillance, vous pouvez configurer Amazon GuardDuty pour détecter tout comportement anormal d’accès aux données pour vos volumes EBS (via une instance EC2), vos compartiments S3 et les bases de données Amazon Relational Database Service prises en charge.

L’automatisation joue également un rôle dans la détection des données sensibles stockées dans des emplacements non autorisés. SEC07-BP03 Automatiser l’identification et la classification décrit comment Amazon Macie peut surveiller vos compartiments S3 pour détecter les données sensibles inattendues et générer des alertes susceptibles de déclencher une réponse automatique.

Suivez les pratiques décrites dans REL09 Données de sauvegarde pour développer une stratégie automatisée de sauvegarde et de restauration des données. La sauvegarde et la restauration des données sont aussi importantes pour la restauration après des événements de sécurité que pour des événements opérationnels.

Étapes d’implémentation

  1. Capturez la configuration du stockage de données dans des modèles IaC.  Utilisez des contrôles automatisés dans vos pipelines CI/CD pour détecter les erreurs de configuration.

    1. Vous pouvez utiliser vos modèles d’infrastructure en tant que code pour AWS CloudFormation et utiliser AWS CloudFormation Guard pour vérifier que les modèles sont bien configurés.

    2. Utilisez AWS Config pour exécuter des règles dans un mode d’évaluation proactif. Utilisez ce paramètre pour vérifier la conformité d’une ressource en tant qu’étape de votre pipeline CI/CD avant de la créer.

  2. Surveillez les ressources pour détecter les erreurs de configuration du stockage de données.

    1. Paramétrez AWS Config pour qu’il surveille les ressources de stockage de données afin de détecter les modifications apportées aux configurations de contrôle et pour générer des alertes afin d’invoquer des mesures correctives lorsqu’il détecte une mauvaise configuration.

    2. Consultez SEC04-BP04 Lancer la correction des ressources non conformes pour plus de conseils sur les corrections automatisées.

  3. Surveillez et réduisez continuellement les autorisations d’accès aux données grâce à l’automatisation.

    1. IAM Access Analyzer peut fonctionner en continu pour générer des alertes lorsque les autorisations sont susceptibles d’être réduites.

  4. Surveillez et signalez les comportements anormaux en matière d’accès aux données.

    1. GuardDuty surveille à la fois les signatures de menaces connues et les écarts par rapport aux comportements d’accès de base pour les ressources de stockage de données telles que les volumes EBS, les compartiments S3 et les bases de données RDS.

  5. Surveillez les données sensibles et donnez l’alerte si certaines d’entre elles sont stockées dans des endroits inattendus.

    1. Utilisez Amazon Macie pour analyser en permanence vos compartiments S3 à la recherche de données sensibles.

  6. Automatisez les sauvegardes sécurisées et chiffrées de vos données.

    1. AWS Backup est un service géré qui crée des sauvegardes chiffrées et sécurisées de diverses sources de données sur AWS.  Elastic Disaster Recovery vous permet de copier les charges de travail complètes du serveur et de maintenir une protection continue des données avec un objectif de point de reprise (RPO) mesuré en secondes.  Vous pouvez configurer les deux services de façon à ce qu’ils fonctionnent ensemble pour automatiser la création de sauvegardes de données et leur copie vers des emplacements de basculement.  Vous pouvez ainsi garantir la disponibilité de vos données lorsqu’elles sont touchées par des événements opérationnels ou de sécurité.

Ressources

Bonnes pratiques associées :

Documents connexes :

Exemples connexes :

Outils associés :