SEC01-BP01 Séparer les charges de travail à l’aide de comptes

Établissez des barrières de protection et un isolement communs entre les environnements (par exemple, production, développement et test) et les charges de travail grâce à une stratégie multicompte. La séparation au niveau des comptes est vivement recommandée, car elle fournit une solide limite d’isolement pour la sécurité, la facturation et les accès.

Résultat escompté : une structure de compte qui isole les opérations cloud, les charges de travail indépendantes et les environnements dans des comptes distincts, renforçant ainsi la sécurité de l’infrastructure cloud.

Anti-modèles courants :

Placer plusieurs charges de travail non liées avec différents niveaux de sensibilité des données dans le même compte.
Structure d’unité d’organisation mal définie.

Avantages liés au respect de cette bonne pratique :

Réduction de la portée des répercussions si un utilisateur accède à une charge de travail par inadvertance.
Gouvernance centralisée des services, ressources et régions AWS.
Maintien de la sécurité de l’infrastructure cloud avec des politiques et une administration centralisée des services de sécurité.
Processus automatisé de création et de gestion des comptes.
Audit centralisé de votre infrastructure pour les exigences en matière de conformité et de réglementation.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Les Comptes AWS établissent une limite d’isolement de sécurité entre les charges de travail ou les ressources qui fonctionnent à différents niveaux de sensibilité. AWS fournit des outils permettant de gérer vos charges de travail cloud à grande échelle grâce à une stratégie multicompte pour tirer parti de cette limite d’isolement. Pour obtenir des conseils sur les concepts, les modèles et la mise en œuvre d’une stratégie multi-comptes sur AWS, consultez Organisation de votre environnement AWS à l’aide de plusieurs comptes.

Lorsque plusieurs Comptes AWS sont gérés de façon centralisée, ils doivent être organisés selon une hiérarchie définie par des couches d’unités d’organisation. Les contrôles de sécurité peuvent ensuite être organisés et appliqués aux unités d’organisation et aux comptes membres, ce qui permet d’établir des contrôles préventifs uniformes sur les comptes membres au sein de l’organisation. Les contrôles de sécurité sont hérités, vous pouvez donc filtrer les autorisations disponibles pour les comptes membres situés aux niveaux inférieurs d’une hiérarchie d’unités d’organisation. Une bonne conception tire parti de cet héritage pour réduire le nombre et la complexité des politiques de sécurité nécessaires afin de mettre en place les contrôles de sécurité souhaités pour chaque compte membre.

AWS Organizations et AWS Control Tower sont deux services que vous pouvez utiliser pour mettre en œuvre et gérer cette structure multi-comptes dans votre environnement AWS. AWS Organizations vous permet d’organiser les comptes selon une hiérarchie définie par une ou plusieurs couches d’unités d’organisation, chaque unité d’organisation contenant un certain nombre de comptes membres. Les politiques de contrôle des services (SCP) permettent à l’administrateur de l’organisation d’établir des contrôles préventifs précis sur les comptes des membres et AWS Config peut être utilisé pour établir des contrôles proactifs et détectifs sur les comptes des membres. De nombreux services AWS s’intègrent à AWS Organizations pour fournir des contrôles administratifs délégués et effectuer des tâches spécifiques aux services sur tous les comptes membres de l’organisation.

Situé au-dessus d’AWS Organizations, AWS Control Tower fournit une configuration des bonnes pratiques en un clic pour un environnement AWS multicomptes avec une zone de destination. La zone de destination est le point d’entrée de l’environnement multicompte établi par Control Tower. Control Tower offre plusieurs avantages par rapport à AWS Organizations. Les trois avantages qui permettent d’améliorer la gouvernance des comptes sont les suivants :

Des contrôles de sécurité obligatoires intégrés qui sont automatiquement appliquées aux comptes admis dans l’organisation.
Des contrôles facultatifs qui peuvent être activés ou désactivés pour un ensemble donné d’unités d’organisation.
AWS Control Tower Account Factory permet le déploiement automatique de comptes contenant des lignes de base et des options de configuration préapprouvées au sein de votre organisation.

Étapes d’implémentation

Conception d’une structure d’unité organisationnelle : une structure d’unité organisationnelle correctement conçue réduit la charge de gestion requise pour créer et maintenir des politiques de contrôle des services et d’autres contrôles de sécurité. La structure de votre unité organisationnelle doit être alignée sur les besoins de votre entreprise, la sensibilité des données et la structure de la charge de travail.
Créez une zone de destination pour votre environnement multicomptes : une zone de destination fournit une base de sécurité et d’infrastructure cohérente à partir de laquelle votre organisation peut rapidement développer, lancer et déployer des charges de travail. Vous pouvez utiliser une zone de destination personnalisée ou AWS Control Tower pour orchestrer votre environnement.
Établissez des barrières de protection : mettez en place des barrières de protection de sécurité cohérentes pour votre environnement dans toute votre zone de destination. AWS Control Tower fournit une liste de contrôles obligatoires et facultatifs qui peuvent être déployés. Les contrôles obligatoires sont déployés automatiquement lors de l’implémentation de Control Tower. Passez en revue la liste des contrôles hautement recommandés et facultatifs, puis implémentez les contrôles adaptés à vos besoins.
Restreindre l’accès aux régions nouvellement ajoutées : pour les nouvelles Régions AWS, les ressources IAM comme les utilisateurs et les rôles sont uniquement propagées vers les régions que vous activez. Cette action peut être effectuée via la console lorsque vous utilisez Control Tower ou en ajustant les politiques d’autorisation IAM dans AWS Organizations.
Envisager AWS StackSets : StackSets peut être utilisé pour déployer des ressources, y compris les politiques, rôles et groupes IAM, dans différentes régions et différents Comptes AWS à partir d’un modèle approuvé.

Ressources

Bonnes pratiques associées :

SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé

Documents connexes :

Vidéos connexes :

Ateliers connexes :

Journée d’immersion dans la Control Tower

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion et séparation des comptes AWS

SEC01-BP02 Sécuriser l’utilisateur racine et les propriétés du compte