Perspective Sécurité : conformité et assurance
La perspective Sécurité permet d'assurer la confidentialité, l'intégrité et la disponibilité de vos données et de vos charges de travail dans le cloud. Elle comprend neuf capacités illustrées dans la figure suivante. Les parties prenantes courantes incluent le CISO, le CCO, les responsables de l'audit interne, ainsi que les architectes et ingénieurs de sécurité.
Capacités de la perspective Sécurité d'AWS CAF
-
Gouvernance de la sécurité : développez, gérez et communiquez efficacement les rôles, les responsabilités, les obligations, les politiques, les processus et les procédures en matière de sécurité. L'établissement de lignes de responsabilité claires est essentiel à l'efficacité de votre programme de sécurité. La compréhension de vos actifs, des risques de sécurité et des exigences de conformité
qui s'appliquent à votre secteur et/ou à votre organisation vous aidera à hiérarchiser vos efforts de sécurité . Le fait de fournir une orientation et des conseils continus vous aidera à accélérer votre transformation en permettant à vos équipes d'agir plus rapidement. Comprenez votre responsabilité en matière de sécurité dans le cloud
. Inventoriez, classez en catégories et hiérarchisez les parties prenantes, les ressources et les échanges d'informations pertinents. Identifiez les lois, les règles, les réglementations et les normes/cadres qui s'appliquent à votre secteur d'activité et/ou à votre organisation. Effectuez une évaluation annuelle des risques de votre organisation. Les évaluations des risques peuvent aider à déterminer la probabilité et l'impact des risques et/ou des vulnérabilités identifiés affectant votre organisation. Allouez des ressources suffisantes aux rôles et responsabilités identifiés en matière de sécurité. Développez des politiques, des processus, des procédures et des contrôles de sécurité conformes à vos exigences de conformité et à votre tolérance au risque organisationnelle ; mettez-les à jour continuellement en fonction de l'évolution des risques et des exigences. -
Assurance de sécurité : surveillez, évaluez, gérez et améliorez en permanence l'efficacité de vos programmes de sécurité et de confidentialité. Votre organisation et les clients que vous servez ont besoin de savoir que les contrôles que vous avez mis en œuvre vous permettront de répondre aux exigences réglementaires et de gérer efficacement les risques de sécurité et de confidentialité conformément aux objectifs de l'entreprise et à votre tolérance au risque.
Documentez les contrôles dans un cadre de contrôle
complet et établissez des contrôles de sécurité et de confidentialité démontrables qui répondent à ces objectifs. Passez en revue les rapports d'audit , les certifications de conformité ou les attestations que votre fournisseur de cloud a obtenus pour vous aider à comprendre les contrôles qu'ils ont mis en place, comment ces contrôles ont été validés et si les contrôles de votre environnement informatique étendu fonctionnent efficacement. Surveillez et évaluez en permanence votre environnement pour vérifier l'efficacité opérationnelle de vos contrôles et démontrer la conformité aux réglementations et aux normes du secteur. Examinez les politiques, les processus, les procédures, les contrôles et les dossiers de sécurité, et interrogez le personnel clé si nécessaire.
-
Gestion des identités et des autorisations : gérez les identités et les autorisations à grande échelle. Vous pouvez créer des identités dans AWS ou connecter votre source d'identité, puis accorder aux utilisateurs les autorisations nécessaires afin qu'ils puissent se connecter et accéder aux ressources AWS et aux applications intégrées, ainsi que les allouer ou les orchestrer. Une gestion efficace des identités et des accès permet de vérifier que les bonnes personnes et les bonnes machines ont accès aux bonnes ressources dans les bonnes conditions.
AWS Well Architected Framework décrit les concepts, les principes de conception et les bonnes pratiques architecturales pertinents pour gérer les identités
. Ceux-ci incluent : s'appuyer sur un fournisseur d'identité centralisé ; tirer parti des groupes d'utilisateurs et des attributs pour un accès précis à grande échelle et des informations d'identification temporaires ; et utiliser des mécanismes de connexion puissants, tels que l'authentification multifacteur (MFA). Pour contrôler l'accès des identités humaines et machines à AWS et à vos charges de travail, définissez des autorisations pour des actions de service spécifiques sur des ressources spécifiques dans des conditions spécifiques ; utilisez le principe du moindre privilège, définissez des limites d'autorisations et utilisez des politiques de contrôle des services afin que les bonnes entités puissent accéder aux bonnes ressources à mesure que votre environnement et votre base d'utilisateurs se développent ; accorder des autorisations basées sur des attributs (ABAC) afin que vos politiques puissent évoluer ; et vérifier en permanence que vos politiques fournissent la protection dont vous avez besoin. -
Détection des menaces : comprenez et identifiez les erreurs de configuration de sécurité, les menaces ou les comportements inattendus potentiels. Une meilleure compréhension des menaces à la sécurité vous permettra de hiérarchiser les contrôles de protection. Une détection efficace des menaces vous permettra de réagir plus rapidement aux menaces et de tirer des leçons des événements de sécurité. Convenez des objectifs de renseignement tactique, opérationnel et stratégique, et de la méthodologie globale. Explorez les sources de données pertinentes, traitez et analysez les données, et diffusez et opérationnalisez les informations.
Déployez une surveillance
omniprésente dans l'environnement pour collecter des informations essentielles et sur des sites ad hoc afin de suivre des types spécifiques de transactions. Corrélez les données de surveillance provenant de plusieurs sources d'événements, y compris le trafic réseau, les systèmes d'exploitation, les applications, les bases de données et les terminaux pour fournir une posture de sécurité robuste et améliorer la visibilité. Pensez à tirer parti de la technologie de tromperie (par exemple, les pots de miel) pour mieux comprendre les modèles de comportement des utilisateurs non autorisés. -
Gestion des vulnérabilités : identifiez, classez, corrigez et réduisez en permanence les failles de sécurité. Des vulnérabilités peuvent également être introduites avec des modifications apportées aux systèmes existants ou avec l'ajout de nouveaux systèmes. Analysez
régulièrement les vulnérabilités afin de vous protéger contre les nouvelles menaces. Utilisez des scanners de vulnérabilité et des agents de points de terminaison pour associer les systèmes présentant des vulnérabilités connues. Priorisez les actions correctives en fonction du risque de vulnérabilité. Appliquez des mesures correctives et rendez compte aux parties prenantes concernées. Tirez parti des tests de red teaming et d'intrusion pour identifier les vulnérabilités de votre architecture système ; demandez l'autorisation préalable de votre fournisseur de cloud si nécessaire. -
Protection de l'infrastructure : elle garantit que les systèmes et les services de votre charge de travail sont protégés contre les accès involontaires et non autorisés, et les failles potentielles. La protection de votre infrastructure contre les accès non intentionnels et non autorisés, ainsi que les vulnérabilités potentielles, vous aidera à améliorer votre posture de sécurité dans le cloud. Tirez parti de la défense en profondeur pour superposer une série de mécanismes défensifs visant à protéger vos données et vos systèmes.
Créez des couches réseau et placez des charges de travail sans obligation d'accès Internet dans des sous-réseaux privés. Utilisez des groupes de sécurité, deslistes de contrôle d'accès réseau et des pare-feu réseau
pour contrôler le trafic. Appliquez le Zero Trust à vos systèmes et données en fonction de leur valeur. Exploitez les points de terminaison du cloud privé virtuel (VPC) pour une connexion privée aux ressources du cloud. Inspectez et filtrez votre trafic à chaque couche ; par exemple, via un pare-feu d'application web et/ou un pare-feu réseau . Utilisez des images de système d'exploitation renforcées et sécurisez physiquement toute infrastructure de cloud hybride sur site et en périphérie . -
Protection des données : conservez la visibilité et le contrôle sur les données, ainsi que sur la façon dont elles sont consultées et utilisées dans votre organisation. La protection de vos données contre les accès non intentionnels et non autorisés, ainsi que contre les vulnérabilités potentielles, est l'un des principaux objectifs de votre programme de sécurité. Afin de vous aider à déterminer les contrôles de protection et de conservation appropriés, classez vos données en fonction de leur criticité et de leur sensibilité (par exemple, les informations personnellement identifiables). Définissez les contrôles de protection des données et les politiques de gestion du cycle de vie. Chiffrez toutes les données au repos et en transit, et stockez les données sensibles dans des comptes distincts. Utilisez le machine learning pour découvrir
, classer et protéger automatiquement les données sensibles. -
Sécurité des applications : détectez et corrigez les failles de sécurité au cours du processus de développement logiciel. Vous pouvez économiser du temps, des efforts et des coûts lorsque vous détectez et corrigez les failles de sécurité pendant la phase de codage d'une application, et vous pouvez avoir confiance en votre posture de sécurité lorsque vous lancez la production. Analysez et corrigez les vulnérabilités de votre code et les dépendances afin de vous protéger contre les nouvelles menaces. Réduisez le besoin d'intervention humaine en automatisant
les tâches liées à la sécurité dans l'ensemble de vos processus et outils de développement et d'exploitation. Utilisez des outils d'analyse de code statique pour identifier les problèmes de sécurité courants. -
Réponse aux incidents : réduisez les dommages potentiels en réagissant efficacement aux incidents de sécurité. Des réponses rapides, efficaces et cohérentes aux incidents de sécurité vous aideront à réduire les dommages potentiels. Formez votre personnel chargé des opérations de sécurité et de réponse aux incidents sur les technologies cloud et sur la façon dont votre organisation a l'intention de les utiliser. Développez des runbooks et créez une bibliothèque de mécanismes de réponse aux incidents. Incluez les principales parties prenantes pour mieux comprendre l'impact de vos choix sur l'ensemble de l'organisation.
Simulez des événements de sécurité et entraînez-vous à réagir aux incidents grâce à des exercices sur table et des journées jeu. Itérez le résultat de votre simulation pour améliorer l'échelle de votre niveau de réponse et réduire le délai et les risques supplémentaires. Effectuez des analyses post-incident pour tirer des leçons des incidents de sécurité en tirant parti d'un mécanisme standardisé pour identifier et résoudre les causes profondes
.