Bonnes pratiques de sécurisation du Cloud AWS

blog-08.jpg

Les certifications individuelles CCSK et CCSP abordent les concepts fondamentaux de sécurisation du Cloud, avec des approches différentes. AWS fait partie avec Azure et OVH des Cloud publics les plus prisés pour les services IaaS (Infrastructure as a Service) et PaaS (Platform as a Service). Les bonnes pratiques de sécurisation des environnements AWS sont disponibles dans plusieurs référentiels. Chez le fournisseur, on peut commencer par le guide « AWS Security Best Practices » qui bien que disponible en version archivée reste un document de synthèse intéressant. Un guide de durcissement du CIS est aussi téléchargeable gratuitement. Notons à ce sujet, une série d’outils développés dans le langage de script d’AWS pour auditer et mettre en œuvre ces éléments de sécurisation. Enfin le SANS a publié un guide très complet (Cloud Security Practical Guide to Security in the AWS Cloud) écrit par 18 contributeurs et formateurs cyber.

Gestion des identités et des accès

La partie IAM (Identity Access Management) doit être mise en œuvre de manière minutieuse pour traiter les risques de malveillance mais aussi d’erreurs, fréquentes dans le Cloud où l’on peut faire beaucoup de choses très vite ! Les identités englobent les « humains » (administrateurs, développeurs, exploitants…) et les « machines » (les VM – Virtual Machines, les fonctions Lambda, les ressources applicatives et les API externes devant accéder aux « tenants »). Il est préférable de s’appuyer sur un seul fournisseur d’identités afin de limiter les opérations de création, gestion et révocation des droits. La fédération avec un fournisseur externe est réalisée par le protocole SAML. La création d’accès temporaires est intéressante. AWS SSO (Single Sign-On) permet de fédérer plusieurs comptes, avec des synchronisations possibles avec le protocole SCIM (System
for Cross-domain Identity Management). Cognito fournit des services d’authentification et d’autorisation pour les utilisateurs et les applications, soit directement en tant que fournisseur d’identité soit en s’appuyant sur l’authentification d’un fournisseur tierce. AWS Secrets Manager stocke les secrets (mots de passe, clés) qui ne sont pas liés aux comptes IAM. Il est possible d’appliquer une gestion minimaliste des droits pour respecter le principe de moindre-privilège grâce aux politiques IAM. Des modèles de SCP (Service Control Polices) couvrent les besoins les plus courants. Il est possible d’appliquer des droits en mode ABAC (Attribute-based Access Control) en fonction de « tags » afin de ne pas avoir à modifier la politique suivant les cas d’usage.

Détection

Il s’agit de détecter des mauvaises configurations, des erreurs ou des événements suspects afin de réagir de manière adéquate. Si plusieurs services ont vocation à faciliter cette détection, il faut garder en tête que l’humain reste primordial. CloudTrail pour tracer les activités, AWS Config pour l’enregistrement et la supervision des configuration, GuardDuty pour détecter les événements suspects et SecurityHub pour centraliser les alertes.

Sécurisation des infrastructures

La conception de l’architecture du réseau est fondamentale, en particulier la définition des VPC (Virtual Private Cloud) et des sous-réseaux afin d’assurer une bonne segmentation des flux et éviter qu’un attaquant pivote depuis une machine compromise vers des ressources sensibles. Filtrage « stateful » des flux de chaque Virtual Machine par Security Groups et filtrage « stateless » par les ACL (Acess Lists) configurée sur les VPC. Le service de WAF (Web Application Firewall) protège des attaques applicatives en se reposant sur les règles d’AWS, les règles du client ou bien des règles de partenaires du « marketplace ». Shield constitue le service de protection contre les attaques DDoS (Distributed Denial of Service).

Le durcissement des images des systèmes d’exploitation des Virtual Machines (Linux et Windows) peut être appliquée manuellement une première fois et ensuite répliqué sur toutes les images générées. Il est aussi possible d’installer directement une image durcie conformément aux standards CIS depuis le « marketplace ».

Protection des données

La classification des informations et la sécurisation du cycle de vie de l’information sont des éléments importants. Macie est un service qui facilite ces tâches. Le chiffrement des données stockées « data at rest » est disponible sur de nombreux services de stockage et de bases de données (S3, EBS, DynamoDB…). Le système de KMS (Key Management System) associé à un HSM (Hardware Security Module) donne la possibilité au client de conserver la maitrise de ses clés « maitres » ou CMK (Customer Master Key). La mise en œuvre de tunnels, par exemple IPSec pour relier un « datacenter » avec des ressources AWS est un exemple de chiffrement des flux (data in motion).

Réponse aux incidents

Le processus de réponse à incident doit être pragmatique et adapté à l’entité. Les bonnes pratiques du NIST 800-61 et les normes ISO 27035 constituent des référentiels éprouvés. Les ressources des CSIRT, les informations CTI sont aussi des éléments clés.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: CCSP CCSK SécuritéCloud AWS