Amazon Web Services (AWS) prône une sécurité cloud robuste depuis son lancement en 2006. AWS et ses clients utilisent un modèle de responsabilité partagée qui répartit les rôles de sécurité entre le fournisseur et le client. Nous aborderons ici les bonnes pratiques de sécurité d'AWS.
En tant que fournisseur de cloud public, AWS est propriétaire de l'infrastructure, du réseau physique et de l'hyperviseur, tandis que l'entreprise est propriétaire du système d'exploitation de la charge de travail, des applications, du réseau virtuel, de l'accès à son environnement/compte locataire et des données.
Maintenir une posture de sécurité rigoureuse dans ses environnements cloud et respecter le modèle de responsabilité partagée d'AWS.
Les organisations doivent appliquer rigoureusement les bonnes pratiques de sécurité cloud et accompagner leurs efforts d'une surveillance automatisée et continue.
Voici les 10 meilleures pratiques de sécurité AWS pour les développeurs
- Activer AWS CloudTrail :
AWS CloudTrail est un outil qui vous permet d'enregistrer les journaux d'API à des fins d'analyse de sécurité, d'audit de conformité et de suivi des modifications.
Il permet de créer des traces qui remontent à la source de toute modification apportée à votre environnement AWS. Il s'agit d'une des meilleures pratiques de sécurité d'AWS.
- Désactiver l’accès à l’API racine et les clés secrètes :
AWS dispose d'un outil de gestion des identités et des accès permettant de gérer les droits d'accès. Ainsi, les utilisateurs root peuvent bénéficier d'un accès limité, tout en restant équipés pour effectuer les tâches requises par leurs rôles.
Avec AWS, les utilisateurs doivent demander l'accès pour exécuter des fonctions ; l'accès automatique à quoi que ce soit est interdit. Cela permet aux entreprises de gagner en agilité sans courir de risques supplémentaires.
- Activer les jetons MFA :
Les entreprises ont besoin de plus qu'une simple couche de protection composée de noms d'utilisateur et de mots de passe, que les cybercriminels peuvent facilement pirater, voler et utiliser illégalement.
N'oubliez pas que les contrôles IAM d'AWS peuvent donner accès non seulement à l'infrastructure, mais aussi aux applications installées et aux données utilisées.
En implémentant l'authentification multifacteur (MFA), une mesure de sécurité qui exige la fourniture d'un code en plus du mot de passe, vous pouvez attribuer des rôles, des comptes root et des utilisateurs IAM en toute sécurité.
- Réduisez le nombre d’utilisateurs IAM disposant de droits d’administrateur :
Limiter l'accès administrateur et aligner les autorisations sur le niveau d'autorité approprié peut minimiser les risques liés à l'attribution d'autorisations de niveau administrateur à un trop grand nombre d'utilisateurs.
En vérifiant attentivement les niveaux d'accès et en accordant un accès administrateur à un nombre limité d'utilisateurs, vous pouvez optimiser votre sécurité.
- Utiliser les rôles pour Amazon EC2 :
L'utilisation de technologies avancées comme IAM peut aider une organisation à éliminer les risques de compromission de sécurité.
Grâce à des rôles définis, les utilisateurs disposant de niveaux d'accès inférieurs peuvent effectuer des tâches dans Amazon Elastic Compute Cloud sans avoir à accorder un niveau d'accès extrême.
Cette approche permet un accès spécifique aux services et ressources AWS, réduisant ainsi la surface d'attaque potentielle des acteurs malveillants.
- Faites tourner les clés régulièrement :
Avec Amazon, les systèmes exécutant des processus externes nécessitent des clés pour assurer la sécurité de votre système.
Même si les rôles suppriment la nécessité de gérer les clés, les clés API doivent toujours être utilisées et renouvelées régulièrement.
En effectuant une rotation régulière des clés, il est possible de contrôler leur durée de validité et de limiter ainsi l'impact négatif sur l'entreprise en cas de compromission.
- Assurez-vous d’activer la journalisation des accès sur le bucket CloudTrail S3 :
Si vous utilisez un compartiment S3 pour stocker vos journaux CloudTrail, vous devez conserver des enregistrements de toutes les activités qui affectent CloudTrail.
En appliquant les paramètres de connexion au compartiment S3 concerné, vous pourrez suivre les demandes d'accès et conserver un enregistrement des personnes ayant accès à l'espace et de leur fréquence d'utilisation.
- Apply for IAM roles with STS:
Using roles for Amazon EC2 instances makes it easy for the resources to communicate securely. Also helps you reduce management burden by leveraging AWS Security Token Service, or STS.
- Utilisez la mise à l'échelle automatique pour atténuer les effets DDoS :
Amazon AutoScaling garantit que vous disposez du nombre adéquat d'instances EC2 pour gérer la charge de votre application.
Vous pouvez créer un ensemble d'instances EC2 appelé groupes AutoScaling.
Vous pouvez également spécifier le nombre minimal d'instances dans chaque groupe, et Amazon AutoScaling garantit que votre groupe ne descendra jamais en dessous de cette taille.
- Consultez les politiques de compartiment Amazon S3 lisibles et listables dans le monde entier :
Bien que les politiques IAM visent à assurer la sécurité, les organisations doivent prendre des mesures prudentes. Cela garantit la stabilité de leurs plateformes à long terme.
À mesure que les entreprises se développent, elles ajoutent parfois des mesures de contrôle d'accès à leurs réseaux pour répondre aux exigences croissantes.
À mesure que leur réseau s'étend, elles superposent souvent de nouvelles plateformes à des systèmes plus anciens, ce qui complique le suivi des personnes ayant accès à leur réseau.
Un bon exemple est fourni dans « Politiques IAM, stratégies de compartiment et listes de contrôle d'accès ! Oh là là ! (Contrôle de l'accès aux ressources Amazon S3) ».
Pour éviter les incidents résultant de l'utilisation simultanée de plusieurs produits, nous recommandons de s'en tenir à un seul.
Lorsqu'une organisation prend le temps de sélectionner et de maintenir soigneusement un système, la sécurité fonctionnera certainement comme prévu.
