Présentation des outils de sécurité AWS
Aujourd’hui,'À l’ère numérique, le cloud est devenu une pierre angulaire pour de nombreuses entreprises, offrant évolutivité, flexibilité et rentabilité. Cependant, avec l’adoption continue des services cloud, les préoccupations en matière de sécurité ont également augmenté. Assurer la sécurité des données et des applications dans le cloud est primordial pour les entreprises, et c’est là qu’Amazon Web Services (AWS) entre en jeu.
Cet article se penche sur les outils de sécurité AWS essentiels conçus pour renforcer les Sécurité du cloud dans aujourd’hui'dans le paysage numérique. Alors que les entreprises dépendent de plus en plus du cloud pour l’évolutivité, la flexibilité et la rentabilité, l’importance de la protection des données et des applications n’a jamais été aussi grande. Dans ce contexte, Amazon Web Services (AWS) propose des solutions robustes pour répondre à ces problèmes de sécurité.
AWS Security Best Practices [Cheat Sheet]
This cheat sheet goes beyond the essential AWS security best practices and offers actionable step-by-step implementations, relevant code snippets, and industry- leading recommendations to fortify your AWS security posture.
Download Cheat Sheet
L’impératif de la sécurité du cloud
Bien qu’il offre de nombreux avantages, un environnement cloud est également vulnérable à de nombreuses menaces. Qu’il s’agisse de violations de données ou d’accès non autorisés, les risques potentiels sont vastes. Conscient de ces défis, AWS a donné la priorité à la fourniture d’une infrastructure sécurisée comme première ligne de défense. AWS (en anglais seulement'L’engagement de l’entreprise à l’égard de la sécurité est évident dans sa suite complète d’outils conçus pour protéger chaque couche du cloud.
AWS Security Foundations For Dummies
Everything you need to know to protect your AWS environment
Download PDF
Principaux outils de sécurité proposés par AWS
Le rôle des outils de sécurité AWS
Les outils de sécurité AWS ne servent pas seulement à empêcher les accès non autorisés ou les violations de données. Ils jouent un rôle à multiples facettes pour assurer la sécurité globale d’un compte AWS, des applications qui s’y exécutent et des services utilisés. Ces outils jouent un rôle essentiel dans AWS' Une infrastructure de sécurité robuste, offrant des solutions qui répondent à des besoins de sécurité spécifiques tout en offrant une vue holistique de votre posture de sécurité.
AWS (en anglais seulement'Les offres de sécurité peuvent être classées en trois grandes catégories :
Dans les sections suivantes, nous allons approfondir ces outils, en explorant leurs fonctionnalités, leurs cas d’utilisation et les avantages qu’ils offrent aux utilisateurs d’AWS.
Gestion des identités et des accès
Dans le monde numérique d’aujourd’hui, il est essentiel de restreindre qui peut voir quoi dans votre écosystème. La solution clé ici est le service Web d’identité et d’accès bien connu d’AWS.
Gestion des identités et des accès AWS (IAM)
AWS IAM est une pierre angulaire de la sécurité AWS, permettant aux organisations de contrôler l’accès à ses services et ressources AWS. Il vous permet également de créer et de gérer des utilisateurs et des groupes AWS, en veillant à ce que seules les personnes autorisées puissent accéder à des ressources spécifiques.
Les principales caractéristiques de l’IAM peuvent être résumées comme suit.
Accès partagé à votre compte AWS : Accordez à plusieurs utilisateurs l’accès à votre compte AWS, garantissant ainsi des opérations collaboratives et sécurisées.
Autorisations granulaires : Ajustez les autorisations pour vous assurer que les utilisateurs n’ont accès qu’aux ressources dont ils ont besoin pour leur travail.
Sécurisation de l’accès aux applications : Intégrez IAM à d’autres services AWS pour sécuriser l’accès aux applications.
Authentification multifactorielle : Bénéficiez d’une couche de sécurité supplémentaire en imposant au moins deux méthodes de vérification.
IAM est particulièrement adapté à la gestion des autorisations des grandes équipes en s’assurant qu’elles peuvent accéder aux ressources AWS sans compromettre la sécurité. Vous devez également l’utiliser lors de la sécurisation des données sensibles, car il limitera l’accès au personnel autorisé.
Protection des données
Les données sont souvent l’actif le plus précieux pour les organisations. AWS fournit des outils tels qu’AWS Secrets Manager et Amazon Macie pour garantir que les données sont stockées en toute sécurité et que les informations sensibles, telles que les informations d’identification personnelle (Données personnelles), sont protégées.
AWS Secrets Manager
AWS Secrets Manager est un outil essentiel lorsque les entreprises ont besoin de protéger l’accès aux applications, aux services et aux ressources informatiques. Il gère en toute sécurité les informations sensibles, en veillant à ce que les secrets'De plus, il n’y a pas d’autre moyen d’y parvenir que d’utiliser trois capacités importantes.
Rotation des secrets : Modifiez automatiquement les secrets à intervalles réguliers, ce qui réduit le risque d’accès non autorisé.
Stockage sécurisé et évolutif des secrets : Stockez les secrets en toute sécurité pour vous assurer qu’ils'De plus, il n’y a pas d’autre moyen d’empêcher les entités autorisées de le faire.
Surveillance des secrets : Suivez et surveillez l’accès aux secrets, en garantissant la transparence et la sécurité.
AWS Secrets Manager est utile pour les cas d’utilisation suivants.
Gestion des informations d’identification pour les services tiers
Vous pouvez stocker des clés API, des informations d’identification de base de données et d’autres secrets en toute sécurité à l’aide du code ci-dessous :
aws secretsmanager create-secret --name MyTestDatabaseSecret
--description "Mon secret de base de données de test créé avec l’interface de ligne de commande"
--chaîne-secrète '{"nom d’utilisateur":"testutilisateur","mot de passe":"monmot de passe"}'Cette commande crée un nouveau secret nommé MyTestDatabaseSecret, avec une description et une chaîne secrète au format JSON contenant un nom d’utilisateur et un mot de passe.
Automatisation de la rotation des secrets
Cela garantit que les secrets sont changés régulièrement, ce qui réduit le risque de violation. Pour configurer la rotation automatique des secrets, créez une fonction Lambda qui définit la logique de rotation et configurez le secret dans Secrets Manager pour utiliser cette fonction :
aws secretsmanager rotate-secret --secret-id MyTestDatabaseSecret
--rotation-lambda-arn
arn :aws :lambda :region :account-id :function :rotation-function-name
--rotation-rules AutomatiquementAfterDays=30La commande pour MyTestDatabaseSecret utilise une fonction Lambda spécifiée et s’assurera que le secret est retourné automatiquement tous les 30 jours.
Lac de sécurité Amazon
Lac de sécurité Amazon Centralise les données de sécurité provenant de diverses sources, fournissant une plate-forme unifiée pour la détection et l’analyse avancées des menaces avec les fonctionnalités clés suivantes.
Cryptage des données : Assurez-vous que toutes les données du Security Lake sont chiffrées, en préservant la confidentialité.
Exportation du lac de données : Exporter des données à des fins d’analyse ou de conformité.
Téléchargements de données personnalisées : Intégrez des données provenant de différentes sources, ce qui garantit une vue complète de la sécurité.
Cet outil est utile pour la chasse aux menaces en recherchant de manière proactive les menaces ou les vulnérabilités potentielles. En outre, il offre des analyses des données de sécurité pour en tirer des informations et améliorer votre posture de sécurité.
Amazon Macie
Amazon Macie utilise l’apprentissage automatique et la reconnaissance des formes pour détecter et protéger vos données confidentielles dans AWS. Avec Macie, les utilisateurs d’AWS peuvent comprendre et gérer les données sensibles à grande échelle, ce qui facilite le respect des réglementations en matière de confidentialité des données grâce à quelques fonctionnalités principales. Nous les abordons ci-dessous, ainsi que quelques exemples de code.
Découverte des données : Analysez automatiquement les compartiments S3 pour identifier où résident les données sensibles dans AWS :
# Extrait de code Python pour lister les compartiments S3 et les vérifier avec Macie
Importer boto3
s3 = boto3.client('S3 (en anglais seulement)')
macie = boto3.client('Macie2')
# Répertorier tous les compartiments S3
compartiments = s3.list_buckets()
pour le godet dans les seaux['Seaux']:
# Vérifiez chaque compartiment avec Macie pour les données sensibles
réponse = macie.create_classification_job(
jobType='ONE_TIME',
s3JobDefinition={
'bucketDefinitions (en anglais)': [{'bucketName (en anglais seulement)': seau['Nom']}]
}
)Classification des données : Catégorisez les données en fonction de leur sensibilité, telles que les informations personnelles, à l’aide d’identificateurs de données prédéfinis :
# Extrait de code Python pour obtenir des résultats de classification
résultats = macie.get_findings()
pour trouver dans les résultats['Résultats']:
Imprimer(f"Type de données sensibles : {finding['type']}")Alertes de sécurité : Recevez des notifications via AWS CloudWatch ou SNS lorsque Macie détecte un accès non autorisé potentiel ou des violations de données :
# Extrait de code Python pour créer une rubrique SNS pour les alertes Macie
sns = boto3.client('SNS (en anglais seulement)')
topic = sns.create_topic(Nom='MacieAlerts (en anglais seulement)')
macie_alert_arn = sujet['SujetArn']Protection du réseau et des applications
Il est essentiel de protéger votre réseau et vos applications contre les menaces potentielles. Les outils abordés dans cette section sont conçus pour protéger les applications contre les risques tels que les attaques par déni de service distribué (DDoS).
AWS Shield
AWS Shield est un service complet de protection par déni de service distribué (DDoS) géré conçu pour protéger les applications AWS. Il permet aux utilisateurs de garantir la disponibilité et les performances de leurs applications, même en cas d’attaque DDoS, sans avoir à apporter de modifications à une application. Ses principales fonctionnalités sont répertoriées ci-dessous, ainsi que des exemples de code, le cas échéant.
Protection contre les attaques DDoS : Bénéficiez d’une protection robuste contre les vecteurs d’attaque DDoS les plus courants, en garantissant la disponibilité de vos applications :
# Extrait de code Python pour activer la protection AWS Shield Advanced
Importer boto3
bouclier = boto3.client('bouclier')
Réponse = shield.create_protection(
Nom='MyProtection',
RessourceArn='arn :aws :elasticloadbalancing :us-west-2 :123456789012 :loadbalancer/app/my-load-balancer/50dc6c495c0c9188'
)Protection des coûts : Évitez les contraintes financières lorsque vos services AWS sont mis à l’échelle en raison d’une attaque DDoS, car AWS Shield couvre les frais de mise à l’échelle.
Renseignements sur les menaces : Recevez des informations détaillées sur les attaques en cours et passées, ce qui vous aide à comprendre le paysage des menaces et à améliorer vos défenses.
Gestion de la conformité
Il est indispensable d’assurer la conformité aux réglementations et normes pertinentes de l’industrie. AWS propose des outils tels qu’AWS CloudTrail et AWS Config pour aider les organisations à maintenir la conformité en suivant les modifications apportées aux ressources et en auditant les configurations.
AWS CloudTrail
AWS CloudTrail est un service puissant qui offre une visibilité sur l’activité des utilisateurs et des ressources dans votre environnement AWS. En capturant un journal complet des modifications et des mises à jour, CloudTrail aide les organisations à maintenir un environnement AWS sécurisé et conforme, facilitant ainsi l’audit opérationnel et des risques.
AWS CloudTrail dispose de quelques fonctionnalités clés.
Historique de l’événement : Passez en revue toutes les actions et modifications passées dans votre environnement AWS via le journal chronologique des événements de CloudTrail :
# Extrait de code Python pour rechercher les événements récents
Importer boto3
cloudtrail = boto3.client('Traînée de nuages')
events = cloudtrail.lookup_events(LookupAttributes=[{'AttributeKey (Clé d’attribut)':'Nom de l’événement', 'AttributValeur':'RunInstances (Instances d’exécution)'}])
pour l’événement dans les événements['Épreuves']:
print(événement['Nom de l’événement'], événement['Heure de l’événement'])Evénements de gestion : Restez à l’affût des informations sur les opérations de gestion effectuées sur les ressources de votre compte AWS :
# Extrait de code Python pour filtrer les événements de gestion
management_events = cloudtrail.lookup_events(EventCategory='Gestion')
pour l’événement en management_events['Épreuves']:
print(événement['Nom de l’événement'], événement['Nom d’utilisateur'])Événements de données : Exploitez les informations sur les opérations de ressource effectuées sur ou au sein de la ressource elle-même :
# Extrait de code Python pour filtrer les événements de données pour un compartiment S3
data_events = cloudtrail.lookup_events(LookupAttributes=[{'AttributeKey (Clé d’attribut)':'ResourceType (Type de ressource)', 'AttributValeur':'AWS ::S3::Objet'}])
pour l’événement en data_events['Épreuves']:
print(événement['Nom de l’événement'], événement['Ressources'])Idées: Identifiez les activités inhabituelles, telles que les pics d’approvisionnement des ressources :
# Extrait de code Python pour obtenir des événements d’insights
insights = cloudtrail.lookup_events(InsightSelectors=[{'InsightType (Type d’insight)': 'ApiCallRateInsight'}])
pour obtenir des informations dans les insights['Épreuves']:
imprimer(perspicacité['Nom de l’événement'], perspicacité['InsightDetails (en anglais)'])Configuration AWS
Configuration AWS est un service dynamique conçu pour donner aux organisations une vue claire de leurs ressources, configurations et dépendances AWS. Il suit les modifications et vous permet d’évaluer les configurations par rapport aux configurations souhaitées, garantissant ainsi que votre environnement AWS reste sécurisé et conforme grâce aux fonctionnalités suivantes.
Inventaire des ressources : Auditez et examinez les configurations dans l’ensemble de votre environnement, car AWS Config surveille et enregistre en permanence vos configurations de ressources AWS :
# Extrait de code Python pour lister les ressources découvertes
Importer boto3
config = boto3.client('Configuration')
ressources = config.list_discovered_resources(resourceType='AWS ::EC2::Instance')
pour ressource dans ressources['resourceIdentifiers']:
print(ressource['resourceId (en anglais seulement)'])Historique de configuration : Plongez dans l’historique des configurations de vos ressources AWS, en fournissant une piste d’audit claire.
Notifications de modification de configuration : Configurez des rubriques SNS pour recevoir des alertes en temps réel lorsque les configurations changent, ce qui vous permet de'Je ne sais pas ce que c’est, mais je ne sais pas ce que
Audit de conformité : Assurez-vous que vos ressources AWS sont configurées conformément aux politiques internes et aux normes réglementaires externes.
L’intégration d’AWS Config à d’autres services est illustrée dans la visualisation suivante :
AWS Security Hub
AWS Security Hub est un service centralisé conçu pour simplifier la gestion de la sécurité et de la conformité dans l’ensemble de votre écosystème AWS. En consolidant les résultats des services AWS et des outils tiers, Security Hub fournit une vue unifiée et organisée, ce qui vous permet de vous concentrer sur les alertes de sécurité les plus critiques et de maintenir une posture de sécurité robuste.
Contrôles de sécurité automatisés : Évaluez en permanence votre environnement AWS par rapport à un ensemble de Bonnes pratiques AWS et les normes de l’industrie.
Services AWS intégrés : Intégrez Security Hub à divers services AWS, offrant ainsi une vue complète des résultats en matière de sécurité et de conformité.
Normes de conformité : Surveillez et évaluez vos ressources AWS par rapport à des normes telles que CIS AWS Foundations.
Tableau de bord centralisé : Consolidez les résultats de plusieurs comptes et services AWS via un tableau de bord centralisé pour obtenir des informations sur la sécurité et la conformité.
Security Hub vous permet de filtrer et de hiérarchiser les résultats, ce qui signifie que vous pouvez rapidement identifier et répondre aux menaces de sécurité les plus urgentes :
Détection des menaces
AWS propose des outils qui surveillent et détectent en permanence les menaces potentielles pour les comptes et les workloads AWS. Ces services utilisent l’apprentissage automatique et les flux de renseignements sur les menaces pour découvrir les menaces potentielles.
Amazon GuardDuty
Amazon GuardDuty est un service de détection des menaces de pointe qui s’intègre de manière transparente à l’écosystème AWS. En analysant en permanence les activités malveillantes ou non autorisées, GuardDuty garantit la sécurité des comptes et des workloads AWS, même lorsque de nouvelles menaces apparaissent. Ses principales fonctionnalités sont énumérées ci-dessous, avec des extraits de code le cas échéant.
Détection d’anomalies : Surveillez en permanence l’activité de l’environnement AWS, en identifiant les modèles qui s’écartent de la norme et qui peuvent indiquer des menaces potentielles.
Apprentissage automatique: Identifiez les nouvelles menaces, même si elles ne sont pas encore présentes'De plus, il n’y a pas d’autre solution que d’utiliser l’outil d’apprentissage automatique pour faire évoluer GuardDuty au fil du temps :
# Remarque : GuardDuty utilise l’apprentissage automatique en interne et ses résultats reflètent ses capacités de ML
résultats = guardduty.list_findings(DetectorId=detector['DetectorId (ID du détecteur)'])
pour trouver dans les résultats['Identifiants de recherche']:
imprimer (trouver)Détection d’appels d’API inhabituels : Recevez des alertes en cas d’appels d’API inattendus ou suspects susceptibles d’indiquer une activité malveillante :
# Extrait de code Python pour filtrer les résultats liés aux appels d’API inhabituels
critères = {
'type': [{'Valeur': 'Recon :IAMUser/UnusualAPIActivity', 'Comparaison': 'CONTIENT'}]
}
unusual_api_findings = guardduty.list_findings(DetectorId=détecteur['DetectorId (ID du détecteur)'], FindingCriteria=critères)
pour trouver dans unusual_api_findings['Identifiants de recherche']:
imprimer (trouver)Surveillance des déploiements non autorisés : Détectez les déploiements de ressources inattendus, qui pourraient être le signe d’une compromission de compte ou d’une mauvaise configuration.
Inspecteur Amazon
Inspecteur Amazon est un puissant outil d’évaluation de la sécurité qui s’intègre parfaitement à AWS. En évaluant automatiquement les applications à la recherche de vulnérabilités potentielles ou d’écarts par rapport aux bonnes pratiques AWS, Inspector garantit que vos applications restent sécurisées et conformes tout au long de leur cycle de vie grâce à quelques fonctionnalités principales.
Modèles d’évaluation : Définissez des modèles qui spécifient les règles et les normes par rapport auxquelles vos applications doivent être évaluées.
Résultats: Après une évaluation, obtenez des résultats détaillés mettant en évidence les problèmes de sécurité, ce qui permet de les corriger en temps opportun.
Garantir les meilleures pratiques : Assurez-vous que vos applications sont conformes aux bonnes pratiques AWS, telles que la configuration correcte des groupes de sécurité ou des paramètres SSH.
Détective Amazon
Détective Amazon est un outil puissant conçu pour améliorer la posture de sécurité des environnements AWS. L’exploitation de techniques avancées telles que l’apprentissage automatique, l’analyse statistique et la théorie des graphes fournit des informations approfondies sur les résultats de sécurité, ce qui rend le processus d’investigation plus efficace et plus précis.
Les principaux avantages d’Amazon Detective peuvent être résumés comme suit.
Détection d’anomalies : Être signalé aux problèmes de sécurité potentiels lors de l’utilisation d’Amazon Detective'Les algorithmes d’apprentissage automatique identifient automatiquement les modèles et les comportements inhabituels :
# Code Python pour activer la détection d’anomalies
détective = boto3.client('détective')
réponse = detective.enable_anomaly_detection(accountId='123456789012')
print(réponse['Statut'])Visualisations: Explorez les résultats de sécurité grâce à des visualisations détaillées, ce qui facilite la compréhension des événements de sécurité complexes.
Constatations en matière de sécurité : Corrélez les données de divers services AWS, ce qui permet d’obtenir une vue d’ensemble des événements de sécurité :
# Code Python pour lister les résultats de sécurité
résultats = detective.list_findings(accountId='123456789012')
Pour trouver dans les résultats :
imprimer(trouver['Id'], constatation['Type'])Analyse de l’historique du comportement du compte : Passez en revue les activités passées du compte pour identifier les tendances, les vulnérabilités ou les menaces potentielles, afin de garantir une approche de sécurité proactive.
Amélioration des services de sécurité AWS à l’aide d’outils tiers
Bien qu’AWS propose une suite complète d’outils de sécurité natifs, le paysage de la sécurité du cloud est vaste et en constante évolution. Des solutions tierces peuvent compléter AWS'offrent des couches de protection supplémentaires, des fonctionnalités spécialisées et des analyses améliorées.
La valeur de l’intégration
L’intégration d’outils tiers aux services de sécurité AWS peut offrir plusieurs avantages :
Informations de sécurité agrégées : En regroupant toutes les informations de sécurité dans un modèle de données unique, les entreprises peuvent avoir une vue unifiée de leur posture de sécurité.
Résultats enrichis : L’enrichissement des données AWS, telles que les résultats de GuardDuty, avec des informations tierces peut fournir plus de contexte, ce qui permet de détecter les menaces et d’y répondre plus rapidement et avec plus de précision.
Capacités spécialisées : Certains outils tiers offrent des fonctionnalités spécialisées qui ne sont pas disponibles dans les outils AWS natifs, répondant ainsi à des besoins de sécurité de niche.
Connect Wiz with AWS
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
Wiz : Amélioration de la sécurité AWS
Wiz aide les entreprises à identifier et à remédier aux risques critiques dans leurs environnements AWS. Wiz s’intègre à + de 50 services AWS pour fournir une visibilité complète sur votre parc cloud, et utilise l’apprentissage automatique pour identifier les risques qui sont souvent manqués par les outils de sécurité traditionnels.
Wiz fonctionne avec AWS de différentes manières :
Wiz s’intègre aux services AWS pour fournir de la visibilité et du contexte.Par exemple, Wiz peut iConnectez-vous avec AWS CloudTrail pour collecter des journaux à partir de vos ressources AWS, puis utilisez l’apprentissage automatique pour identifier les modèles qui indiquent des risques. Wiz peut également intégration à AWS Security Hub pour obtenir une vue consolidée de vos résultats en matière de sécurité sur l’ensemble d’AWS.
Wiz fournit des recommandations pour la remédiation.Une fois que Wiz a identifié un risque, il fournira des recommandations pour y remédier. Ces recommandations peuvent être spécifiques, telles que : "Modifier le mot de passe de cet utilisateur" ou "Activez l’authentification à deux facteurs pour cette ressource."
Wiz peut automatiser la remédiation.Wiz peut automatiser la correction de certains risques, tels que la modification des mots de passe ou l’activation de l’authentification à deux facteurs. Cela peut aider les organisations à réduire le temps et les efforts nécessaires pour assurer la sécurité de leurs environnements AWS.
En s’intégrant aux services AWS et en utilisant l’apprentissage automatique, Wiz peut identifier et corriger les risques critiques qui sont souvent négligés par les outils de sécurité traditionnels.
Pour ceux qui cherchent à renforcer davantage leur sécurité AWS, nous vous recommandons d’essayer un démo de Wiz. Découvrez par vous-même comment il peut fournir une solution de sécurité plus complète et plus efficace pour votre environnement AWS.
Agentless Full Stack coverage of your AWS Workloads in minutes
Learn why CISOs at the fastest growing companies choose Wiz to help secure their AWS environments.
Autres tours d’horizon des outils de sécurité qui pourraient vous intéresser :