Sécurité de l’informatique en nuage

Contexte

Crawford Technologies, Inc (CrawfordTech) est un éditeur de logiciels indépendant (ISV) depuis plus de 25 ans. Grâce à ses innovations constantes, CrawfordTech reste à l’avant-garde des tendances technologiques. Depuis sa création, CrawfordTech a abordé le développement de logiciels et de solutions avec ces cinq principes à l’esprit :

• Minimiser le coût total de possession (TCO)
• Fournir une voie de mise à niveau claire
• S’appuyer sur les points forts existants.
• Équilibrer l’innovation et la fiabilité.
• Assurer la sécurité de nos clients

L’architecture

Ce modèle partagé allège la charge opérationnelle de CrawfordTech et du client car AWS exploite, gère et contrôle les composants du système d’exploitation hôte et de la couche de virtualisation jusqu’à la sécurité physique des installations dans lesquelles le service est exploité. CrawfordTech assume la responsabilité et la gestion du système d’exploitation invité (y compris les mises à jour et les correctifs de sécurité), d’autres logiciels d’application associés ainsi que la configuration du pare-feu du groupe de sécurité fourni par AWS. CrawfordTech a choisi d’exécuter tout le matériel virtualisé, les logiciels d’application et de système dans un nuage privé virtuel (VPC) et a soigneusement examiné les services choisis en tant que responsabilités, les services AWS utilisés, l’intégration de ces services dans l’environnement informatique, ainsi que les lois et réglementations applicables.

Comme le montre le tableau ci-dessous, cette différenciation des responsabilités est communément appelée sécurité « de » l’informatique en nuage et sécurité « dans » l’informatique en nuage.

Responsabilité d’AWS « Security of the Cloud » – AWS est responsable de la protection de l’infrastructure qui fait fonctionner tous les services offerts dans le nuage AWS. Cette infrastructure se compose du matériel, des logiciels, des réseaux et des installations qui font fonctionner les services du nuage AWS.

Responsabilité de CrawfordTech « Security in the Cloud » – La responsabilité de CrawfordTech est déterminée par les services AWS Cloud qu’elle a sélectionnés. Cela a déterminé la quantité de travail de configuration que CrawfordTech a dû effectuer dans le cadre de ses responsabilités en matière de sécurité. Par exemple, un service tel que Amazon Elastic Compute Cloud (Amazon EC2) est catégorisé comme Infrastructure as a Service (IaaS) et, en tant que tel, exige que CrawfordTech effectue toutes les tâches nécessaires de configuration et de gestion de la sécurité.

CrawfordTech est responsable de la gestion du système d’exploitation invité (y compris les mises à jour et les correctifs de sécurité), de tout logiciel d’application ou utilitaire installé par CrawfordTech sur les instances, et de la configuration du pare-feu fourni par AWS (appelé groupe de sécurité) sur chaque instance. Pour les services abstraits, tels qu’Amazon S3 et Amazon DynamoDB, AWS exploite la couche d’infrastructure, le système d’exploitation et les plates-formes, et CrawfordTech accède aux points d’extrémité pour stocker et récupérer les données. CrawfordTech est responsable de la gestion de ses données (y compris les options de cryptage), de la classification des actifs et de l’utilisation des outils IAM pour appliquer les autorisations appropriées.

Modèle sécurisé

Ce modèle de responsabilité partagée CrawfordTech /AWS s’étend également aux contrôles informatiques. Tout comme la responsabilité de l’exploitation de l’environnement informatique est partagée entre AWS et ses clients, la gestion, l’exploitation et la vérification des contrôles informatiques sont également partagées. AWS contribue à alléger la charge des contrôles opérationnels en gérant les contrôles associés à l’infrastructure physique déployée dans l’environnement AWS, qui pouvaient auparavant être gérés par les organisations individuelles des clients. Ce transfert de la gestion de certains contrôles informatiques vers AWS se traduit par un (nouvel) environnement de contrôle distribué. CrawfordTech utilise la documentation de contrôle et de conformité d’AWS pour effectuer ses procédures d’évaluation et de vérification des contrôles, selon les besoins. Vous trouverez ci-dessous des exemples de contrôles gérés par AWS, CrawfordTech et/ou les deux.

Contrôles hérités – Contrôles que CrawfordTech hérite entièrement d’AWS.

• Contrôles physiques et environnementaux

Contrôles partagés – Contrôles qui s’appliquent à la fois à la couche infrastructure et aux couches clients, mais dans des contextes ou des perspectives complètement distincts. Dans un contrôle partagé, AWS fournit les exigences pour l’infrastructure et CrawfordTech fournit sa propre mise en œuvre du contrôle dans le cadre de l’utilisation des services AWS. Les exemples incluent :

• Gestion des correctifs – AWS est responsable des correctifs et de la correction des failles au sein de l’infrastructure, mais CrawfordTech est responsable des correctifs de son système d’exploitation et de ses applications.
• Gestion de la configuration – AWS maintient la configuration de ses dispositifs d’infrastructure, mais CrawfordTech est responsable de la configuration de ses propres systèmes d’exploitation, bases de données et applications.
• Sensibilisation et formation – AWS forme les employés d’AWS et CrawfordTech forme ses propres employés.

Conformité

Suivez les meilleures pratiques IAM

• Utilisez le service de gestion des identités et des accès AWS pour permettre aux utilisateurs de gérer l’accès aux services et ressources AWS en toute sécurité.
• Administrez AWS en créant des groupes et des utilisateurs et en appliquant des politiques d’autorisation granulaires pour fournir un accès limité aux API et aux ressources.
• Adoptez l’approche de la sécurité fondée sur le principe du « moindre privilège ».
• Faites pivoter les clés d’accès et les mots de passe.

Gérez l’accès au niveau du système d’exploitation et assurez la sécurité des instances EC2

• Lancez périodiquement une évaluation de l’inspecteur pour générer un rapport sur les vulnérabilités au niveau du système d’exploitation.
• Utilisez le gestionnaire de correctifs du système pour maintenir les paquets du système d’exploitation à jour.
• Apportez régulièrement des correctifs aux instances EC2 afin de protéger l’infrastructure contre les bogues et les vulnérabilités nouvellement découverts.
• Suivez les conseils de sécurité fournis par les fournisseurs de systèmes d’exploitation RedHat, Suse, Microsoft, etc.

Cryptage

• Cryptez toutes les données, qu’elles soient en transit ou au repos.
• Utilisez AWS KMS pour stocker les clés de chiffrement au repos, qui sont générées par AWS.
• Utilisez le HSM en nuage pour fournir des dispositifs matériels cryptés pour le stockage des clés.
• Utilisez les services AWS qui fournissent un chiffrement en transit en fournissant des points d’extrémité https qui fournissent un chiffrement de bout en bout.
• AWS Certificate Manager pour créer un certificat SSL pour le domaine public.

Suivez les meilleures pratiques de sécurité pour les services de base de données et de stockage AWS

• Le stockage RDS sera crypté au repos.
• Restreignez l’accès aux instances RDS afin de réduire le risque d’activités malveillantes telles que les attaques par force brute, les injections SQL ou les attaques DoS.
• Le stockage S3 sera crypté au repos.
• La politique S3 sera utilisée pour restreindre l’accès au contenu S3.
• Utilisez AWS Macie pour détecter et sécuriser les données sensibles dans AWS-S3.
• Utilisez le magasin de paramètres AWS pour stocker des informations d’identification et des secrets spécifiques à l’environnement, afin d’utiliser la gestion des secrets pour votre application cloud-native.

Sécurité des réseaux

• Utilisez des systèmes de détection d’intrusion (IDS) ou des systèmes de prévention d’intrusion (IPS) pour permettre la détection et la prévention des attaques sur les infrastructures critiques telles que les passerelles de paiement.
• Assurez-vous que les journaux de flux VPC sont activés pour surveiller le trafic réseau.
• Restreindre l’accès par groupe de sécurité. (EC2, RDS, Elastic Cache, etc.)
• Utilisez Guard Duty pour surveiller en permanence les comptes et les infrastructures AWS.

Sécurité des applications web

• Utilisez des pare-feu d’application Web (WAF) pour assurer une inspection approfondie des paquets du trafic Web.
• Utilisez Amazon Inspector, un service automatisé d’évaluation de la sécurité qui améliore la sécurité et la conformité des applications déployées sur AWS.

Activer la gestion de la configuration

• Utilisez AWS Config pour auditer et évaluer les changements de configuration dans AWS.

Surveillance et alerte

• CloudTrail permet d’auditer et de surveiller les activités autorisées et non autorisées au sein du compte AWS.
• Des alertes CloudWatch peuvent être mises en place pour les activités malveillantes au sein du compte AWS et de l’infrastructure déployée dans AWS, ainsi que pour les journaux d’application.
• Définissez des alarmes de facturation pour informer votre équipe de l’utilisation des coûts de comptes ou d’infrastructures spécifiques.

Conformité, formation et certification

• Utilisez AWS Artifact pour un accès à la demande aux rapports de conformité AWS.
• Former et éduquer les équipes qui utilisent la plateforme cloud AWS pour le déploiement ou qui sont responsables de l’infrastructure.

La mise en œuvre de ces meilleures pratiques de sécurité dans le nuage à partir des lignes directrices fournies par AWS a permis à CrawfordTech de déployer les mesures de sécurité appropriées en fournissant les meilleures pratiques de sécurité avec des services de classe mondiale sur lesquels les clients peuvent compter.