Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08

4,241 views

Published on

Retrouvez le top 10 des bonnes pratiques de sécurité AWS par les experts sécurité de SecludIT. Notre solution pour vous aider dans la mise en place de ces bonnes pratiques :
https://elastic-workload-protector.secludit.com/

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08

  1. 1. TOP10 des meilleures pratiques de sécurité pour AWS Donnat Frédéric – Dir. Technique et CoFondateur de SecludIT 08/06/2017
  2. 2. SecludIT - Copyright et confidentiel - 2017 Notre mission • SecludIT est un Editeur français qui aide les entreprises, les hébergeurs ou infogéreurs à sécuriser leurs infrastructures informatiques. • Notre objectif est de démocratiser les meilleures techniques préventives de sécurité informatique. • SecludIT : acteur reconnu de l’industrie! • Partenariats avec les acteurs majeurs du cloud et de la virtualisation tel qu’Amazon Web Services, Azure, OpenStack, CloudStack, VMware
  3. 3. SecludIT - Copyright et confidentiel - 2017 Sécurité AWS : Partage de responsabilité Infrastructure globale Services de base Applications et contenu client Gestion de plateforme, d’applications, d’identité et d’accès Configuration du système d’exploitation, du réseau et du pare-feu Chiffrement des données côté client Chiffrement des données côté serveur Protection du trafic réseau Emplacements périphériques Zone de disponibilité Régions Calcul Stockage Base de données Mise en réseau Client Responsable de la sécurité « dans » le cloud AWS Responsable de la sécurité « du » cloud
  4. 4. SecludIT - Copyright et confidentiel - 2017 1 - Contrôle d’accès • Segmenter le compte AWS pour les utilisateurs • Opération, Administration, Auditeur • Utilisation de AWS IAM : • Identification, Authentification et Autorisation • Rôles et Permissions • Principe des « Moindres Privilèges » (IAM Policy simulator) • Authentification à facteur multiple : • Protection du compte « root » • MFA device (Google Authenticator, …)
  5. 5. SecludIT - Copyright et confidentiel - 2017 2 – Segmentation réseau • Identifier ses environnements : • Production, Préproduction, Développement, Test • Utilisation de AWS VPC : • Cloisonnement réseau par « Zone » (Security Group, NACLs, …) • Connection par « Jump Box / Bastion » • « PAS » de configuration par défaut • « PAS » de SSH / RDP ouvert sur internet (0.0.0.0/0)
  6. 6. SecludIT - Copyright et confidentiel - 2017 3 – Visibilité par inventaire permanent • Maintenir à jour l’inventaire des services et ressources AWS utilisées : • Utiliser AWS Config : 20 règles actuellement • Identifier les ressources des partenaires : • Eviter le problème de « shadow IT » • Utiliser les « Tags » AWS
  7. 7. SecludIT - Copyright et confidentiel - 2017 4 – Logger les accès AWS • Mettre en place des logs : • Logs d’accès avec AWS CloudTrail • Logs d’utilisation des ressources et application avec AWS CloudWatch • Logs d’accès réseau avec Flow Logs dans les sous-réseaux VPC • Mettre en place un SIEM : • Rediriger les logs dans un SIEM • Contrôle externe de visibilité : • Utilisation des APIs AWS
  8. 8. SecludIT - Copyright et confidentiel - 2017 5 – Images et Instances • Gérer les Images ou AMIs sur AWS : • Maintenir ses Images à jour • Problème du partage d’Image, volume, snapshot • Durcir ses Images • Nettoyer les instances avant d’en faire des Images • Utiliser les « Tags » AWS • Gérer les vulnérabilités des Instances • Détection préventive des vulnérabilités • « PAS » de configuration par défaut • Intégrité des fichiers • Utiliser AWS Inspector : Problème d’agent et peu de tests actuellement
  9. 9. SecludIT - Copyright et confidentiel - 2017 6 – Gestion des clés • Gérer les clés d’API : • Rotation des clés, Supprimer les anciennes clés • Gestionnaire de clés • « PAS » de partage de clés d’APIs : • Délégation par rôle IAM • Utilisateur dédié • Gérer les clés SSH d’accès aux instances • Gérer les clés de chiffrement : • AWS CloudHSM • AWS Key Management Service
  10. 10. SecludIT - Copyright et confidentiel - 2017 7 – Chiffrement de bout-en-bout • Chiffrement des données : • Stockage persistant S3 ou volume EBS • Transport par canal sécurisé: • confidentialité, intégrité, chiffrement, non-répudiation • Interconnexion réseau local et Cloud AWS : « Chiffrer » la couche transport • Protection des données : • Sauvegarder et tester la restauration régulièrement • Versionner les données • Eviter la suppression des données sur suppression des instances
  11. 11. SecludIT - Copyright et confidentiel - 2017 8 – Certificat SSL/TLS • Transport par canal sécurisé par SSL/TLS : • Utiliser des certificats SSL/TLS • Gérer les certificats SSL/TLS et les listes de révocations • Utiliser la dernière version du protocole TLS • Utiliser des suites de chiffrements fortes • Gérer les certificats SSL /TLS : • AWS Certificate Manager
  12. 12. SecludIT - Copyright et confidentiel - 2017 9 – Auditer et Configurer des alertes • Auditer régulièrement la configuration des services AWS : • CIS Amazon Web Services Foundations • CIS Amazon Web Service Three-Tier-Web • Mettre en place la surveillance continue : • Auditer la accès : AWS IAM • Auditer la configuration réseau : AWS VPC • SecurityGroup, Subnet, NACLs, … • Auditer les services déployé sur AWS : • Instances EC2 • Accès au Stockage (S3, EBS, …)
  13. 13. SecludIT - Copyright et confidentiel - 2017 10 – Eduquer les utilisateurs • Mettre en place des procédures d’utilisation : • Nouveau mode de consommation « Cloud » • Décrire le fonctionnement AWS • « Former » et « Responsabiliser » les utilisateurs : • Expliquer comment utiliser AWS • Expliquer les risques de sécurité • Donner les raisons des mécanismes de sécurité mis en place https://aws.amazon.com/fr/security/ https://secludit.com/blog/ https://elastic-workload-protector.secludit.com/
  14. 14. SecludIT - Copyright et confidentiel - 2017 QUESTIONS ? Essayez et Adoptez Elastic Workload Protector ! Réduisez vos risques et vos coûts.

×