# Protection de l'infrastructure
<a name="a-infrastructure-protection"></a>

**Topics**
+ [SEC 5  Comment protéger vos ressources réseau ?](w2aac19b7c11b5.md)
+ [SEC 6  Comment assurer la protection de vos ressources de calcul ?](w2aac19b7c11b7.md)

# SEC 5  Comment protéger vos ressources réseau ?
<a name="w2aac19b7c11b5"></a>

Pour toute charge de travail ayant une forme quelconque de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, plusieurs couches de défense sont nécessaires pour vous protéger contre les menaces externes et internes basées sur le réseau.

**Topics**
+ [SEC05-BP01 Créer des couches réseau](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Contrôler le trafic sur toutes les couches](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatiser la protection du réseau](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mettre en œuvre l'inspection et la protection](sec_network_protection_inspection.md)

# SEC05-BP01 Créer des couches réseau
<a name="sec_network_protection_create_layers"></a>

 Regroupez en couches les composants qui partagent les exigences d'accessibilité. Par exemple, un cluster de bases de données dans un cloud privé virtuel (VPC) n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Dans une charge de travail sans serveur fonctionnant sans VPC, une superposition et une segmentation similaires avec des microservices peuvent atteindre le même objectif. 

les composants, tels que les instances Amazon Elastic Compute Cloud (Amazon EC2), les clusters de bases de données Amazon Relational Database Service (Amazon RDS) et les fonctions AWS Lambda qui partagent les exigences d'accessibilité, peuvent être segmentés en couches formées par des sous-réseaux. Par exemple, un cluster de bases de données Amazon RDS dans un VPC n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Cette approche multicouche pour les contrôles réduit l'impact d'une mauvaise configuration de couche unique, ce qui pourrait autoriser un accès involontaire. Pour Lambda, vous pouvez exécuter vos fonctions dans votre VPC pour anticiper les contrôles basés sur VPC.

Pour une connectivité réseau qui peut inclure des milliers de VPC, de comptes AWS et de réseaux sur site, utilisez [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Il fait office de hub qui contrôle la façon dont le trafic est routé entre tous les réseaux connectés qui agissent comme terminaisons. Le trafic entre un Amazon Virtual Private Cloud et AWS Transit Gateway reste sur le réseau privé AWS, ce qui réduit les vecteurs de menace externes tels que les attaques par déni de service distribué (DDoS) et les exploits courants, tels que l'injection SQL, les scripts de site à site, la falsification de requête entre sites ou la violation du code d'authentification. L'appairage inter-région AWS Transit Gateway chiffre également le trafic inter-région sans point unique de défaillance ni goulot d'étranglement sur la bande passante.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Créer des sous-réseaux dans un VPC : créez des sous-réseaux pour chaque couche (dans des groupes qui incluent plusieurs zones de disponibilité) et associez des tables de routage pour contrôler le routage. 
  +  [VPC et sous-réseaux ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tables de routage ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP02 Contrôler le trafic sur toutes les couches
<a name="sec_network_protection_layered"></a>

  lorsque vous créez l'architecture de votre topologie réseau, vous devez examiner les exigences de connectivité de chaque composant. Par exemple, si un composant nécessite d'accéder à Internet (en entrée et en sortie), une connectivité aux VPC, aux services périphériques et aux centres de données externes. 

 Un VPC vous permet de définir votre topologie de réseau qui s'étend sur une Région AWS avec une plage d'adresses IPv4 privée que vous définissez, ou une plage d'adresses IPv6 que sélectionne AWS. Vous devez appliquer des contrôles multiples avec une approche de défense en profondeur pour le trafic entrant et sortant, y compris l'utilisation de groupes de sécurité (pare-feu à inspection permanente), de listes de contrôle d'accès (ACL) réseau, de sous-réseaux et de tables de routage. Au sein d'un VPC, vous pouvez créer des sous-réseaux dans une zone de disponibilité. Chaque sous-réseau peut avoir une table de routage associée qui définit les règles de routage pour gérer les chemins que le trafic emprunte au sein du sous-réseau. Vous pouvez définir un sous-réseau routable Internet en ayant une route qui accède à une passerelle Internet ou NAT connectée au VPC, ou passant par un autre VPC. 

 Lorsqu'une instance, une base de données Amazon Relational Database Service(Amazon RDS) ou un autre service sont lancés au sein d'un VPC, ils disposent de leur propre groupe de sécurité sur chaque interface réseau. Ce pare-feu se situe en dehors de la couche du système d'exploitation et peut être utilisé pour définir des règles pour le trafic entrant et sortant autorisé. Vous pouvez également définir les relations entre les groupes de sécurité. Par exemple, les instances d'un groupe de sécurité de la couche base de données n'acceptent que le trafic des instances de la couche application, par référence aux groupes de sécurité appliqués aux instances concernées. Si vous utilisez des protocoles non-TCP, il n'est pas nécessaire de laisser une instance Amazon Elastic Compute Cloud(Amazon EC2) directement accessible par Internet (même avec des ports restreints par des groupes de sécurité) sans utiliser d'équilibreur de charge ou [CloudFront](https://aws.amazon.com/cloudfront). Cela permet de la protéger contre un accès involontaire en cas de problème de système d'exploitation ou d'application. Un sous-réseau peut également avoir une liste ACL réseau qui fait office de pare-feu sans état. Vous devez configurer la liste de contrôle d'accès(ACL) au réseau de manière à réduire l'étendue du trafic autorisé entre les couches. Notez que vous devez définir des règles à la fois pour les flux entrants et sortants. 

 Certains services AWS nécessitent que des composants accèdent à Internet pour effectuer des appels d'API, là où [les points de terminaison d'API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) sont situés. D'autres services AWS utilisent les [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) dans vos Amazon VPC. De nombreux services AWS, notamment Amazon S3 et Amazon DynamoDB, prennent en charge les points de terminaison d'un VPC, et cette technologie a été généralisée dans . [AWS PrivateLink](https://aws.amazon.com/privatelink/). Nous vous recommandons d'utiliser cette approche pour accéder en toute sécurité aux services AWS, aux services tiers et à vos propres services hébergés dans d'autres VPC. Tout le trafic réseau sur AWS PrivateLink reste sur la dorsale mondiale AWS et ne traverse jamais Internet. La connectivité ne peut être initiée que par le consommateur du service, et non par le fournisseur du service. Utiliser AWS PrivateLink pour l'accès au service externe vous permet de créer des VPC isolés sans accès à Internet et contribue à protéger vos VPC contre les vecteurs de menace externes. Les services tiers peuvent utiliser AWS PrivateLink pour permettre à leurs clients de se connecter aux services à partir de leurs VPC via des adresses IP privées. Pour les ressources VPC qui ont besoin d'établir des connexions sortantes à Internet, celles-ci peuvent être établies en mode sortant uniquement (unidirectionnel) via une passerelle NAT gérée par AWS, une passerelle Internet en mode sortant uniquement ou des proxys Web que vous créez et gérez. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Contrôler le trafic réseau dans un VPC : mettez en œuvre les bonnes pratiques liées aux VPC pour contrôler le trafic. 
  +  [Sécurité des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
  +  [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) 
  +  [Groupe de sécurité de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 
  +  [ACL réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 
+  Contrôler le trafic en périphérie : implémentez des services périphériques comme Amazon CloudFront pour fournir une couche supplémentaire de protection et d'autres fonctions. 
  +  [Cas d'utilisation d'Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html) 
  +  [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
  +  [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html) 
  +  [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  [Amazon VPC Ingress Routing](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/) 
+  Contrôler le trafic réseau privé : implémentez des services qui protègent le trafic privé pour votre charge de travail. 
  +  [Appairage des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 
  +  [Amazon VPC Endpoint Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) 
  +  [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
  +  [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 
  +  [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
  +  [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) 
  +  [Points d'accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP03 Automatiser la protection du réseau
<a name="sec_network_protection_auto_protect"></a>

 Automatisez les mécanismes de protection pour disposer d'un réseau capable de se défendre lui-même grâce à l'intelligence des menaces et à la détection des anomalies. Par exemple, des outils de détection et de prévention des intrusions capables de s'adapter aux menaces actuelles et de réduire leur impact. Un pare-feu d'application web est un scénario dans lequel vous pouvez automatiser la protection du réseau, par exemple, en utilisant la solution AWS WAF Security Automations ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) pour bloquer automatiquement les requêtes provenant d'adresses IP associées à des acteurs de menaces connus. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Automatiser la protection du trafic web : AWS propose une solution qui utilise AWS CloudFormation pour déployer automatiquement un ensemble de règles AWS WAF conçues pour filtrer les attaques courantes sur le web. Les utilisateurs peuvent choisir parmi des fonctions de protection préconfigurées qui définissent les règles incluses dans une liste de contrôle d'accès (ACL web) AWS WAF. 
  +  [Automatisations de sécurité AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/) 
+  Envisager les solutions AWS Partner : les partenaires AWS proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site. 
  +  [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+ [Sécurité des VPC Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP04 Mettre en œuvre l'inspection et la protection
<a name="sec_network_protection_inspection"></a>

 Inspectez et filtrez votre trafic au niveau de chaque couche. Vous pouvez inspecter les configurations de vos VPC pour détecter tout accès involontaire potentiel à l'aide de [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Vous pouvez spécifier vos exigences d'accès au réseau et identifier les chemins réseau potentiels qui ne les satisfont pas. Pour les composants effectuant des transactions via des protocoles basés sur HTTP, un pare-feu d'application Web peut protéger contre les attaques courantes. [AWS WAF](https://aws.amazon.com/waf) est un pare-feu d'application Web qui permet de surveiller et de bloquer les requêtes HTTP correspondant à vos règles configurables qui sont transmises à une API Amazon API Gateway, à Amazon CloudFront ou à un Application Load Balancer. Pour commencer à utiliser AWS WAF, vous pouvez utiliser des [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) en combinaison avec les vôtres ou utiliser des [intégrations de partenaires existantes](https://aws.amazon.com/waf/partners/). 

 Pour gérer AWS WAF, les protections AWS Shield Advanced et les groupes de sécurité Amazon VPC dans AWS Organizations, vous pouvez utiliser AWS Firewall Manager. Il vous permet de configurer et de gérer de manière centralisée les règles de pare-feu de l'ensemble de vos comptes et applications, ce qui facilite l'application à grande échelle des règles communes. Il permet également de répondre rapidement aux attaques, à l'aide d' [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)ou [de solutions](https://aws.amazon.com/solutions/aws-waf-security-automations/) qui peuvent bloquer automatiquement les demandes indésirables adressées à vos applications Web. Firewall Manager fonctionne également avec [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall est un service géré qui utilise un moteur de règles pour vous donner un contrôle précis sur le trafic réseau avec et sans état. Il prend en charge les spécifications du système de prévention des intrusions (IPS) open source [compatible avec Suricata](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) pour les règles afin de protéger plus efficacement votre charge de travail. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Configurer Amazon GuardDuty : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques. 
  +  [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 
  +  [Atelier : Déploiement automatisé des contrôles de détection](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html) 
+  Configurer des flux de journaux de cloud privé virtuel (VPC) : les journaux de flux de VPC sont une fonction qui vous permet de capturer des informations sur le trafic IP allant et venant des interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées sur Amazon CloudWatch Logs et Amazon Simple Storage Service (Amazon S3). Une fois que vous avez créé un journal de flux, vous pouvez extraire et afficher ses données dans la destination de votre choix. 
+  Envisager la mise en miroir du trafic VPC : la mise en miroir du trafic est une fonction Amazon VPC que vous pouvez utiliser pour copier le trafic réseau à partir d'une interface réseau Elastic d'instances Amazon Elastic Compute Cloud (Amazon EC2), puis l'envoyer à des appareils de sécurité et de surveillance hors bande pour l'inspection du contenu, la surveillance des menaces et le dépannage. 
  +  [Mise en miroir du trafic VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC 6  Comment assurer la protection de vos ressources de calcul ?
<a name="w2aac19b7c11b7"></a>

Les ressources de calcul de votre charge de travail nécessitent plusieurs couches de défense pour vous aider à vous protéger des menaces externes et internes. Les ressources de calcul incluent les instances EC2, les conteneurs, les fonctions AWS Lambda, les services de bases de données, les appareils IoT, etc.

**Topics**
+ [SEC06-BP01 Gérer les failles](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Réduire la surface d'attaque](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Mettre en œuvre des services gérés](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatiser la protection du calcul](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Permettre aux utilisateurs d'effectuer des actions à distance](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Valider l'intégrité des logiciels](sec_protect_compute_validate_software_integrity.md)

# SEC06-BP01 Gérer les failles
<a name="sec_protect_compute_vulnerability_management"></a>

 Analysez et éliminez fréquemment les failles de sécurité dans votre code, vos dépendances et votre infrastructure afin de vous protéger contre les nouvelles menaces. 

 En commençant par la configuration de votre infrastructure de calcul, vous pouvez automatiser la création et la mise à jour des ressources via AWS CloudFormation. CloudFormation vous permet de créer des modèles écrits en YAML ou JSON soit en utilisant des exemples AWS, soit en écrivant les vôtres. Cela vous permet de créer des modèles d'infrastructure sécurisés par défaut que vous pouvez vérifier avec [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), pour vous faire gagner du temps et réduire le risque d'erreur de configuration. Vous pouvez construire votre infrastructure et déployer vos applications en livraison continue, par exemple avec [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), pour automatiser la création, les tests et la publication. 

 Vous êtes responsable de la gestion des correctifs pour vos ressources AWS, y compris les instances Amazon Elastic Compute Cloud(Amazon EC2), les Amazon Machine Images (AMI) et de nombreuses autres ressources de calcul. Pour les instances Amazon EC2, AWS Systems Manager Patch Manager automatise le processus de correction des instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Vous pouvez utiliser le gestionnaire de correctifs pour appliquer des correctifs aux systèmes d'exploitation et aux applications. (Sur Windows Server, le support des applications est limité aux mises à jour des applications Microsoft.) Vous pouvez utiliser Patch Manager pour installer des Service Packs sur des instances Windows et effectuer des mises à niveau de versions mineures sur des instances Linux. Vous pouvez appliquer des correctifs à des parcs d'instances Amazon EC2 ou à vos serveurs et machines virtuelles (VM) sur site par type de système d'exploitation. Cela inclut les versions prises en charge de Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) et Ubuntu Server. Vous pouvez analyser les instances pour afficher uniquement un rapport sur les correctifs manquants, ou vous pouvez analyser et installer automatiquement tous les correctifs manquants. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Configurer Amazon Inspector : Amazon Inspector teste l'accessibilité réseau de vos instances Amazon Elastic Compute Cloud (Amazon EC2) et l'état de sécurité des applications qui s'exécutent sur ces instances. Amazon Inspector évalue les applications et recherche l'exposition, les vulnérabilités et les écarts par rapport aux bonnes pratiques. 
  +  [Qu'est-ce qu'Amazon Inspector ?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html) 
+  Analyser le code source : analysez les bibliothèques et les dépendances à la recherche de vulnérabilités. 
  +  [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 
  +  [OWASP : outils d'analyse de code source](https://owasp.org/www-community/Source_Code_Analysis_Tools) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vidéos connexes :** 
+  [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY) 
+  [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP02 Réduire la surface d'attaque
<a name="sec_protect_compute_reduce_surface"></a>

 Réduisez votre exposition aux accès imprévus en renforçant les systèmes d'exploitation et en limitant au minimum l'utilisation des composants, des bibliothèques et des services consommables en externe. Commencez par réduire les composants inutilisés, qu'il s'agisse de packages de système d'exploitation ou d'applications pour les charges de travail basées sur Amazon Elastic Compute Cloud (Amazon EC2), ou de modules logiciels externes dans votre code (pour toutes les charges de travail). Il existe de nombreux guides sur le renforcement et la configuration de la sécurité pour les systèmes d'exploitation et les logiciels serveur courants. Par exemple, vous pouvez commencer par le [Center for Internet Security](https://www.cisecurity.org/) et partir de là.

 Dans Amazon EC2, vous pouvez créer vos propres Amazon Machine Images (AMI), auxquelles vous avez appliqué des correctifs et dont vous avez renforcé la sécurité, pour vous aider à répondre aux exigences de sécurité spécifiques de votre organisation. Les correctifs et autres contrôles de sécurité que vous appliquez sur l'AMI sont effectifs au moment où ils ont été créés. Ils ne sont pas dynamiques, sauf si vous les modifiez après le lancement, par exemple, avec AWS Systems Manager. 

 Vous pouvez simplifier le processus de création d'AMI sécurisées avec EC2 Image Builder. EC2 Image Builder réduit considérablement l'effort requis pour créer et préserver des images de référence sans avoir à écrire ni à gérer l'automatisation. Lorsque des mises à jour logicielles sont disponibles, Image Builder génère automatiquement une nouvelle image sans obliger les utilisateurs à lancer manuellement les créations d'image. EC2 Image Builder vous permet de valider facilement la fonctionnalité et la sécurité de vos images avant de les utiliser en production avec les tests fournis par AWS et vos propres tests. Vous pouvez également appliquer les paramètres de sécurité fournis par AWS pour sécuriser davantage vos images afin de répondre aux critères de sécurité internes. Par exemple, vous pouvez créer des images conformes à la norme Security Technical Implementation Guide (STIG) à l'aide de modèles fournis par AWS. 

 Grâce à des outils d'analyse de code statique tiers, vous pouvez identifier les problèmes de sécurité courants tels que les limites d'entrée de fonction non contrôlées, ainsi que les vulnérabilités et expositions courantes applicables. Vous pouvez utiliser [Amazon CodeGuru](https://aws.amazon.com/codeguru/) pour les langues prises en charge. Les outils de vérification des dépendances peuvent également être utilisés pour déterminer si les bibliothèques avec lesquelles votre code est lié sont les dernières versions, sont elles-mêmes exemptes de vulnérabilités et d'expositions courantes et ont des conditions de licence qui répondent aux exigences de votre politique logicielle. 

 À l'aide d'Amazon Inspector, vous pouvez effectuer des évaluations de configuration de vos instances pour identifier les vulnérabilités et expositions communes connues, les évaluer par rapport à des points de référence en matière de sécurité et automatiser la notification des défauts. Amazon Inspector s'exécute sur des instances de production ou dans un pipeline de conception et notifie les développeurs et ingénieurs lorsque les résultats sont prêts. Vous pouvez accéder aux résultats par programmation et diriger votre équipe vers les systèmes de suivi des bugs et des retards. [EC2 Image Builder](https://aws.amazon.com/image-builder/) peut être utilisé pour gérer les images de serveur (AMI) avec l'application de correctifs automatisée, l'application de politiques de sécurité fournies par AWS et d'autres personnalisations. Lorsque vous utilisez des conteneurs, mettez en œuvre l' [analyse d'image ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) dans votre pipeline de génération et régulièrement par rapport à votre référentiel d'images pour rechercher les failles CVE dans vos conteneurs. 

 Si Amazon Inspector et d'autres outils sont efficaces pour identifier les configurations et les failles CVE présentes, d'autres méthodes sont nécessaires pour tester votre charge de travail au niveau de l'application. [Le fuzzing](https://owasp.org/www-community/Fuzzing) est une méthode bien connue pour trouver des bugs en utilisant l'automatisation pour injecter des données malformées dans les champs de saisie et d'autres parties de votre application. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Renforcer la sécurité du système d'exploitation : configurez les systèmes d'exploitation de manière à respecter les bonnes pratiques. 
  +  [Sécurisation d'Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/) 
  +  [Sécurisation de Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/) 
+  Renforcer la sécurité des ressources conteneurisées : configurez les ressources conteneurisées de manière à respecter les bonnes pratiques en matière de sécurité. 
+  Implémentez les bonnes pratiques AWS Lambda. 
  +  [Bonnes pratiques AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vidéos connexes :** 
+  [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY) 
+  [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP03 Mettre en œuvre des services gérés
<a name="sec_protect_compute_implement_managed_services"></a>

 Mettez en œuvre des services qui gèrent les ressources, comme Amazon Relational Database Service (Amazon RDS), AWS Lambda, and Amazon Elastic Container Service (Amazon ECS), afin de réduire vos tâches de maintenance de la sécurité dans le cadre du modèle de responsabilité partagée. Par exemple, Amazon RDS vous aide à configurer, exploiter et dimensionner une base de données relationnelle, automatise les tâches d'administration telles que la mise en service du matériel, la configuration de base de données, l'application de correctifs et les sauvegardes. Cela signifie que vous pouvez consacrer plus de temps à la sécurisation de votre application selon les autres méthodes décrites dans le cadre AWS Well-Architected Framework. Lambda vous permet d'exécuter le code sans avoir à mettre en service ni à gérer des serveurs. Par conséquent, vous pouvez vous concentrer uniquement sur la connectivité, les appels et la sécurité au niveau du code, et non pas sur l'infrastructure ou le système d'exploitation. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Explorer les services disponibles : explorez, testez et implémentez des services qui gèrent des ressources, notamment Amazon RDS, AWS Lambda et Amazon ECS. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Site web AWS](https://aws.amazon.com/)
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vidéos connexes :** 
+  [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY) 
+  [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Exemples connexes :** 
+ [Atelier : Demander un certificat public avec AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)

# SEC06-BP04 Automatiser la protection du calcul
<a name="sec_protect_compute_auto_protection"></a>

 Automatisez vos mécanismes de protection du calcul, en particulier la gestion des failles, la réduction de la surface d'attaque et la gestion des ressources. L'automatisation vous aide à investir du temps pour sécuriser d'autres aspects de votre charge de travail, et à réduire le risque d'erreur humaine. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Automatiser la gestion de la configuration : appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Atelier : Déploiement automatisé d'un VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 
  +  [Atelier : Déploiement automatisé d'une application Web avec EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 
+  Automatiser l'application de correctifs aux instances Amazon Elastic Compute Cloud (Amazon EC2) : AWS Systems Manager Patch Manager automatise le processus de correction des instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Vous pouvez utiliser le gestionnaire de correctifs pour appliquer des correctifs aux systèmes d'exploitation et aux applications. 
  +  [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
  +  [Application centralisée de correctifs multicomptes et multirégions avec AWS Systems Manager Automation](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  Mettre en place une détection et une prévention des intrusions : mettez en place un outil de détection et de prévention des intrusions pour surveiller et arrêter les opérations malveillantes au niveau des instances. 
+  Envisager les solutions AWS Partner : les partenaires AWS proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site. 
  +  [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 
+  [Application centralisée de correctifs multicomptes et multirégions avec AWS Systems Manager Automation](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/) 
+  [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 
+  [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vidéos connexes :** 
+  [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY) 
+  [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 
+  [Atelier : Déploiement automatisé d'une application Web avec EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html) 

# SEC06-BP05 Permettre aux utilisateurs d'effectuer des actions à distance
<a name="sec_protect_compute_actions_distance"></a>

 La suppression de la possibilité d'accès interactif réduit le risque d'erreur humaine et le potentiel de configuration ou de gestion manuelle. Par exemple, utilisez un flux de travail de gestion des modifications pour déployer des instances Amazon Elastic Compute Cloud (Amazon EC2) à l'aide d'une infrastructure en tant que code, puis gérez les instances Amazon EC2 avec des outils tels qu'AWS Systems Manager au lieu d'autoriser un accès direct ou via un hôte bastion. AWS Systems Manager automatise diverses tâches de maintenance et de déploiement à l'aide de fonctionnalités telles que l' [automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [(flux de travail)](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [les documents](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (playbooks) et la [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Les piles AWS CloudFormation sont construites à partir de pipelines et peuvent automatiser les tâches de déploiement et de gestion de votre infrastructure sans utiliser directement AWS Management Console ni les API. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Remplacer l'accès à la console : remplacez l'accès (protocole SSH ou RDP) aux instances depuis la console par AWS Systems Manager Run Command pour automatiser les tâches de gestion. 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
+  [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html) 
+  [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/) 
+  [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf) 

 **Vidéos connexes :** 
+  [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4) 
+  [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY) 
+  [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html) 

# SEC06-BP06 Valider l'intégrité des logiciels
<a name="sec_protect_compute_validate_software_integrity"></a>

 Mettez en place des mécanismes (signature de code) pour confirmer que les logiciels, le code et les bibliothèques utilisés dans la charge de travail proviennent de sources fiables et n'ont pas été altérés. Par exemple, vous devez vérifier le certificat de signature de code des fichiers binaires et des scripts pour vérifier l'auteur, et vous assurer qu'il n'a pas été altéré depuis sa création par l'auteur. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) contribue à garantir la confiance et l'intégrité de votre code en gérant de manière centralisée le cycle de vie de la signature de code, y compris la certification de la signature et les clés publiques et privées. Vous pouvez apprendre à utiliser des modèles avancés et les bonnes pratiques en matière de signature de code avec [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). En outre, un total de contrôle du logiciel que vous téléchargez, comparé à celui du fournisseur, peut garantir qu'il n'a pas été altéré. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Étudier les mécanismes : la signature de code est un mécanisme qui peut être utilisé pour valider l'intégrité des logiciels. 
  +  [NIST : considérations de sécurité pour la signature de code](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf) 

## Ressources
<a name="resources"></a>

**Documents connexes :** 
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Nouveau : la signature de code, un contrôle de confiance et d'intégrité pour AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)