# Sécurité
**Topics**
+ [Bases du pilier Sécurité](a-sec-security.md)
+ [Identity and Access Management](a-identity-and-access-management.md)
+ [Détection](a-detective-controls.md)
+ [Protection de l'infrastructure](a-infrastructure-protection.md)
+ [Protection des données](a-data-protection.md)
+ [Réponse aux incidents](a-incident-response.md)
# Bases du pilier Sécurité
**Topics**
+ [SEC 1 Comment gérer votre charge de travail en toute sécurité ?](w2aac19b7b5b5.md)
# SEC 1 Comment gérer votre charge de travail en toute sécurité ?
Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour réussir à gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail. La connaissance des recommandations actuelles d'AWS et du secteur ainsi que des renseignements sur les menaces vous aide à faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation, vous permet de mettre à l'échelle vos opérations de sécurité.
**Topics**
+ [SEC01-BP01 Séparer les charges de travail à l'aide de comptes](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Sécuriser un Compte AWS](sec_securely_operate_aws_account.md)
+ [SEC01-BP03 Identifier et valider les objectifs de contrôle](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Rester informé des menaces de sécurité](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Connaître les recommandations de sécurité](sec_securely_operate_updated_recommendations.md)
+ [SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines](sec_securely_operate_test_validate_pipeline.md)
+ [SEC01-BP07 Identifier et hiérarchiser les risques à l'aide d'un modèle de menaces](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité](sec_securely_operate_implement_services_features.md)
# SEC01-BP01 Séparer les charges de travail à l'aide de comptes
Privilégiez la sécurité et l'infrastructure afin de définir pour votre organisation des protections communes au fur et à mesure que vos charges de travail augmentent. Cette approche fournit des frontières et des contrôles entre les charges de travail. La séparation au niveau des comptes est fortement recommandée pour isoler les environnements de production des environnements de développement et de test, ou pour établir une solide frontière logique entre les charges de travail qui traitent des données avec différents niveaux de sensibilité, tel que défini par les exigences de conformité externes (comme PCI-DSS ou HIPAA), et les charges de travail qui ne le font pas.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Utiliser AWS Organizations : utilisez AWS Organizations pour appliquer de manière centralisée la gestion basée sur des politiques pour différents Comptes AWS.
+ [Démarrer avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Envisager AWS Control Tower : AWS Control Tower offre un moyen simple de configurer et de gérer un nouvel environnement AWS sécurisé à plusieurs comptes sur la base de bonnes pratiques.
+ [AWS Control Tower](https://aws.amazon.com/controltower/)
## Ressources
**Documents connexes :**
+ [Bonnes pratiques IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+ [Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins)
+ [Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)
**Vidéos connexes :**
+ [Managing Multi-Account AWS Environments Using AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)
+ [Using AWS Control Tower to Govern Multi-Account AWS Environments ](https://youtu.be/2t-VkWt0rKk)
# SEC01-BP02 Sécuriser un Compte AWS
La sécurisation de vos Comptes AWS implique divers aspects, notamment la sécurisation, et la non l'utilisation, de l' [utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), et la mise à jour des informations de contact. Vous pouvez utiliser [AWS Organizations](https://aws.amazon.com/organizations/) pour gérer et contrôler de manière centralisée vos comptes à mesure que vous développez et mettez à l'échelle vos charges de travail AWS. AWS Organizations vous aide à gérer des comptes, à définir des contrôles et à configurer des services sur vos comptes.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Utiliser AWS Organizations : utilisez AWS Organizations pour appliquer de manière centralisée la gestion basée sur des politiques pour différents Comptes AWS.
+ [Démarrer avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html)
+ [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+ Limiter l'utilisation de l'utilisateur racine AWS : ayez uniquement recours à l'utilisateur racine pour effectuer des tâches qui le nécessitent spécifiquement.
+ [ Tâches AWS nécessitant des informations d'identification utilisateur racine AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+ Activer l'authentification multifacteur (MFA) pour l'utilisateur racine : activez MFA au niveau de l'utilisateur racine du Compte AWS si AWS Organizations ne gère pas les utilisateurs racine pour vous.
+ [Utilisateur racine ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+ Changer régulièrement le mot de passe de l'utilisateur racine : la modification du mot de passe de l'utilisateur racine réduit le risque qu'un mot de passe enregistré puisse être réutilisé. Ceci est particulièrement important si vous n'utilisez pas AWS Organizations et que l'accès physique est ouvert.
+ [ Modification du mot de passe d'utilisateur racine du Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+ Activer la notification lorsque l'utilisateur racine d'un Compte AWS est utilisé : la notification automatique réduit les risques.
+ [ Comment recevoir des notifications lorsque les clés d'accès racine de votre Compte AWS sont utilisées ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ Restreindre l'accès aux régions nouvellement ajoutées : pour les nouvelles Régions AWS, les ressources IAM comme les utilisateurs et les rôles sont uniquement propagées vers les régions que vous activez.
+ [ Définition des autorisations pour activer les comptes pour les Régions AWS à venir ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+ Envisager AWS CloudFormation StackSets: : CloudFormation StackSets peut être utilisé pour déployer des ressources, y compris les politiques, rôles et groupes IAM, dans différentes régions et différents Comptes AWS à partir d'un modèle approuvé.
+ [ Utiliser CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)
## Ressources
**Documents connexes :**
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Bonnes pratiques IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bulletins de sécurité ](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [ Permettre l'adoption d'AWSà grande échelle grâce à l'automatisation et à la gouvernance ](https://youtu.be/GUMSgdB-l6s)
+ [ Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)
**Exemples connexes :**
+ [ Atelier : Compte AWS et utilisateur racine ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP03 Identifier et valider les objectifs de contrôle
Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l'efficacité de l'atténuation des risques.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Identifier les exigences de conformité : découvrez les exigences organisationnelles, juridiques et de conformité que votre charge de travail doit nécessairement respecter.
+ Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider à rester conforme.
+ [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
+ [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/)
## Ressources
**Documents connexes :**
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [AWS Security Hub CSPM : gérer les alertes de sécurité et automatiser la conformité](https://youtu.be/HsWtPG_rTak)
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP04 Rester informé des menaces de sécurité
Identifiez les vecteurs d'attaque en restant informé des dernières menaces de sécurité afin de définir et de mettre en œuvre les contrôles appropriés. Utilisez AWS Managed Services pour faciliter la réception des notifications de comportement inattendu ou inhabituel dans vos comptes AWS. Réalisez vos investigations à l'aide d'outils partenaires AWS ou de flux d'informations sur les menaces tiers dans le cadre de votre flux d'informations de sécurité. La [liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/) contient des vulnérabilités de cybersécurité divulguées publiquement, que vous pouvez utiliser pour rester à jour.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ S'abonner aux sources d'informations sur les menaces : consultez régulièrement les informations sur les menaces issues de plusieurs sources spécifiques aux technologies utilisées dans votre charge de travail.
+ [Liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/)
+ Envisager le service [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : offre une visibilité quasiment en temps réel sur les sources d'informations si votre charge de travail est accessible sur Internet.
## Ressources
**Documents connexes :**
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [AWS Shield](https://aws.amazon.com/shield/)
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP05 Connaître les recommandations de sécurité
Tenez-vous au courant des recommandations AWS et des recommandations de sécurité pertinentes pour faire évoluer le niveau de sécurité de votre charge de travail. [Les bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contiennent des informations importantes sur les notifications de sécurité et de confidentialité.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Suivre l'actualité AWS : abonnez-vous ou consultez régulièrement les nouvelles recommandations, ainsi que les conseils et astuces.
+ [Ateliers AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected)
+ [Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected)
+ [Documentation des services AWS](https://aws.amazon.com/documentation/?ref=wellarchitected)
+ S'abonner aux sources d'actualité sur le secteur : consultez régulièrement les flux d'actualités issus de plusieurs sources pertinentes pour les technologies qui sont utilisées dans votre charge de travail.
+ [Exemple : liste des vulnérabilités et risques communs (CVE)](https://cve.mitre.org/cve/?ref=wellarchitected)
## Ressources
**Documents connexes :**
+ [Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines
Établissez des bases et des modèles sécurisés pour les mécanismes de sécurité qui sont testés et validés dans le cadre de votre version, de vos pipelines et de vos processus. Utilisez des outils et l'automatisation pour tester et valider en continu tous les contrôles de sécurité. Par exemple, analysez des éléments tels que les images machine et les modèles d'infrastructure en tant que de code pour détecter les failles, les irrégularités et les dérives de sécurité par rapport à des points de référence établis à chaque étape. AWS CloudFormation Guard permet de vérifier que les modèles CloudFormation sont sûrs, vous font gagner du temps et réduisent le risque d'erreur de configuration.
Il est essentiel de réduire le nombre d'erreurs de configuration de sécurité introduites dans un environnement de production : plus vous contrôlez la qualité et réduisez les défauts dans le processus de génération, mieux c'est. Concevez des pipelines d'intégration et de déploiement continus (CI/CD, continuous integration and continuous deployment) pour tester la sécurité dans la mesure du possible. Les pipelines CI/CD offrent la possibilité d'améliorer la sécurité à chaque étape de la création et de la distribution. Les outils de sécurité CI/CD doivent être également maintenus à jour pour atténuer l'évolution des menaces.
Suivez les modifications apportées à la configuration de votre charge de travail pour faciliter les audits de conformité, la gestion des modifications et les enquêtes susceptibles de vous concerner. Vous pouvez utiliser AWS Config pour enregistrer et évaluer vos ressources AWS et tierces. Il vous permet d'auditer et d'évaluer en continu la conformité globale avec les règles et les packs de conformité, qui sont des ensembles de règles avec des actions correctives.
Le suivi des modifications doit inclure les modifications planifiées, qui font partie du processus de contrôle des modifications de votre organisation (parfois appelé MACD), les modifications non planifiées et les modifications inattendues, telles que les incidents. Des modifications peuvent se produire sur l'infrastructure, mais elles peuvent également être liées à d'autres catégories, telles que des changements dans les référentiels de code, des modifications au niveau des images machine et de l'inventaire d'applications, des modifications de processus et de politique ou des modifications de documentation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la gestion de la configuration : appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Configuration d'un pipeline CI/CD sur AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)
## Ressources
**Documents connexes :**
+ [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
**Vidéos connexes :**
+ [Managing Multi-Account AWS Environments Using AWS Organizations](https://youtu.be/fxo67UeeN1A)
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP07 Identifier et hiérarchiser les risques à l'aide d'un modèle de menaces
Utilisez un modèle de menaces afin d'identifier et de maintenir à jour un registre des menaces potentielles. Hiérarchisez vos menaces et adaptez vos contrôles de sécurité pour les prévenir, les détecter et y répondre. Ajustez et maintenez ces mesures en fonction de l'évolution de l'environnement de sécurité.
La modélisation des menaces fournit une approche systématique pour aider à identifier et à résoudre les problèmes de sécurité dès le début du processus de conception. La détection doit avoir lieu aussi tôt que possible, car le coût lié à la résolution des problèmes à ce stade est inférieur à celui d'un stade plus avancé dans le cycle de vie.
Voici les principales étapes typiques du processus de modélisation des menaces :
1. Identifiez les ressources, les acteurs, les points d'entrée, les composants, les cas d'utilisation et les niveaux de confiance, et incluez-les dans un diagramme de conception.
1. Identifiez une liste de menaces.
1. Pour chaque menace, identifiez les mesures correctives, qui peuvent inclure des implémentations de contrôle de sécurité.
1. Créez et examinez une matrice des risques pour déterminer si la menace est suffisamment atténuée.
La modélisation des menaces est plus efficace lorsqu'elle est effectuée au niveau de la charge de travail (ou de la fonctionnalité de charge de travail), garantissant que tout le contexte est disponible pour l'évaluation. Revisitez et maintenez cette matrice à mesure que votre environnement de sécurité évolue.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Créer un modèle de menaces : un modèle de menaces peut vous aider à identifier les menaces de sécurité potentielles et y faire face.
+ [NIST : Guide de modélisation des menaces système centrées sur les données ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)
## Ressources
**Documents connexes :**
+ [Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [Bulletins de sécurité ](https://aws.amazon.com/security/security-bulletins/)
**Vidéos connexes :**
+ [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM)
# SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité
Évaluez et mettez en œuvre les services et fonctions de sécurité proposés par AWS et les partenaires AWS qui vous permettent de faire évoluer le niveau de sécurité de votre charge de travail. Le blog sur la sécurité AWSmet en évidence les nouveaux services et fonctionnalités AWS, les guides de mise en œuvre et des conseils généraux de sécurité. [Les nouveautés AWS](https://aws.amazon.com/new) représentent un excellent moyen de se tenir au courant de tous les nouveaux services, fonctionnalités et annonces AWS.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Planifier des vérifications régulières : créez un calendrier d'activités de révision qui inclut les exigences de conformité, l'évaluation des nouvelles fonctionnalités et des nouveaux services de sécurité AWS et des créneaux pour rester informé des actualités du secteur.
+ Découvrir les services et fonctions AWS : découvrez les fonctions de sécurité qui sont disponibles pour les services que vous utilisez. Évaluez les nouvelles fonctions au fur et à mesure qu'elles sont publiées.
+ [ Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/)
+ [ Bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
+ [Documentation des services AWS](https://aws.amazon.com/documentation/)
+ Définir le processus d'intégration des services AWS : définissez les processus d'intégration des nouveaux services AWS. Incluez la manière d'évaluer le fonctionnement des nouveaux services AWS et les exigences en matière de conformité pour votre charge de travail.
+ Tester les nouveaux services et les nouvelles fonctions : testez les nouveaux services et les nouvelles fonctions au fil de leur publication dans un environnement hors production qui réplique fidèlement votre environnement de production.
+ Mettre en place d'autres mécanismes de défense : implémentez des mécanismes automatisés pour défendre votre charge de travail et explorez les options disponibles.
+ [Correction des ressources AWS non conformes à l'aide de règles AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)
## Ressources
**Vidéos connexes :**
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)
# Identity and Access Management
**Topics**
+ [SEC 2 Comment gérer l'authentification pour les personnes et les machines ?](w2aac19b7b7b5.md)
+ [SEC 3 Comment gérer les autorisations des personnes et des machines ?](w2aac19b7b7b7.md)
# SEC 2 Comment gérer l'authentification pour les personnes et les machines ?
Il existe deux types d'identités à gérer dans le cadre de l'exploitation de charges de travail AWS sécurisées. Comprendre le type d'identité à gérer et dont vous devez autoriser l'accès vous permet de garantir l'accès aux ressources adéquates, dans les bonnes conditions.
Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos environnements et applications AWS. Il s'agit des membres de votre organisation ou des utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur Web, une application cliente ou des outils de ligne de commande interactifs.
Identités de machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités comprennent des machines s'exécutant dans votre environnement AWS, telles que des instances Amazon EC2 ou des fonctions AWS Lambda. Vous pouvez également gérer les identités de machines pour les tiers qui ont besoin d'un accès. De plus, certaines machines en dehors d'AWS peuvent avoir besoin d'accéder à votre environnement AWS.
**Topics**
+ [SEC02-BP01 Utiliser de solides mécanismes d'authentification](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Utiliser des informations d'identification temporaires](sec_identities_unique.md)
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)
+ [SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification](sec_identities_audit.md)
+ [SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs](sec_identities_groups_attributes.md)
# SEC02-BP01 Utiliser de solides mécanismes d'authentification
Appliquez une longueur minimale pour les mots de passe et formez vos utilisateurs à éviter les mots de passe courants ou réutilisés. Appliquez la MFA (Multi-Factor Authentication) avec des mécanismes logiciels ou matériels pour fournir une couche supplémentaire de vérification. Par exemple, lorsque vous utilisez IAM Identity Center comme source d'identité, configurez le paramètre « contextuel » ou « toujours activé » pour MFA et autorisez les utilisateurs à inscrire leurs propres appareils MFA pour accélérer l'adoption. Lorsque vous utilisez un fournisseur d'identité (IdP) externe, configurez votre IdP pour MFA.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Créer une politique Identity and Access Management (IAM) pour appliquer l'authentification MFA : créez une politique IAM gérée par le client qui interdit toutes les actions IAM, à l'exception de celles qui permettent à un utilisateur d'endosser des rôles, de modifier ses propres informations d'identification et de gérer ses périphériques MFA sur la [page « Mes informations d'identification de sécurité ».](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ Activer l'authentification MFA dans votre fournisseur d'identité : activez [MFA](https:/aws.amazon.com/iam/details/mfa) dans le fournisseur d'identité ou le service d'authentification unique, comme [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que vous utilisez.
+ Configurer une stratégie de mot de passe fort : configurez une stratégie de [mot de passe fort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) dans IAM et un système d'identités fédérées pour assurer une meilleure protection contre les attaques par force brute.
+ [Effectuer une rotation régulière des informations d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) : assurez-vous que les administrateurs de votre charge de travail modifient régulièrement leurs mots de passe et clés d'accès (le cas échéant).
## Ressources
**Documents connexes :**
+ [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations utilisateur à grande échelle avec IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Utiliser des informations d'identification temporaires
demandez aux identités d'acquérir des [informations d'identification temporaires de façon dynamique](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Pour les identités humaines, utilisez AWS IAM Identity Center ou la fédération avec les rôles Gestion des identités et des accès AWS (IAM) pour accéder aux Comptes AWS. Les identités machine, telles que les instances Amazon Elastic Compute Cloud(Amazon EC2) ou les fonctions AWS Lambda, nécessitent l'utilisation de rôles IAM au lieu d'utilisateurs IAM avec des clés d'accès à long terme.
Pour les identités humaines utilisant AWS Management Console, vous devez obliger les utilisateurs à acquérir des informations d'identification temporaires et à se fédérer dans AWS. Pour ce faire, utilisez le portail utilisateur AWS IAM Identity Center. Pour les utilisateurs nécessitant un accès à l'interface de ligne de commande, assurez-vous qu'ils utilisent [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), qui prend en charge l'intégration directe avec IAM Identity Center. Les utilisateurs peuvent créer des profils d'interface de ligne de commande qui sont liés à des comptes et des rôles IAM Identity Center. L'interface de ligne de commande récupère automatiquement les informations d'identification AWS auprès d'IAM Identity Center et les actualise en votre nom. Vous n'avez ainsi plus besoin de copier et coller des informations d'identification AWS temporaires à partir de la console IAM Identity Center. Pour le kit SDK, les utilisateurs doivent s'appuyer sur AWS Security Token Service (AWS STS) pour endosser des rôles et recevoir des informations d'identification temporaires. Dans certains cas, les informations d'identification temporaires peuvent ne pas être pratiques. Vous devez être conscient des risques liés au stockage des clés d'accès, effectuez-en régulièrement une rotation et exigez l'authentification multifacteur (MFA) comme condition dans la mesure du possible. Utilisez les dernières informations consultées pour déterminer quand changer ou supprimer les clés d'accès.
Dans les cas où vous devez accorder aux consommateurs l'accès à vos ressources AWS, utilisez les groupes d'identités [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) et attribuez-leur un ensemble d'informations d'identification temporaires à privilèges limités pour accéder à vos ressources AWS. Les autorisations pour chaque utilisateur sont contrôlées par le biais [de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que vous créez. Vous pouvez définir des règles pour choisir le rôle pour chaque utilisateur en fonction des demandes du jeton d'identification de l'utilisateur. Vous pouvez définir un rôle par défaut pour les utilisateurs authentifiés. Vous pouvez également définir un rôle IAM distinct avec des autorisations limitées pour les utilisateurs invités qui ne sont pas authentifiés.
Pour les identités machine, vous devez utiliser les rôles IAM pour accorder l'accès à AWS. Pour les instances Amazon Elastic Compute Cloud(Amazon EC2), vous pouvez utiliser [des rôles pour Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Vous pouvez attacher un rôle IAM à votre instance Amazon EC2 pour permettre à vos applications s'exécutant sur Amazon EC2 d'utiliser des informations d'identification de sécurité temporaires qu'AWS crée, distribue et alterne automatiquement via le service IMDS (Instance Metadata Service). La [dernière version](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) d'IMDS contribue à protéger contre les vulnérabilités qui exposent les informations d'identification temporaires, et doit être implémentée. Pour accéder aux instances Amazon EC2 à l'aide de clés ou de mots de passe, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) est un moyen plus sécurisé d'accéder à vos instances et de les gérer à l'aide d'un agent préinstallé sans le secret stocké. En outre, d'autres services AWS, tels qu'AWS Lambda, vous permettent de configurer un rôle de service IAM pour accorder au service les autorisations nécessaires pour exécuter des actions AWS à l'aide d'informations d'identification temporaires. Dans les situations où vous ne pouvez pas utiliser d'informations d'identification temporaires, optez pour des outils de programmation, comme [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), pour automatiser la rotation et la gestion des informations d'identification.
**Contrôler et effectuer régulièrement une rotation des informations d'identification : **La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. Lorsque vous passez d'utilisateurs IAM à des identités centralisées, vous pouvez [générer un rapport d'informations d'identification ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)pour auditer vos utilisateurs IAM. Nous vous recommandons également d'appliquer les paramètres MFA dans votre fournisseur d'identité. Vous pouvez configurer des règles [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour surveiller ces paramètres. Pour les identités machine, vous devez vous appuyer sur des informations d'identification temporaires à l'aide des rôles IAM. Pour les situations où cela n'est pas possible, un audit fréquent et une rotation des clés d'accès sont nécessaires.
**Stocker et utiliser des secrets en toute sécurité :** Pour les informations d'identification qui ne sont pas liées à IAM et qui ne peuvent pas être temporaires, telles que les connexions de base de données, utilisez un service conçu pour gérer les secrets, comme [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager facilite la gestion, la rotation et le stockage en toute sécurité des secrets chiffrés à l'aide des [services supportés](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Les appels pour accéder aux secrets sont consignés dans AWS CloudTrail à des fins d'audit, et les autorisations IAM peuvent leur accorder un accès selon le principe du moindre privilège.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Implémenter des politiques du moindre privilège : attribuez des politiques d'accès avec le moins de privilèges possibles aux groupes et rôles IAM pour rester cohérent avec le rôle ou la fonction de l'utilisateur que vous avez défini.
+ [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ Supprimer les autorisations inutiles : implémentez la politique du moindre privilège en supprimant les autorisations superflues.
+ [Réduction de la portée de la politique en affichant l'activité des utilisateurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Afficher l'accès du rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ Envisager des limites d'autorisations : une limite des autorisations est une fonction avancée permettant d'utiliser une stratégie gérée qui définit les autorisations maximales qu'une entité IAM peut recevoir d'une politique basée sur une identité. La limite des autorisations d'une entité lui permet d'exécuter uniquement les actions autorisées par ses stratégies basées sur l'identité et ses limites d'autorisations.
+ [Atelier : Limites d'autorisations IAM et délégation de la création de rôles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ Prendre en compte les balises de ressource pour les autorisations : vous pouvez utiliser des balises pour contrôler l'accès aux ressources AWS qui prennent en charge le balisage. Vous pouvez également baliser des utilisateurs et des rôles IAM pour contrôler les éléments auxquels ils peuvent accéder.
+ [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## Ressources
**Documents connexes :**
+ [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Stocker et utiliser des secrets en toute sécurité
Pour les identités d'employés et les identités machine qui nécessitent des secrets, tels que les mots de passe d'applications tierces, stockez-les avec une rotation automatique en utilisant les dernières normes du secteur dans un service spécialisé, tout comme les informations d'identification qui ne sont pas liées à IAM et qui ne peuvent pas être temporaires, telles que les connexions de base de données, utilisent un service conçu pour gérer la gestion des secrets, comme AWS Secrets Manager. Secrets Manager facilite la gestion, la rotation et le stockage sécurisé des secrets chiffrés à l'aide des services pris en charge. Les appels pour accéder aux secrets sont consignés dans AWS CloudTrail à des fins d'audit, et les autorisations IAM peuvent leur accorder un accès selon le principe du moindre privilège.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Utiliser AWS Secrets Manager : [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) est un service AWS qui facilite la gestion des secrets. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire.
## Ressources
**Documents connexes :**
+ [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé
Pour les identités humaines, appuyez-vous sur un fournisseur d'identité vous permettant de gérer les identités dans un emplacement centralisé. Cela facilite la gestion de l'accès entre plusieurs applications et services, car vous créez, gérez et révoquez l'accès depuis un seul emplacement. Par exemple, si quelqu'un quitte votre organisation, vous pouvez révoquer l'accès à toutes les applications et services (y compris AWS) depuis un seul emplacement. Cela réduit le nombre d'informations d'identification nécessaires et permet l'intégration aux processus de ressources humaines (RH) existants.
Pour la fédération avec des comptes AWS individuels, vous pouvez utiliser des identités centralisées pour AWS ayant un fournisseur SAML 2.0 avec Gestion des identités et des accès AWS. Vous pouvez utiliser n'importe quel fournisseur, qu'il soit hébergé par vous sur AWS, externe à AWS ou fourni par le réseau de partenaires AWS Partner, compatible avec le protocole [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Vous pouvez utiliser la fédération entre votre compte AWS et le fournisseur choisi pour accorder à un utilisateur ou à une application l'accès pour appeler les opérations d'API AWS à l'aide d'une assertion SAML afin d'obtenir des informations d'identification de sécurité temporaires. L'authentification unique basée sur le web est également prise en charge, ce qui permet aux utilisateurs de se connecter à AWS Management Console à partir de votre site web de connexion.
Pour la fédération sur plusieurs comptes de votre AWS Organizations, vous pouvez configurer votre source d'identité dans [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), et spécifier où vos utilisateurs et groupes sont stockés. Une fois configuré, votre fournisseur d'identité est votre source de vérité et les informations peuvent être [synchronisées](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) à l'aide du protocole SCIM (System for Cross-domain Identity Management) v2.0. Vous pouvez ensuite rechercher des utilisateurs ou des groupes et leur accorder un accès IAM Identity Center aux comptes AWS, aux applications cloud ou aux deux.
IAM Identity Center s'intègre à AWS Organizations, ce qui vous permet de configurer votre fournisseur d'identité une fois, puis [d'accorder l'accès aux comptes existants et aux nouveaux comptes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gérés dans votre organisation. IAM Identity Center vous fournit un stockage par défaut, que vous pouvez utiliser pour gérer vos utilisateurs et groupes. Si vous choisissez d'utiliser le stockage IAM Identity Center, créez vos utilisateurs et groupes et attribuez leur niveau d'accès à vos comptes et applications AWS, en gardant à l'esprit la bonne pratique du moindre privilège. Sinon, vous pouvez choisir de vous [connecter à votre fournisseur d'identité externe ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)à l'aide de SAML 2.0 ou [de vous connecter à votre annuaire Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) à l'aide d’AWS Directory Service. Une fois configuré, vous pouvez vous connecter à AWS Management Console ou à l'application mobile AWS en vous authentifiant via votre fournisseur d'identité central.
Pour gérer les utilisateurs finaux ou les consommateurs de vos charges de travail, comme une application mobile, vous pouvez utiliser [Amazon Cognito](http://aws.amazon.com/cognito/). Il fournit les fonctions d'authentification, d'autorisation et de gestion des utilisateurs pour vos applications Web et mobiles. Vos utilisateurs peuvent se connecter directement avec un nom d'utilisateur et un mot de passe, ou via un tiers tel que Amazon, Apple, Facebook ou Google.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Centraliser l'accès administratif : créez une entité de fournisseur d'identité de gestion des identités et des accès (IAM) pour établir une relation de confiance entre votre Compte AWS et votre fournisseur d'identité (IdP). IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0).
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Centraliser l'accès aux applications : envisagez Amazon Cognito pour centraliser l'accès aux applications. Cognito vous permet d'ajouter rapidement et facilement une inscription et une connexion utilisateur ainsi qu'un contrôle d'accès à vos applications Web et mobiles. [Amazon Cognito](https://aws.amazon.com/cognito/) s'adapte à des millions d'utilisateurs et prend en charge la connexion avec les fournisseurs d'identité sociale comme Facebook, Google et Amazon, ainsi qu'avec les fournisseurs d'identité entreprise via SAML 2.0.
+ Supprimez les utilisateurs et les groupes IAM obsolètes : une fois que vous commencez à utiliser un fournisseur d'identité (IdP), supprimez les utilisateurs et groupes IAM qui ne sont plus nécessaires.
+ [Identification des informations d'identification non utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Suppression d'un groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Ressources
**Documents connexes :**
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification
Lorsque l'utilisation d'informations d'identification temporaires est impossible et que vous avez besoin d'informations d'identification à long terme, vérifiez les informations d'identification pour vous assurer que les contrôles définis, tels que l'authentification multifacteur (MFA) sont appliqués, changés régulièrement et disposent du niveau d'accès approprié. La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. Lorsque vous passez d'utilisateurs Gestion des identités et des accès AWS (IAM) à des identités centralisées, vous pouvez [générer un rapport d'informations d'identification ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)pour auditer vos utilisateurs IAM. Nous vous recommandons également d'appliquer les paramètres MFA dans votre fournisseur d'identité. Vous pouvez configurer des règles [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour surveiller ces paramètres. Pour les identités machine, vous devez vous appuyer sur des informations d'identification temporaires à l'aide des rôles IAM. Pour les situations où cela n'est pas possible, un audit fréquent et une rotation des clés d'accès sont nécessaires.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Contrôler régulièrement les informations d'identification : utilisez les rapports sur les informations d'identification et Identify and Access Management (IAM) Access Analyzer pour contrôler les informations d'identification et les autorisations IAM.
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Générer un rapport d'informations d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [Atelier : Nettoyage automatisé des utilisateurs IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ Utiliser les niveaux d'accès pour examiner les autorisations IAM : pour améliorer la sécurité de votre Compte AWS, examinez et surveillez régulièrement chacune de vos politiques IAM. Veillez à ce que vos stratégies accordent le moins de privilèges possible pour n'effectuer que les actions nécessaires.
+ [Utiliser des niveaux d'accès pour vérifier les autorisations IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ Envisager d'automatiser la création et les mises à jour des ressources IAM : AWS CloudFormation peut être utilisé pour automatiser le déploiement des ressources IAM, y compris les rôles et les politiques, afin de réduire les erreurs humaines, car les modèles peuvent être vérifiés et contrôlés par leur version.
+ [Atelier : Déploiement automatisé des groupes et rôles IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## Ressources
**Documents connexes :**
+ [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs
Au fur et à mesure que le nombre d'utilisateurs que vous gérez augmente, vous devez déterminer les moyens de les organiser afin de pouvoir les gérer à grande échelle. Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs pour contrôler l'accès plutôt que des utilisateurs individuels. Cela vous permet de gérer l'accès de manière centralisée en modifiant une fois l'appartenance à un groupe ou les attributs d'un utilisateur avec un [jeu d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent. Vous pouvez utiliser AWS IAM Identity Center (IAM Identity Center) pour gérer les groupes d'utilisateurs et les attributs. IAM Identity Center prend en charge les attributs les plus couramment utilisés, qu'ils soient saisis manuellement lors de la création de l'utilisateur ou alloués automatiquement à l'aide d'un moteur de synchronisation, tel que défini dans la spécification SCIM (Cross-Domain Identity Management).
Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs, plutôt que des utilisateurs individuels, pour contrôler l'accès. Cela vous permet de gérer l'accès de manière centralisée en modifiant l'appartenance à un groupe ou les attributs d'un utilisateur une fois, plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Si vous utilisez AWS IAM Identity Center (IAM Identity Center), configurez des groupes : IAM Identity Center vous permet de configurer des groupes d'utilisateurs et d'attribuer aux groupes le niveau d'autorisation souhaité.
+ [Authentification unique AWS : gérer les identités](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Familiarisez-vous avec le contrôle d'accès basé sur les attributs (ABAC) : l'ABAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs.
+ [Qu'est-ce que l'ABAC pour AWS ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Ressources
**Documents connexes :**
+ [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Exemples connexes :**
+ [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
# SEC 3 Comment gérer les autorisations des personnes et des machines ?
Gérez les autorisations des identités de personnes et de machines qui nécessitent un accès à AWS ainsi qu'à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d'accès.
**Topics**
+ [SEC03-BP01 Définir les conditions d'accès](sec_permissions_define.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Établir un processus d'accès d'urgence](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Limiter les autorisations au minimum requis en permanence](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Définir des protections par autorisation pour votre organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Gérer l'accès en fonction du cycle de vie](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Partager des ressources en toute sécurité](sec_permissions_share_securely.md)
# SEC03-BP01 Définir les conditions d'accès
Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.
**Anti-modèles courants :**
+ Codage en dur ou stockage de secrets dans votre application.
+ Octroi d'autorisations personnalisées à chaque utilisateur.
+ Utilisation d'informations d'identification durables.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.
Un accès standard aux Comptes AWS de l'organisation doit être fourni à l'aide d'un [accès fédéré](https://aws.amazon.com/identity/federation/) ou d'un fournisseur d'identité centralisé. Vous devez également centraliser la gestion des identités et vous assurer qu'il existe une pratique établie pour intégrer l'accès à AWS au cycle de vie de l'accès des employés. Par exemple, lorsqu'un employé change de poste et de niveau d'accès, son appartenance à un groupe doit également évoluer de façon à refléter les nouvelles conditions d'accès qui lui sont associées.
Lorsque vous définissez des conditions d'accès pour des identités non humaines, déterminez quels applications et composants ont besoin d'un accès et comment les autorisations sont accordées. Dans cette optique, il est recommandé d'utiliser les rôles IAM créés avec le modèle d'accès du moindre privilège. [Les politiques gérées par AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) établissent des politiques IAM prédéfinies qui couvrent les cas d'utilisation les plus courants.
Les services AWS, tels qu' [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) et [AWS Systems Manager Parameter Store,](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)peuvent permettre de dissocier les secrets de l'application ou de la charge de travail en toute sécurité lorsqu'il est impossible d'utiliser des rôles IAM. Dans Secrets Manager, vous pouvez établir une rotation automatique de vos informations d'identification. Vous pouvez utiliser Systems Manager de façon à référencer les paramètres dans vos scripts, commandes, documents SSM, configuration et flux de travail d'automatisation en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.
Vous pouvez utiliser des rôles Gestion des identités et des accès AWS partout de façon à obtenir [des informations d'identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) pour les charges de travail exécutées en dehors d'AWS. Vos charges de travail peuvent utiliser les mêmes [politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) et [rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que ceux utilisés avec les applications AWS pour accéder aux ressources AWS.
Dans la mesure du possible, privilégiez les informations d'identification temporaires à court terme plutôt que les informations d'identification statiques à long terme. Pour les scénarios dans le cadre desquels les utilisateurs IAM doivent disposer d'un accès par programmation et d'informations d'identification à long terme, utilisez [les dernières informations de clé d'accès utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) pour effectuer la rotation des clés d'accès et supprimer ces dernières.
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS politiques gérées pour IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM policy conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM use cases](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Remove unnecessary credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [How to control access to AWS resources based on Compte AWS, OU, or organization](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Vidéos connexes :**
+ [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Accorder un accès selon le principe du moindre privilège
Accordez uniquement l'accès dont les identités ont besoin en autorisant des actions spécifiques sur certaines ressources AWS, dans des conditions définies. Faites appel à des groupes et des attributs d'identité pour définir de façon dynamique des autorisations à grande échelle, plutôt que pour des utilisateurs individuels. Par exemple, vous pouvez autoriser un groupe de développeurs à gérer uniquement les ressources de leur projet. Ainsi, lorsqu'un développeur est supprimé du groupe, son accès est révoqué partout où ce groupe a été utilisé pour le contrôle d'accès, sans qu'il soit nécessaire de modifier les politiques d'accès.
**Anti-modèles courants :**
+ Octroi par défaut des autorisations d'administrateur aux utilisateurs.
+ Utilisation du compte racine pour les activités quotidiennes.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
L'établissement d'un principe du [moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garantit que les identités sont uniquement autorisées à effectuer l'ensemble minimal de fonctions nécessaire pour traiter une tâche spécifique, tout en équilibrant la convivialité et l'efficacité. L'utilisation de ce principe limite l'accès involontaire et vous permet de vérifier qui a accès à quelles ressources. Dans AWS, les identités n'ont pas d'autorisations par défaut, sauf pour l'utilisateur root. Les informations d'identification de l'utilisateur root doivent être étroitement contrôlées et doivent uniquement être utilisées pour [tâches spécifiques](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Vous utilisez des politiques pour accorder explicitement des autorisations associées à IAM ou à des entités de ressources, telles qu'un rôle IAM utilisé par des identités fédérées ou des machines, ou des ressources (par exemple, des compartiments S3). Lorsque vous créez et associez une politique, vous pouvez spécifier les actions de service, les ressources et les conditions qui doivent être remplies pour qu'AWS autorise l'accès. AWS prend en charge diverses conditions pour vous aider à limiter l'accès. Par exemple, à l'aide de la `clé de condition` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), l'identifiant d'AWS Organizations est vérifié afin que l'accès puisse être accordé au sein de votre organisation AWS.
Vous pouvez également contrôler les demandes que les services AWS effectuent en votre nom, comme AWS CloudFormation qui crée une fonction AWS Lambda, à l'aide de la clé de condition `CalledVia` . Vous devez superposer différents types de politiques pour limiter efficacement les autorisations globales au sein d'un compte. Par exemple, vous pouvez autoriser vos équipes d'application à créer leurs propres politiques IAM, tout en utilisant une [limite des autorisations](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) afin de restreindre les autorisations maximum susceptibles d'être octroyées.
Plusieurs capacités AWS vous permettent d'adapter la gestion des autorisations et de respecter le principe du moindre privilège. [Le contrôle d'accès basé sur les attributs](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) vous permet de limiter les autorisations en fonction *[de la balise](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* d'une ressource, afin de prendre des décisions en matière d'autorisation reposant sur les balises appliquées à la ressources et au principal IAM appelant. Cela vous permet de combiner votre politique de balisage et d'autorisations afin d'obtenir un accès précis aux ressources sans avoir besoin d'un grand nombre de politiques personnalisées.
Pour accélérer la création d'une politique de moindre privilège, une autre solution consiste à baser votre politique sur les autorisations CloudTrail après l'exécution d'une activité. [IAM Access Analyzer peut générer automatiquement une politique IAM basée sur l'activité](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). vous pouvez également utiliser IAM Access Advisor au niveau du compte de l'individu ou de l'organisation [afin de suivre les dernières informations consultées pour une politique particulière](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Établissez une cadence pour examiner ces détails et supprimer les autorisations inutiles. Vous devez établir des barrières de protection pour les autorisations au sein de votre AWS organisation afin de contrôler les autorisations maximales dans tout compte membre. Les services tels qu' [AWS Control Tower ont des contrôles préventifs gérés prescriptifs](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) et vous permettent de définir vos propres contrôles.
## Ressources
**Documents connexes :**
+ [Limites d'autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniques for writing least privilege IAM policies](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Ajustement des autorisations dans AWS à l'aide des dernières informations consultées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM policy types and when to use them](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Testing IAM policies with the IAM policy simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero Trust architectures: An AWS perspective](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [How to implement the principle of least privilege with CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Vidéos connexes :**
+ [Next-generation permissions management](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation?](https://www.youtube.com/watch?v=omwq3r7poek)
**Exemples connexes :**
+ [Atelier : IAM permissions boundaries delegating role creation](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Établir un processus d'accès d'urgence
Un processus permettant l'accès d'urgence à votre charge de travail en cas de problème lié à un processus automatisé ou un pipeline. Ceci vous permet d'utiliser la stratégie du moindre privilège, tout en veillant à ce que les utilisateurs obtiennent le niveau d'accès approprié lorsqu'ils en ont besoin. Ce processus peut inclure une combinaison de différentes capacités, par exemple un rôle AWS entre comptes d'urgence pour l'accès, ou un processus spécifique que les administrateurs doivent suivre pour valider et approuver une demande d'urgence.
**Anti-modèles courants :**
+ Absence de processus d'urgence pour récupérer après une panne avec votre configuration d'identité existante.
+ Octroi d'autorisations élevées à long terme à des fins de dépannage ou de récupération.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
La mise en place d'un accès d'urgence peut prendre plusieurs formes pour lesquelles il est important d'être prêt. La première forme est un échec de votre fournisseur d'identité principal. Dans ce cas, vous devez compter sur une deuxième méthode d'accès avec les autorisations requises pour la récupération. Cette méthode pourrait être un fournisseur d'identité de secours ou un utilisateur IAM. Cette deuxième méthode doit être [étroitement contrôlée, surveillée, et son utilisation](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) doit être indiquée dans l'événement. L'identité des accès d'urgence doit provenir d'un compte utilisé à cette fin et disposer d'autorisations destinées uniquement à assumer un rôle spécifiquement conçu pour la récupération.
Vous devriez également être prêt pour un accès d'urgence lorsqu'un accès d'administration temporaire élevé est nécessaire. Un scénario courant consiste à limiter les autorisations mutantes à un processus automatisé utilisé pour déployer les modifications. Lorsque ce processus rencontre un problème, les utilisateurs peuvent avoir besoin de demander des autorisations élevées pour restaurer la fonctionnalité. Le cas échéant, établissez un processus dans le cadre duquel les utilisateurs peuvent demander un accès élevé et les administrateurs peuvent le valider et l'approuver. Les plans d'implémentation décrivant en détail les bonnes pratiques pour la préallocation des accès et la configuration de rôles d'urgence, *de type break-glass,*sont fournis dans le cadre de [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md).
## Ressources
**Documents connexes :**
+ [Monitor and Notify on AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Managing temporary elevated access](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Vidéo connexe :**
+ [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Limiter les autorisations au minimum requis en permanence
Lorsque les équipes et les charges de travail déterminent l'accès dont elles ont besoin, supprimez les autorisations inutilisées et établissez des processus de vérification pour obtenir les autorisations de moindre privilège. Surveillez et réduisez en continu les identités et les autorisations inutilisées.
Parfois, lorsque les équipes et les projets démarrent, vous pouvez choisir d'accorder un large accès (dans un environnement de développement ou dans un environnement de test) pour favoriser l'innovation et l'agilité. Nous vous recommandons d'évaluer l'accès en permanence et, en particulier dans un environnement de production, de limiter l'accès aux seules autorisations requises et de respecter le principe du moindre privilège. AWS fournit des fonctionnalités d'analyse des accès pour vous aider à identifier les accès inutilisés. Pour vous aider à identifier les utilisateurs et les rôles inutilisés, AWS analyse l'activité d'accès et fournit des informations sur la dernière utilisation des clés d'accès et des rôles. Vous pouvez utiliser le [dernier horodatage consulté](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identifier les utilisateurs et les rôles inutilisés](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)et les supprimer. De plus, vous pouvez consulter les informations relatives aux services et actions consultées en dernier afin d'identifier et de [restreindre les autorisations à des utilisateurs et des rôles spécifiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Par exemple, vous pouvez utiliser les dernières informations consultées pour identifier les actions Amazon Simple Storage Service(Amazon S3) spécifiques dont votre rôle d'application a besoin et limiter l'accès à celles-ci uniquement. Ces fonctionnalités sont disponibles dans AWS Management Console et par programmation pour vous permettre de les intégrer dans vos flux de travail d'infrastructure et vos outils automatisés.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Configurer AWS Identity and Access Management (IAM) Access Analyzer : AWS IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les compartiments Amazon Simple Storage Service (Amazon S3) ou les rôles IAM partagés avec une entité externe.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Suppression des informations d'identification inutiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Travailler avec des stratégies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vidéos connexes :**
+ [Devenir un expert en politiques IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Séparation des responsabilités, moindre privilège, délégation et CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Définir des protections par autorisation pour votre organisation
Établissez des contrôles communs qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher vos techniciens de supprimer des ressources communes, telles qu'un rôle IAM utilisé pour votre équipe de sécurité centrale.
**Anti-modèles courants :**
+ Exécution des charges de travail dans votre compte d'administrateur organisationnel.
+ Exécution des charges de travail de production et autres dans le même compte.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Au fur et à mesure que vous développez et gérez des charges de travail supplémentaires dans AWS, vous devez séparer ces charges de travail à l'aide de comptes et gérer ces comptes à l'aide d'AWS Organizations. Nous vous recommandons d'établir des protections par autorisation communes qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher votre équipe de supprimer des ressources communes, telles qu'un rôle IAM utilisé par votre équipe de sécurité centrale.
Vous pouvez commencer en implémentant des exemples de politiques de contrôle des services, par exemple en empêchant les utilisateurs de désactiver les services clés. Les SCP utilisent le langage de politique IAM et vous permettent d'établir des contrôles auxquels tous les principaux (utilisateurs et rôles) IAM adhèrent. Vous pouvez restreindre l'accès à des actions de service spécifiques, à des ressources et en fonction de conditions spécifiques pour répondre aux besoins de contrôle d'accès de votre organisation. Si nécessaire, vous pouvez définir des exceptions à vos barrières de protection. Par exemple, vous pouvez restreindre les actions de service pour toutes les entités IAM du compte, à l'exception d'un rôle d'administrateur spécifique.
Nous vous déconseillons l'exécution de vos charges de travail dans votre compte de gestion. Le compte de gestion doit être utilisé afin de gouverner et déployer des barrières de protection en matière de sécurité qui affecteront les comptes des membres. Certains services AWS prennent en charge l'utilisation d'un compte d'administrateur délégué. Lorsqu'il est disponible, nous vous recommandons d'utiliser ce compte délégué plutôt que le compte de gestion. Vous devez limiter fortement l'accès au compte d'administrateur organisationnel.
La mise en place d'une stratégie multicompte vous permet de bénéficier d'une plus grande flexibilité dans l'application de barrières de protection à vos charges de travail. L'AWS Security Reference Architecture propose des conseils normatifs en ce qui concerne la conception de la structure de votre compte. Les services AWS tels qu'AWS Control Tower offrent des capacités de gestion centralisée des contrôles préventifs et de détection au sein de votre organisation. Définissez un objectif clair pour chaque compte ou unité opérationnelle au sein de votre organisation et limitez les contrôles conformément à cet objectif.
## Ressources
**Documents connexes :**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Politiques de contrôle de service (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Get more out of service control policies in a multi-account environment](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Architecture de référence de sécurité (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Vidéos connexes :**
+ [Enforce Preventive Guardrails using Service Control Policies](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Gérer l'accès en fonction du cycle de vie
Intégrez les contrôles d'accès au cycle de vie des opérateurs et des applications et à votre fournisseur de fédération centralisée. Par exemple, supprimez l'accès d'un utilisateur lorsqu'il quitte l'organisation ou change de poste.
Lorsque vous gérez des charges de travail à l'aide de comptes distincts, vous devrez partager des ressources entre ces comptes. Nous vous recommandons de partager des ressources à l'aide d' [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Ce service vous permet de partager facilement et en toute sécurité des ressources AWS au sein de votre AWS Organizations et de vos unités d'organisation. Avec AWS RAM, l'accès aux ressources partagées est automatiquement accordé ou révoqué lorsque les comptes sont déplacés vers et hors de l'organisation ou de l'unité d'organisation avec laquelle ils sont partagés. Cela permet de vous assurer que les ressources sont uniquement partagées avec les comptes que vous souhaitez.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Cycle de vie de l'accès utilisateur : implémentez une stratégie de cycle de vie d'accès utilisateur pour les nouveaux utilisateurs qui rejoignent l'entreprise, les changements de poste et les utilisateurs qui quittent l'entreprise, afin que seuls les utilisateurs actifs disposent d'un accès approprié.
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Suppression des informations d'identification inutiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Travailler avec des stratégies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vidéos connexes :**
+ [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Séparation des responsabilités, moindre privilège, délégation et CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analyser l'accès public et entre les comptes
Surveillez en continu les résultats qui mettent en évidence l'accès public et intercompte. Limitez l'accès public et l'accès intercompte uniquement aux ressources qui requièrent ce type d'accès.
**Anti-modèles courants :**
+ Ne pas suivre un processus pour régir l'accès intercompte et public aux ressources.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Dans AWS, vous pouvez accorder l'accès aux ressources d'un autre compte. Vous accordez un accès intercompte direct en utilisant les politiques attachées aux ressources (par exemple, [les politiques de compartiment Amazon Simple Storage Service (Amazon S3))](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)ou en permettant à une identité d'assumer un rôle IAM dans un autre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l'accès est accordé aux identités de votre organisation et que vous avez bien l'intention de rendre les ressources publiques. Définir un processus d'approbation de toutes les ressources qui doivent être accessibles au public.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) utilise [une sécurité prouvable](https://aws.amazon.com/security/provable-security/) pour identifier tous les chemins d'accès à une ressource en dehors de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d'accès public et entre comptes pour vous permettre d'analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. IAM Access Analyzer vous permet également de [visualiser les résultats de l'Analyseur d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)avant de déployer les autorisations d'accès aux ressources. Vous pouvez ainsi vérifier que vos modifications de politique n'accordent que l'accès public et intercompte prévu à vos ressources. Lors de la conception pour un accès multicompte, vous pouvez utiliser [des politiques d'approbation afin de contrôler dans quels cas un rôle peut être assumé](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Par exemple, vous pouvez limiter l'hypothèse de rôle à une plage d'IP source spécifique.
Vous pouvez également utiliser [AWS Config pour signaler et corriger les ressources](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) pour toute configuration accidentelle d'accès public, via les vérifications de politiques d'AWS Config. Des services comme [AWS Control Tower](https://aws.amazon.com/controltower) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplifient le déploiement des contrôles et des barrières de protection sur une AWS Organizations afin d'identifier et de corriger les ressources publiquement exposées. Par exemple, AWS Control Tower dispose d'une barrière de protection gérée qui peut détecter si [des instantanés Amazon EBS sont restaurables par tous les comptes AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Ressources
**Documents connexes :**
+ [Utiliser AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [Norme concernant les bonnes pratiques de sécurité de base AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [Règles gérées AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [Référence de la vérification AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Vidéos connexes :**
+ [Best Practices for securing your multi-account environment](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Partager des ressources en toute sécurité
Contrôlez la consommation des ressources partagées entre les comptes ou au sein de votre AWS Organizations. Surveillez et vérifiez l'accès aux ressources partagées.
**Anti-modèles courants :**
+ Utilisation de la politique d'approbation IAM par défaut lorsque vous accordez un accès intercompte à un tiers.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Lorsque vous gérez vos charges de travail à l'aide de plusieurs comptes AWS, vous devrez parfois partager des ressources entre les comptes. Il s'agira très souvent d'un partage entre comptes au sein d'une AWS Organizations. Plusieurs services AWS tels qu' [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)et [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) pour intégrer des fonctions intercomptes à Organizations. Vous pouvez utiliser [AWS Resource Access Manager](https://aws.amazon.com/ram/) pour partager d'autres ressources communes, telles que [les sous-réseaux de VPC et les attachement de la passerelle de transit](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)ou [les pipelines Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Si vous souhaitez veiller à ce que votre compte partage uniquement les ressources de votre Organizations, nous vous recommandons d'utiliser [des politiques de contrôle des services (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) afin d'éviter tout accès aux principaux externes.
Lorsque vous partagez des ressources, veillez à mettre en place des mesures de protection contre les accès non intentionnels. Nous vous recommandons de combiner les contrôles basés sur l'identité et les contrôles réseau de façon à [créer un périmètre de données pour votre organisation](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Ces contrôles doivent limiter rigoureusement les ressources susceptibles d'être partagées et empêcher le partage ou l'exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques de point de terminaison d'un VPC et la condition `aws:PrincipalOrgId` afin de vous assurer que les identités accédant à vos compartiments Amazon S3 appartiennent à votre organisation.
Dans certains cas, vous pouvez autoriser le partage des ressources en dehors de vos Organizations ou accorder à des tiers l'accès à votre compte. Par exemple, un partenaire peut fournir une solution de surveillance qui doit accéder aux ressources de votre compte. Dans ces cas, vous devez créer un rôle intercompte IAM en lui attribuant uniquement les privilèges requis par le tiers. Vous devez également élaborer une politique d'approbation en utilisant la [condition d'ID externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Lorsque vous utilisez un ID externe, vous devez générer un ID unique pour chaque tiers. L'ID unique ne doit pas être fourni ou contrôlé par le tiers. Si le tiers n'a plus besoin d'accéder à votre environnement, vous devez supprimer le rôle. Dans tous les cas, évitez de fournir à des tiers des informations d'identification IAM à long terme. Gardez un œil sur les autres services AWS qui prennent en charge le partage de façon native. Par exemple, l'AWS Well-Architected Tool permet [de partager une charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) avec d'autres comptes AWS.
Lorsque vous utilisez un service tel qu'Amazon S3, il est recommandé de [désactiver les ACL pour votre compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) et d'utiliser les politiques IAM afin de définir le contrôle d'accès. [Pour limiter l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) depuis [Amazon CloudFront,](https://aws.amazon.com/cloudfront/)migrez l'identité d'accès d'origine (OAI) vers le contrôle d'accès d'origine (OAC) qui prend en charge des fonctionnalités supplémentaires, dont le chiffrement côté serveur avec [AWS KMS](https://aws.amazon.com/kms/).
## Ressources
**Documents connexes :**
+ [Bucket owner granting cross-account permission to objects it does not own](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Vidéos connexes :**
+ [Granular Access with AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)
# Détection
**Topics**
+ [SEC 4 Comment détecter et enquêter sur les événements de sécurité ?](w2aac19b7b9b5.md)
# SEC 4 Comment détecter et enquêter sur les événements de sécurité ?
Capturez et analysez les événements de journaux et les métriques pour obtenir une meilleure visibilité. Prenez des mesures en réaction aux événements de sécurité et aux menaces potentielles afin de contribuer à sécuriser votre charge de travail.
**Topics**
+ [SEC04-BP01 Configurer une journalisation de service et d'application](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Automatiser la réponse aux événements](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implémenter des événements de sécurité exploitables](sec_detect_investigate_events_actionable_events.md)
# SEC04-BP01 Configurer une journalisation de service et d'application
Configurez une journalisation tout au long du cycle de vie de la charge de travail, y compris des journaux d'application, des journaux de ressources et des journaux de service AWS. Par exemple, assurez-vous qu'AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty et AWS Security Hub CSPM sont activés pour tous les comptes au sein de votre entreprise.
Une pratique fondamentale consiste à définir un ensemble de mécanismes de détection au niveau du compte. Cet ensemble de mécanismes de base vise à enregistrer et à détecter un large éventail d'actions sur toutes les ressources de votre compte. Ils vous permettent de mettre en place une capacité de détection complète avec des options qui comprennent la correction automatisée et les intégrations de partenaires pour ajouter des fonctionnalités.
Dans AWS, les services qui peuvent implémenter cet ensemble de base sont les suivants :
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) fournit un historique des événements liés à votre compte AWS, y compris les mesures prises dans AWS Management Console, les kits SDK AWS, les outils de ligne de commande et les autres services AWS.
+ [AWS Config](http://aws.amazon.com/config) surveille et enregistre les configurations de vos ressources AWS et permet d'automatiser l'évaluation et la remédiation par rapport aux configurations souhaitées.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos comptes AWS et vos charges de travail.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) fournit un emplacement unique qui regroupe, organise et priorise vos alertes de sécurité ou vos résultats provenant de plusieurs services AWS et de produits tiers en option pour vous donner une vue complète des alertes de sécurité et du statut de conformité.
Construits sur les fondations au niveau du compte, de nombreux services AWS de base comme [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc)fournissent des fonctions de journalisation au niveau du service. [Journaux de flux Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) Les journaux de flux VPC vous permettent de capturer des informations sur le trafic IP vers et depuis les interfaces réseau, qui peuvent contenir des informations précieuses sur l'historique de connectivité et déclencher des actions automatisées en rapport à un comportement anormal.
Pour les instances Amazon Elastic Compute Cloud (Amazon EC2) et la journalisation basée sur les applications qui ne provient pas des services AWS, les journaux peuvent être stockés et analysés avec [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Une [agent](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) collecte les journaux du système d'exploitation et des applications en cours d'exécution et les stocke automatiquement. Une fois que les journaux sont disponibles dans CloudWatch Logs, vous pouvez [les traiter en temps réel](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)vous plonger dans l'analyse en utilisant [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).
La capacité d'extraire des informations significatives des grands volumes de données de journaux et d'événements générés par des architectures complexes est tout aussi importante pour la collecte et l'agrégation des journaux. Consultez la *Surveillance* du livre blanc [Livre blanc du pilier Fiabilité](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) pour en savoir plus. Les journaux peuvent eux-mêmes contenir des données considérées comme sensibles, soit lorsque des données d'application se sont retrouvées par erreur dans des fichiers journaux que l'agent CloudWatch Logs capture, soit lorsque la journalisation entre régions est configurée pour l'agrégation de journaux et qu'il existe des considérations d'ordre légal concernant l'envoi de certains types d'informations par-delà les frontières.
Une approche consiste à utiliser les fonctions AWS Lambda, déclenchées par les événements lors de la distribution des journaux, pour filtrer et expurger les données des journaux avant de les envoyer vers un emplacement d'enregistrement central, tel qu'un compartiment Amazon Simple Storage Service (Amazon S3). Les journaux non expurgés peuvent être conservés dans un compartiment local pendant un « délai raisonnable » (déterminé par la législation et votre équipe juridique) après lequel une règle de cycle de vie Amazon S3 peut automatiquement les supprimer. Les journaux peuvent également être protégés dans Amazon S3 à l'aide de [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), où vous pouvez stocker des objets à l'aide d'un modèle WORM (write-one-read-many).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Activer la journalisation des services AWS : activez la journalisation des services AWS pour répondre à vos besoins. Les fonctionnalités de journalisation incluent les éléments suivants : journaux de flux Amazon VPC, journaux Elastic Load Balancing, journaux de compartiment Amazon S3, journaux d'accès CloudFront, journaux de requêtes Amazon Route 53 et journaux Amazon Relational Database Service (Amazon RDS).
+ [AWS Answers : fonctionnalités AWS natives de journalisation/sécurité ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+ Évaluez et activez la journalisation des systèmes d'exploitation et les journaux spécifiques à votre application pour détecter les comportements suspects.
+ [ Démarrer avec CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [ Outils de développement et analyse des journaux ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+ Appliquer des contrôles appropriés aux journaux : les journaux peuvent contenir des informations sensibles auxquelles seuls les utilisateurs autorisés doivent avoir accès. Envisagez de restreindre les autorisations d'accès aux compartiments Amazon S3 et aux groupes de journaux CloudWatch Logs.
+ [ Authentification et contrôle d'accès pour Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
+ [Gestion des identités et des accès dans Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+ Configurer [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques pour envoyer des e-mails à l'aide de l'atelier.
+ [Configurer un journal de suivi personnalisé dans CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) : la configuration d'un journal de suivi vous permet de stocker les journaux plus longtemps que la période par défaut, et de les analyser ultérieurement.
+ Activation [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) : AWS Config fournit une vue détaillée de la configuration des ressources AWS dans votre Compte AWS. Cette vue comprend la manière dont les ressources sont associées les unes aux autres et la façon dont elles étaient configurées précédemment pour que vous puissiez voir la façon dont les configurations et relations changent dans le temps.
+ Activation [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) : Security Hub CSPM vous fournit une vue complète de votre état de sécurité dans AWS et vous permet de vérifier votre conformité avec les normes et bonnes pratiques de sécurité dans votre secteur. Security Hub CSPM collecte des données de sécurité auprès des Comptes AWS, des services et des produits de partenaires tiers pris en charge. Il vous aide à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires.
## Ressources
**Documents connexes :**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Premiers pas : Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solutions partenaires de sécurité : journalisation et surveillance](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vidéos connexes :**
+ [ Surveillance centralisée de la configuration et de la conformité des ressources ](https://youtu.be/kErRv4YB_T4)
+ [Résolution des problèmes identifiés par Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Gestion des menaces dans le cloud : Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**Exemples connexes :**
+ [ Atelier : Déploiement automatisé des contrôles de détection ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP02 Analyse centralisée des journaux, des résultats et des métriques
les équipes responsables des opérations de sécurité s'appuient sur la collecte de journaux et l'utilisation d'outils de recherche pour découvrir les événements d'intérêt potentiels, susceptibles d'indiquer une activité non autorisée ou une modification non intentionnelle. Cependant, la simple analyse des données collectées et le traitement manuel des informations ne suffisent pas pour faire face au volume d'informations provenant d'architectures complexes. L'analyse et les rapports ne facilitent pas l'affectation des ressources appropriées pour traiter un événement dans les délais impartis.
Une bonne pratique pour constituer une équipe d'opérations de sécurité mature consiste à intégrer profondément le flux d'événements et de résultats de sécurité dans un système de notification et de flux de travail, tel qu'un système de tickets, un système de gestion des bogues et problèmes ou un autre système de gestion des informations et des événements de sécurité (SIEM). Ainsi, le flux de travail n'est plus intégré aux rapports par e-mail et statiques, ce qui permet d'acheminer, de transférer et de gérer les événements ou les résultats. De nombreuses organisations intègrent également des alertes de sécurité dans leurs plateformes de discussion instantanée et collaborative et de productivité des développeurs. Pour les organisations qui se lancent dans l'automatisation, un système de tickets à faible latence axé sur les API, offre une flexibilité considérable pour planifier ce qu'il faut automatiser en premier.
Cette bonne pratique s'applique non seulement aux événements de sécurité générés par les messages du journal décrivant l'activité des utilisateurs ou les événements du réseau, mais aussi aux changements détectés dans l'infrastructure elle-même. La capacité à détecter les changements, à déterminer si un changement était approprié, puis à acheminer ces informations vers le processus de correction approprié est essentielle pour gérer et valider une architecture sécurisée, dans le contexte de changements dont la nature indésirable est suffisamment subtile pour que leur exécution ne puisse être actuellement empêchée par une combinaison de configuration Gestion des identités et des accès AWS(IAM) et AWS Organizations.
Amazon GuardDuty et AWS Security Hub CSPM fournissent des mécanismes d'agrégation, de déduplication et d'analyse pour les enregistrements de journaux qui sont également mis à votre disposition via d'autres services AWS. GuardDuty ingère, agrège et analyse les informations provenant de sources telles que les événements de gestion et de données AWS CloudTrail, les journaux DNS VPC et les journaux de flux VPC. Security Hub CSPM peut ingérer, agréger et analyser les résultats provenant de GuardDuty, AWS Config, Amazon Inspector, Amazon Macie, AWS Firewall Manager et d'un nombre important de produits de sécurité tiers disponibles dans AWS Marketplace et, s'il a été conçu en conséquence, votre propre code. GuardDuty et Security Hub CSPM ont tous les deux un modèle Administrateur/Maître qui peut agréger les résultats et les informations sur plusieurs comptes. Security Hub CSPM est souvent utilisé par les clients qui ont un système de gestion des informations et des événements de sécurité (SIEM) sur site comme préprocesseur et agrégateur de journaux et d'alertes côté AWS à partir duquel ils peuvent ensuite ingérer Amazon EventBridge via un processeur et un redirecteur basé sur AWS Lambda.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Évaluer les fonctionnalités de traitement des journaux : évaluez les options disponibles pour le traitement des journaux.
+ [Utilisez Amazon OpenSearch Service pour enregistrer et surveiller (presque) tout. ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
+ [Trouvez un partenaire spécialisé dans les solutions de journalisation et de surveillance. ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+ Pour commencer à analyser les journaux CloudTrail, testez Amazon Athena.
+ [ Configuration d'Athena pour analyser les journaux CloudTrail ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+ Implémenter la journalisation centralisée dans AWS : consultez l'exemple de solution AWS suivant pour centraliser la journalisation à partir de plusieurs sources.
+ [Centraliser la solution de journalisation ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+ Implémenter la journalisation centralisée avec le partenaire : les partenaires APN disposent de solutions pour vous aider à analyser les journaux de manière centralisée.
+ [ Journalisation et surveillance ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
## Ressources
**Documents connexes :**
+ [AWS Answers : journalisation centralisée ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Premiers pas : Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solutions partenaires de sécurité : journalisation et surveillance](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vidéos connexes :**
+ [ Surveillance centralisée de la configuration et de la conformité des ressources ](https://youtu.be/kErRv4YB_T4)
+ [Résolution des problèmes identifiés par Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Gestion des menaces dans le cloud : Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# SEC04-BP03 Automatiser la réponse aux événements
L'utilisation de l'automatisation pour enquêter et corriger les événements réduit les efforts humains et les erreurs. Elle vous permet aussi de mettre à l'échelle les capacités d'investigation. Les vérifications régulières vous aideront à ajuster les outils d'automatisation et à itérer en continu.
Dans AWS, l'analyse des événements d'intérêt et des informations utiles sur des changements potentiellement inattendus dans un flux de travail automatisé peut être réalisée avec Amazon EventBridge. Ce service fournit un moteur de règles évolutif conçu pour négocier les formats d'événements AWS natifs (tels que les événements AWS CloudTrail) ainsi que les événements personnalisés que vous pouvez générer vous-même. Amazon GuardDuty vous permet également d'acheminer les événements vers un système de flux de travail pour ceux qui mettent en place des systèmes de réponse aux incidents (AWS Step Functions), vers un compte de sécurité central ou encore vers un compartiment pour une analyse plus approfondie.
La détection des changements et l'acheminement de ces informations vers le flux de travail approprié peuvent également être réalisés via AWS Config Rules et [les packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). AWS Config détecte les modifications apportées aux services concernés (bien que sa latence soit supérieure à celle d'EventBridge) et génère des événements qui peuvent être analysés avec AWS Config Rules pour la restauration, l'application de la politique de conformité et le transfert d'informations aux systèmes, tels que les plateformes de gestion des modifications et les systèmes de tickets opérationnels. En plus d'écrire vos propres fonctions Lambda pour répondre aux événements AWS Config, vous pouvez tirer parti du [kit de développement AWS Config Rules](https://github.com/awslabs/aws-config-rdk)et d'une [bibliothèque de règles open source](https://github.com/awslabs/aws-config-rules) AWS Config Rules. Les packs de conformité sont une collection d'actions correctives et de règles AWS Config Rules que vous déployez en tant qu'entité unique créée en tant que modèle YAML. A [exemple de modèle de pack de conformité](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) est disponible pour le pilier Sécurité Well-Architected.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Implémenter des alertes automatisées avec GuardDuty : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques.
+ Automatiser les processus d'investigation : développez des processus automatisés qui enquêtent sur un événement et rapportent les informations à un administrateur pour gagner du temps.
+ [ Atelier : Amazon GuardDuty dans la pratique ](https://hands-on-guardduty.awssecworkshops.com/)
## Ressources
**Documents connexes :**
+ [AWS Answers : journalisation centralisée ](https://aws.amazon.com/answers/logging/centralized-logging/)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Premiers pas : Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+ [Solutions partenaires de sécurité : journalisation et surveillance](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
+ [ Configuration d'Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)
**Vidéos connexes :**
+ [ Surveillance centralisée de la configuration et de la conformité des ressources ](https://youtu.be/kErRv4YB_T4)
+ [Résolution des problèmes identifiés par Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Gestion des menaces dans le cloud : Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé des contrôles de détection ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
# SEC04-BP04 Implémenter des événements de sécurité exploitables
Créez des alertes qui sont envoyées à votre équipe et qui peuvent être exécutées par celle-ci. Assurez-vous que les alertes incluent des informations pertinentes pour que l'équipe agisse en conséquence. pour chaque mécanisme de détection dont vous disposez, vous devez également disposer d'un processus, sous la forme d'un [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) ou [d'un playbook](https://wa.aws.amazon.com/wat.concept.playbook.en.html)pour enquêter. Par exemple, lorsque vous activez [Amazon GuardDuty](http://aws.amazon.com/guardduty), il génère des résultats [différents](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Vous devez avoir une entrée de runbook pour chaque type de résultat. Par exemple, si un [cheval de Troie](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) est détecté, votre runbook comporte des instructions simples qui demandent à quelqu'un d'enquêter et de corriger.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Découvrir les métriques disponibles pour les services AWS : découvrez les métriques disponibles via Amazon CloudWatch pour les services que vous utilisez.
+ [Documentation des services AWS](https://aws.amazon.com/documentation/)
+ [Utilisation des métriques Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ Configurez des alarmes Amazon CloudWatch.
+ [Utilisation des alarmes Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)
## Ressources
**Documents connexes :**
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+ [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [Solutions partenaires de sécurité : journalisation et surveillance](https://aws.amazon.com/security/partner-solutions/#logging-monitoring)
**Vidéos connexes :**
+ [ Surveillance centralisée de la configuration et de la conformité des ressources ](https://youtu.be/kErRv4YB_T4)
+ [Résolution des problèmes identifiés par Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Gestion des menaces dans le cloud : Amazon GuardDuty et AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)
# Protection de l'infrastructure
**Topics**
+ [SEC 5 Comment protéger vos ressources réseau ?](w2aac19b7c11b5.md)
+ [SEC 6 Comment assurer la protection de vos ressources de calcul ?](w2aac19b7c11b7.md)
# SEC 5 Comment protéger vos ressources réseau ?
Pour toute charge de travail ayant une forme quelconque de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, plusieurs couches de défense sont nécessaires pour vous protéger contre les menaces externes et internes basées sur le réseau.
**Topics**
+ [SEC05-BP01 Créer des couches réseau](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Contrôler le trafic sur toutes les couches](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatiser la protection du réseau](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mettre en œuvre l'inspection et la protection](sec_network_protection_inspection.md)
# SEC05-BP01 Créer des couches réseau
Regroupez en couches les composants qui partagent les exigences d'accessibilité. Par exemple, un cluster de bases de données dans un cloud privé virtuel (VPC) n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Dans une charge de travail sans serveur fonctionnant sans VPC, une superposition et une segmentation similaires avec des microservices peuvent atteindre le même objectif.
les composants, tels que les instances Amazon Elastic Compute Cloud (Amazon EC2), les clusters de bases de données Amazon Relational Database Service (Amazon RDS) et les fonctions AWS Lambda qui partagent les exigences d'accessibilité, peuvent être segmentés en couches formées par des sous-réseaux. Par exemple, un cluster de bases de données Amazon RDS dans un VPC n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Cette approche multicouche pour les contrôles réduit l'impact d'une mauvaise configuration de couche unique, ce qui pourrait autoriser un accès involontaire. Pour Lambda, vous pouvez exécuter vos fonctions dans votre VPC pour anticiper les contrôles basés sur VPC.
Pour une connectivité réseau qui peut inclure des milliers de VPC, de comptes AWS et de réseaux sur site, utilisez [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Il fait office de hub qui contrôle la façon dont le trafic est routé entre tous les réseaux connectés qui agissent comme terminaisons. Le trafic entre un Amazon Virtual Private Cloud et AWS Transit Gateway reste sur le réseau privé AWS, ce qui réduit les vecteurs de menace externes tels que les attaques par déni de service distribué (DDoS) et les exploits courants, tels que l'injection SQL, les scripts de site à site, la falsification de requête entre sites ou la violation du code d'authentification. L'appairage inter-région AWS Transit Gateway chiffre également le trafic inter-région sans point unique de défaillance ni goulot d'étranglement sur la bande passante.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Créer des sous-réseaux dans un VPC : créez des sous-réseaux pour chaque couche (dans des groupes qui incluent plusieurs zones de disponibilité) et associez des tables de routage pour contrôler le routage.
+ [VPC et sous-réseaux ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
+ [Tables de routage ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+ [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs ](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP02 Contrôler le trafic sur toutes les couches
lorsque vous créez l'architecture de votre topologie réseau, vous devez examiner les exigences de connectivité de chaque composant. Par exemple, si un composant nécessite d'accéder à Internet (en entrée et en sortie), une connectivité aux VPC, aux services périphériques et aux centres de données externes.
Un VPC vous permet de définir votre topologie de réseau qui s'étend sur une Région AWS avec une plage d'adresses IPv4 privée que vous définissez, ou une plage d'adresses IPv6 que sélectionne AWS. Vous devez appliquer des contrôles multiples avec une approche de défense en profondeur pour le trafic entrant et sortant, y compris l'utilisation de groupes de sécurité (pare-feu à inspection permanente), de listes de contrôle d'accès (ACL) réseau, de sous-réseaux et de tables de routage. Au sein d'un VPC, vous pouvez créer des sous-réseaux dans une zone de disponibilité. Chaque sous-réseau peut avoir une table de routage associée qui définit les règles de routage pour gérer les chemins que le trafic emprunte au sein du sous-réseau. Vous pouvez définir un sous-réseau routable Internet en ayant une route qui accède à une passerelle Internet ou NAT connectée au VPC, ou passant par un autre VPC.
Lorsqu'une instance, une base de données Amazon Relational Database Service(Amazon RDS) ou un autre service sont lancés au sein d'un VPC, ils disposent de leur propre groupe de sécurité sur chaque interface réseau. Ce pare-feu se situe en dehors de la couche du système d'exploitation et peut être utilisé pour définir des règles pour le trafic entrant et sortant autorisé. Vous pouvez également définir les relations entre les groupes de sécurité. Par exemple, les instances d'un groupe de sécurité de la couche base de données n'acceptent que le trafic des instances de la couche application, par référence aux groupes de sécurité appliqués aux instances concernées. Si vous utilisez des protocoles non-TCP, il n'est pas nécessaire de laisser une instance Amazon Elastic Compute Cloud(Amazon EC2) directement accessible par Internet (même avec des ports restreints par des groupes de sécurité) sans utiliser d'équilibreur de charge ou [CloudFront](https://aws.amazon.com/cloudfront). Cela permet de la protéger contre un accès involontaire en cas de problème de système d'exploitation ou d'application. Un sous-réseau peut également avoir une liste ACL réseau qui fait office de pare-feu sans état. Vous devez configurer la liste de contrôle d'accès(ACL) au réseau de manière à réduire l'étendue du trafic autorisé entre les couches. Notez que vous devez définir des règles à la fois pour les flux entrants et sortants.
Certains services AWS nécessitent que des composants accèdent à Internet pour effectuer des appels d'API, là où [les points de terminaison d'API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) sont situés. D'autres services AWS utilisent les [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) dans vos Amazon VPC. De nombreux services AWS, notamment Amazon S3 et Amazon DynamoDB, prennent en charge les points de terminaison d'un VPC, et cette technologie a été généralisée dans . [AWS PrivateLink](https://aws.amazon.com/privatelink/). Nous vous recommandons d'utiliser cette approche pour accéder en toute sécurité aux services AWS, aux services tiers et à vos propres services hébergés dans d'autres VPC. Tout le trafic réseau sur AWS PrivateLink reste sur la dorsale mondiale AWS et ne traverse jamais Internet. La connectivité ne peut être initiée que par le consommateur du service, et non par le fournisseur du service. Utiliser AWS PrivateLink pour l'accès au service externe vous permet de créer des VPC isolés sans accès à Internet et contribue à protéger vos VPC contre les vecteurs de menace externes. Les services tiers peuvent utiliser AWS PrivateLink pour permettre à leurs clients de se connecter aux services à partir de leurs VPC via des adresses IP privées. Pour les ressources VPC qui ont besoin d'établir des connexions sortantes à Internet, celles-ci peuvent être établies en mode sortant uniquement (unidirectionnel) via une passerelle NAT gérée par AWS, une passerelle Internet en mode sortant uniquement ou des proxys Web que vous créez et gérez.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Contrôler le trafic réseau dans un VPC : mettez en œuvre les bonnes pratiques liées aux VPC pour contrôler le trafic.
+ [Sécurité des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)
+ [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [Groupe de sécurité de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)
+ [ACL réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)
+ Contrôler le trafic en périphérie : implémentez des services périphériques comme Amazon CloudFront pour fournir une couche supplémentaire de protection et d'autres fonctions.
+ [Cas d'utilisation d'Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html)
+ [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)
+ [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html)
+ [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)
+ [Amazon VPC Ingress Routing](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/)
+ Contrôler le trafic réseau privé : implémentez des services qui protègent le trafic privé pour votre charge de travail.
+ [Appairage des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)
+ [Amazon VPC Endpoint Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html)
+ [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
+ [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
+ [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)
+ [Points d'accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP03 Automatiser la protection du réseau
Automatisez les mécanismes de protection pour disposer d'un réseau capable de se défendre lui-même grâce à l'intelligence des menaces et à la détection des anomalies. Par exemple, des outils de détection et de prévention des intrusions capables de s'adapter aux menaces actuelles et de réduire leur impact. Un pare-feu d'application web est un scénario dans lequel vous pouvez automatiser la protection du réseau, par exemple, en utilisant la solution AWS WAF Security Automations ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) pour bloquer automatiquement les requêtes provenant d'adresses IP associées à des acteurs de menaces connus.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la protection du trafic web : AWS propose une solution qui utilise AWS CloudFormation pour déployer automatiquement un ensemble de règles AWS WAF conçues pour filtrer les attaques courantes sur le web. Les utilisateurs peuvent choisir parmi des fonctions de protection préconfigurées qui définissent les règles incluses dans une liste de contrôle d'accès (ACL web) AWS WAF.
+ [Automatisations de sécurité AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/)
+ Envisager les solutions AWS Partner : les partenaires AWS proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.
+ [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Sécurité des VPC Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC05-BP04 Mettre en œuvre l'inspection et la protection
Inspectez et filtrez votre trafic au niveau de chaque couche. Vous pouvez inspecter les configurations de vos VPC pour détecter tout accès involontaire potentiel à l'aide de [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Vous pouvez spécifier vos exigences d'accès au réseau et identifier les chemins réseau potentiels qui ne les satisfont pas. Pour les composants effectuant des transactions via des protocoles basés sur HTTP, un pare-feu d'application Web peut protéger contre les attaques courantes. [AWS WAF](https://aws.amazon.com/waf) est un pare-feu d'application Web qui permet de surveiller et de bloquer les requêtes HTTP correspondant à vos règles configurables qui sont transmises à une API Amazon API Gateway, à Amazon CloudFront ou à un Application Load Balancer. Pour commencer à utiliser AWS WAF, vous pouvez utiliser des [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) en combinaison avec les vôtres ou utiliser des [intégrations de partenaires existantes](https://aws.amazon.com/waf/partners/).
Pour gérer AWS WAF, les protections AWS Shield Advanced et les groupes de sécurité Amazon VPC dans AWS Organizations, vous pouvez utiliser AWS Firewall Manager. Il vous permet de configurer et de gérer de manière centralisée les règles de pare-feu de l'ensemble de vos comptes et applications, ce qui facilite l'application à grande échelle des règles communes. Il permet également de répondre rapidement aux attaques, à l'aide d' [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)ou [de solutions](https://aws.amazon.com/solutions/aws-waf-security-automations/) qui peuvent bloquer automatiquement les demandes indésirables adressées à vos applications Web. Firewall Manager fonctionne également avec [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall est un service géré qui utilise un moteur de règles pour vous donner un contrôle précis sur le trafic réseau avec et sans état. Il prend en charge les spécifications du système de prévention des intrusions (IPS) open source [compatible avec Suricata](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) pour les règles afin de protéger plus efficacement votre charge de travail.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Configurer Amazon GuardDuty : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
+ [Atelier : Déploiement automatisé des contrôles de détection](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)
+ Configurer des flux de journaux de cloud privé virtuel (VPC) : les journaux de flux de VPC sont une fonction qui vous permet de capturer des informations sur le trafic IP allant et venant des interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées sur Amazon CloudWatch Logs et Amazon Simple Storage Service (Amazon S3). Une fois que vous avez créé un journal de flux, vous pouvez extraire et afficher ses données dans la destination de votre choix.
+ Envisager la mise en miroir du trafic VPC : la mise en miroir du trafic est une fonction Amazon VPC que vous pouvez utiliser pour copier le trafic réseau à partir d'une interface réseau Elastic d'instances Amazon Elastic Compute Cloud (Amazon EC2), puis l'envoyer à des appareils de sécurité et de surveillance hors bande pour l'inspection du contenu, la surveillance des menaces et le dépannage.
+ [Mise en miroir du trafic VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
## Ressources
**Documents connexes :**
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html)
+ [Amazon Inspector](https://aws.amazon.com/inspector)
+ [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+ [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
**Vidéos connexes :**
+ [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc)
+ [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
# SEC 6 Comment assurer la protection de vos ressources de calcul ?
Les ressources de calcul de votre charge de travail nécessitent plusieurs couches de défense pour vous aider à vous protéger des menaces externes et internes. Les ressources de calcul incluent les instances EC2, les conteneurs, les fonctions AWS Lambda, les services de bases de données, les appareils IoT, etc.
**Topics**
+ [SEC06-BP01 Gérer les failles](sec_protect_compute_vulnerability_management.md)
+ [SEC06-BP02 Réduire la surface d'attaque](sec_protect_compute_reduce_surface.md)
+ [SEC06-BP03 Mettre en œuvre des services gérés](sec_protect_compute_implement_managed_services.md)
+ [SEC06-BP04 Automatiser la protection du calcul](sec_protect_compute_auto_protection.md)
+ [SEC06-BP05 Permettre aux utilisateurs d'effectuer des actions à distance](sec_protect_compute_actions_distance.md)
+ [SEC06-BP06 Valider l'intégrité des logiciels](sec_protect_compute_validate_software_integrity.md)
# SEC06-BP01 Gérer les failles
Analysez et éliminez fréquemment les failles de sécurité dans votre code, vos dépendances et votre infrastructure afin de vous protéger contre les nouvelles menaces.
En commençant par la configuration de votre infrastructure de calcul, vous pouvez automatiser la création et la mise à jour des ressources via AWS CloudFormation. CloudFormation vous permet de créer des modèles écrits en YAML ou JSON soit en utilisant des exemples AWS, soit en écrivant les vôtres. Cela vous permet de créer des modèles d'infrastructure sécurisés par défaut que vous pouvez vérifier avec [CloudFormation Guard](https://aws.amazon.com/about-aws/whats-new/2020/10/aws-cloudformation-guard-an-open-source-cli-for-infrastructure-compliance-is-now-generally-available/), pour vous faire gagner du temps et réduire le risque d'erreur de configuration. Vous pouvez construire votre infrastructure et déployer vos applications en livraison continue, par exemple avec [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/concepts-continuous-delivery-integration.html), pour automatiser la création, les tests et la publication.
Vous êtes responsable de la gestion des correctifs pour vos ressources AWS, y compris les instances Amazon Elastic Compute Cloud(Amazon EC2), les Amazon Machine Images (AMI) et de nombreuses autres ressources de calcul. Pour les instances Amazon EC2, AWS Systems Manager Patch Manager automatise le processus de correction des instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Vous pouvez utiliser le gestionnaire de correctifs pour appliquer des correctifs aux systèmes d'exploitation et aux applications. (Sur Windows Server, le support des applications est limité aux mises à jour des applications Microsoft.) Vous pouvez utiliser Patch Manager pour installer des Service Packs sur des instances Windows et effectuer des mises à niveau de versions mineures sur des instances Linux. Vous pouvez appliquer des correctifs à des parcs d'instances Amazon EC2 ou à vos serveurs et machines virtuelles (VM) sur site par type de système d'exploitation. Cela inclut les versions prises en charge de Windows Server, Amazon Linux, Amazon Linux 2, CentOS, Debian Server, Oracle Linux, Red Hat Enterprise Linux (RHEL), SUSE Linux Enterprise Server (SLES) et Ubuntu Server. Vous pouvez analyser les instances pour afficher uniquement un rapport sur les correctifs manquants, ou vous pouvez analyser et installer automatiquement tous les correctifs manquants.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Configurer Amazon Inspector : Amazon Inspector teste l'accessibilité réseau de vos instances Amazon Elastic Compute Cloud (Amazon EC2) et l'état de sécurité des applications qui s'exécutent sur ces instances. Amazon Inspector évalue les applications et recherche l'exposition, les vulnérabilités et les écarts par rapport aux bonnes pratiques.
+ [Qu'est-ce qu'Amazon Inspector ?](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html)
+ Analyser le code source : analysez les bibliothèques et les dépendances à la recherche de vulnérabilités.
+ [Amazon CodeGuru](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html)
+ [OWASP : outils d'analyse de code source](https://owasp.org/www-community/Source_Code_Analysis_Tools)
## Ressources
**Documents connexes :**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP02 Réduire la surface d'attaque
Réduisez votre exposition aux accès imprévus en renforçant les systèmes d'exploitation et en limitant au minimum l'utilisation des composants, des bibliothèques et des services consommables en externe. Commencez par réduire les composants inutilisés, qu'il s'agisse de packages de système d'exploitation ou d'applications pour les charges de travail basées sur Amazon Elastic Compute Cloud (Amazon EC2), ou de modules logiciels externes dans votre code (pour toutes les charges de travail). Il existe de nombreux guides sur le renforcement et la configuration de la sécurité pour les systèmes d'exploitation et les logiciels serveur courants. Par exemple, vous pouvez commencer par le [Center for Internet Security](https://www.cisecurity.org/) et partir de là.
Dans Amazon EC2, vous pouvez créer vos propres Amazon Machine Images (AMI), auxquelles vous avez appliqué des correctifs et dont vous avez renforcé la sécurité, pour vous aider à répondre aux exigences de sécurité spécifiques de votre organisation. Les correctifs et autres contrôles de sécurité que vous appliquez sur l'AMI sont effectifs au moment où ils ont été créés. Ils ne sont pas dynamiques, sauf si vous les modifiez après le lancement, par exemple, avec AWS Systems Manager.
Vous pouvez simplifier le processus de création d'AMI sécurisées avec EC2 Image Builder. EC2 Image Builder réduit considérablement l'effort requis pour créer et préserver des images de référence sans avoir à écrire ni à gérer l'automatisation. Lorsque des mises à jour logicielles sont disponibles, Image Builder génère automatiquement une nouvelle image sans obliger les utilisateurs à lancer manuellement les créations d'image. EC2 Image Builder vous permet de valider facilement la fonctionnalité et la sécurité de vos images avant de les utiliser en production avec les tests fournis par AWS et vos propres tests. Vous pouvez également appliquer les paramètres de sécurité fournis par AWS pour sécuriser davantage vos images afin de répondre aux critères de sécurité internes. Par exemple, vous pouvez créer des images conformes à la norme Security Technical Implementation Guide (STIG) à l'aide de modèles fournis par AWS.
Grâce à des outils d'analyse de code statique tiers, vous pouvez identifier les problèmes de sécurité courants tels que les limites d'entrée de fonction non contrôlées, ainsi que les vulnérabilités et expositions courantes applicables. Vous pouvez utiliser [Amazon CodeGuru](https://aws.amazon.com/codeguru/) pour les langues prises en charge. Les outils de vérification des dépendances peuvent également être utilisés pour déterminer si les bibliothèques avec lesquelles votre code est lié sont les dernières versions, sont elles-mêmes exemptes de vulnérabilités et d'expositions courantes et ont des conditions de licence qui répondent aux exigences de votre politique logicielle.
À l'aide d'Amazon Inspector, vous pouvez effectuer des évaluations de configuration de vos instances pour identifier les vulnérabilités et expositions communes connues, les évaluer par rapport à des points de référence en matière de sécurité et automatiser la notification des défauts. Amazon Inspector s'exécute sur des instances de production ou dans un pipeline de conception et notifie les développeurs et ingénieurs lorsque les résultats sont prêts. Vous pouvez accéder aux résultats par programmation et diriger votre équipe vers les systèmes de suivi des bugs et des retards. [EC2 Image Builder](https://aws.amazon.com/image-builder/) peut être utilisé pour gérer les images de serveur (AMI) avec l'application de correctifs automatisée, l'application de politiques de sécurité fournies par AWS et d'autres personnalisations. Lorsque vous utilisez des conteneurs, mettez en œuvre l' [analyse d'image ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html) dans votre pipeline de génération et régulièrement par rapport à votre référentiel d'images pour rechercher les failles CVE dans vos conteneurs.
Si Amazon Inspector et d'autres outils sont efficaces pour identifier les configurations et les failles CVE présentes, d'autres méthodes sont nécessaires pour tester votre charge de travail au niveau de l'application. [Le fuzzing](https://owasp.org/www-community/Fuzzing) est une méthode bien connue pour trouver des bugs en utilisant l'automatisation pour injecter des données malformées dans les champs de saisie et d'autres parties de votre application.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Renforcer la sécurité du système d'exploitation : configurez les systèmes d'exploitation de manière à respecter les bonnes pratiques.
+ [Sécurisation d'Amazon Linux](https://www.cisecurity.org/benchmark/amazon_linux/)
+ [Sécurisation de Microsoft Windows Server](https://www.cisecurity.org/benchmark/microsoft_windows_server/)
+ Renforcer la sécurité des ressources conteneurisées : configurez les ressources conteneurisées de manière à respecter les bonnes pratiques en matière de sécurité.
+ Implémentez les bonnes pratiques AWS Lambda.
+ [Bonnes pratiques AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html)
## Ressources
**Documents connexes :**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP03 Mettre en œuvre des services gérés
Mettez en œuvre des services qui gèrent les ressources, comme Amazon Relational Database Service (Amazon RDS), AWS Lambda, and Amazon Elastic Container Service (Amazon ECS), afin de réduire vos tâches de maintenance de la sécurité dans le cadre du modèle de responsabilité partagée. Par exemple, Amazon RDS vous aide à configurer, exploiter et dimensionner une base de données relationnelle, automatise les tâches d'administration telles que la mise en service du matériel, la configuration de base de données, l'application de correctifs et les sauvegardes. Cela signifie que vous pouvez consacrer plus de temps à la sécurisation de votre application selon les autres méthodes décrites dans le cadre AWS Well-Architected Framework. Lambda vous permet d'exécuter le code sans avoir à mettre en service ni à gérer des serveurs. Par conséquent, vous pouvez vous concentrer uniquement sur la connectivité, les appels et la sécurité au niveau du code, et non pas sur l'infrastructure ou le système d'exploitation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Explorer les services disponibles : explorez, testez et implémentez des services qui gèrent des ressources, notamment Amazon RDS, AWS Lambda et Amazon ECS.
## Ressources
**Documents connexes :**
+ [ Site web AWS](https://aws.amazon.com/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Demander un certificat public avec AWS Certificate Manager ](https://wellarchitectedlabs.com/security/200_labs/200_certificate_manager_request_public_certificate/)
# SEC06-BP04 Automatiser la protection du calcul
Automatisez vos mécanismes de protection du calcul, en particulier la gestion des failles, la réduction de la surface d'attaque et la gestion des ressources. L'automatisation vous aide à investir du temps pour sécuriser d'autres aspects de votre charge de travail, et à réduire le risque d'erreur humaine.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la gestion de la configuration : appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Atelier : Déploiement automatisé d'un VPC](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)
+ [Atelier : Déploiement automatisé d'une application Web avec EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
+ Automatiser l'application de correctifs aux instances Amazon Elastic Compute Cloud (Amazon EC2) : AWS Systems Manager Patch Manager automatise le processus de correction des instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour. Vous pouvez utiliser le gestionnaire de correctifs pour appliquer des correctifs aux systèmes d'exploitation et aux applications.
+ [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Application centralisée de correctifs multicomptes et multirégions avec AWS Systems Manager Automation](https://https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ Mettre en place une détection et une prévention des intrusions : mettez en place un outil de détection et de prévention des intrusions pour surveiller et arrêter les opérations malveillantes au niveau des instances.
+ Envisager les solutions AWS Partner : les partenaires AWS proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site.
+ [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
## Ressources
**Documents connexes :**
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [le gestionnaire de correctifs AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
+ [Application centralisée de correctifs multicomptes et multirégions avec AWS Systems Manager Automation](https://aws.amazon.com/blogs/mt/centralized-multi-account-and-multi-region-patching-with-aws-systems-manager-automation/)
+ [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
+ [Atelier : Déploiement automatisé d'une application Web avec EC2](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_EC2_Web_Application/README.html)
# SEC06-BP05 Permettre aux utilisateurs d'effectuer des actions à distance
La suppression de la possibilité d'accès interactif réduit le risque d'erreur humaine et le potentiel de configuration ou de gestion manuelle. Par exemple, utilisez un flux de travail de gestion des modifications pour déployer des instances Amazon Elastic Compute Cloud (Amazon EC2) à l'aide d'une infrastructure en tant que code, puis gérez les instances Amazon EC2 avec des outils tels qu'AWS Systems Manager au lieu d'autoriser un accès direct ou via un hôte bastion. AWS Systems Manager automatise diverses tâches de maintenance et de déploiement à l'aide de fonctionnalités telles que l' [automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) [(flux de travail)](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), [les documents](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) (playbooks) et la [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html). Les piles AWS CloudFormation sont construites à partir de pipelines et peuvent automatiser les tâches de déploiement et de gestion de votre infrastructure sans utiliser directement AWS Management Console ni les API.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Remplacer l'accès à la console : remplacez l'accès (protocole SSH ou RDP) aux instances depuis la console par AWS Systems Manager Run Command pour automatiser les tâches de gestion.
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
## Ressources
**Documents connexes :**
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS Systems Manager Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)
+ [Remplacement d'un hôte bastion par Amazon EC2 Systems Manager](https://aws.amazon.com/blogs/mt/replacing-a-bastion-host-with-amazon-ec2-systems-manager/)
+ [Présentation de la sécurité d'AWS Lambda](https://pages.awscloud.com/rs/112-TZM-766/images/Overview-AWS-Lambda-Security.pdf)
**Vidéos connexes :**
+ [Exécution de charges de travail à haute sécurité sur Amazon EKS](https://youtu.be/OWRWDXszR-4)
+ [Sécurisation des services sans serveur et de conteneur](https://youtu.be/kmSdyN9qiXY)
+ [Bonnes pratiques de sécurité pour le service des métadonnées d'instance Amazon EC2](https://youtu.be/2B5bhZzayjI)
**Exemples connexes :**
+ [Atelier : Déploiement automatisé d'un pare-feu d'application Web](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Web_Application_Firewall/README.html)
# SEC06-BP06 Valider l'intégrité des logiciels
Mettez en place des mécanismes (signature de code) pour confirmer que les logiciels, le code et les bibliothèques utilisés dans la charge de travail proviennent de sources fiables et n'ont pas été altérés. Par exemple, vous devez vérifier le certificat de signature de code des fichiers binaires et des scripts pour vérifier l'auteur, et vous assurer qu'il n'a pas été altéré depuis sa création par l'auteur. [AWS Signer](https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html) contribue à garantir la confiance et l'intégrité de votre code en gérant de manière centralisée le cycle de vie de la signature de code, y compris la certification de la signature et les clés publiques et privées. Vous pouvez apprendre à utiliser des modèles avancés et les bonnes pratiques en matière de signature de code avec [AWS Lambda](https://aws.amazon.com/blogs/security/best-practices-and-advanced-patterns-for-lambda-code-signing/). En outre, un total de contrôle du logiciel que vous téléchargez, comparé à celui du fournisseur, peut garantir qu'il n'a pas été altéré.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Étudier les mécanismes : la signature de code est un mécanisme qui peut être utilisé pour valider l'intégrité des logiciels.
+ [NIST : considérations de sécurité pour la signature de code](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.01262018.pdf)
## Ressources
**Documents connexes :**
+ [AWS Signer](https://docs.aws.amazon.com/signer/index.html)
+ [Nouveau : la signature de code, un contrôle de confiance et d'intégrité pour AWS Lambda](https://aws.amazon.com/blogs/aws/new-code-signing-a-trust-and-integrity-control-for-aws-lambda/)
# Protection des données
**Topics**
+ [SEC 7 Comment classer vos données ?](w2aac19b7c13b5.md)
+ [SEC 8 Comment protéger les données au repos ?](w2aac19b7c13b7.md)
+ [SEC 9 Comment protéger vos données en transit ?](w2aac19b7c13b9.md)
# SEC 7 Comment classer vos données ?
La classification des données fournit un moyen de classer les données en fonction de leur importance et de leur sensibilité afin de vous aider à déterminer les contrôles de protection et de conservation appropriés.
**Topics**
+ [SEC07-BP01 Identifier les données au sein de votre charge de travail](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Définir les contrôles de protection des données](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatiser l'identification et la classification](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Définir la gestion du cycle de vie des données](sec_data_classification_lifecycle_management.md)
# SEC07-BP01 Identifier les données au sein de votre charge de travail
vous devez comprendre le type et la classification des données que votre charge de travail traite, les processus métier associés, le propriétaire des données, les exigences légales et de conformité applicables, l'endroit où elles sont stockées et les contrôles qui en résultent et qui doivent être mis en œuvre. Il peut aussi s'agir des classifications pour indiquer si les données sont destinées à être accessibles au public, si elles sont à usage interne uniquement, comme c'est le cas des informations personnelles identifiables (IPI) des clients, ou si elles sont destinées à un accès plus restreint, comme la propriété intellectuelle, les données protégées par la loi ou sensibles, etc. En gérant avec soin un système de classification des données approprié, ainsi que le niveau de protection requis pour chaque charge de travail, vous pouvez définir les contrôles et le niveau d'accès ou de protection appropriés pour les données. Par exemple, le contenu public est accessible à tous, mais le contenu important est chiffré et stocké d'une manière protégée qui nécessite l'accès autorisé à une clé pour le déchiffrer.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Envisager la découverte des données avec Amazon Macie : Macie reconnaît les données sensibles telles que les données d'identification personnelle (PII) ou la propriété intellectuelle.
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
## Ressources
**Documents connexes :**
+ [Amazon Macie](Amazon%20Macie%20recognizes%20sensitive%20data%20such%20as%20personally%20identifiable%20information%20(PII)%20or%20intellectual%20property,)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Démarrer avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP02 Définir les contrôles de protection des données
Protégez les données en fonction de leur niveau de classification. Par exemple, sécurisez les données classées comme publiques à l'aide des recommandations pertinentes tout en protégeant les données sensibles grâce à des contrôles supplémentaires.
En utilisant des balises de ressource, des comptes AWS séparés par sensibilité (et éventuellement aussi pour chaque mise en garde, isolement ou communauté d'intérêt), les politiques IAM, les politiques de contrôle des services (SCP) AWS Organizations, AWS Key Management Service (AWS KMS) et AWS CloudHSM, vous pouvez définir et mettre en œuvre vos politiques de classification et de protection des données avec chiffrement. Par exemple, si vous disposez d'un projet avec des compartiments S3 qui contiennent des données hautement critiques ou des instances Amazon Elastic Compute Cloud (Amazon EC2) qui traitent des données confidentielles, ils peuvent être marqués avec une balise `Project=ABC` . Seule votre équipe immédiate sait ce que le code du projet signifie, et cela permet d'utiliser un contrôle d'accès basé sur les attributs. Vous pouvez définir des niveaux d'accès aux clés de chiffrement AWS KMS par le biais de politiques de clés et d'autorisations afin de garantir que seuls les services appropriés ont accès au contenu sensible par un mécanisme sécurisé. Si vous prenez des décisions d'autorisation basées sur des balises, vous devez vous assurer que les autorisations sur les balises sont définies de manière appropriée en utilisant des politiques de balises dans AWS Organizations.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Définir votre schéma d'identification et de classification des données : l'identification et la classification de vos données sont faites pour évaluer l'impact potentiel et le type de données que vous stockez et qui peut y accéder.
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ Découvrir les contrôles AWS disponibles : découvrez les contrôles de sécurité pour les services AWS que vous utilisez ou prévoyez d'utiliser. De nombreux services disposent d'une section relative à la sécurité dans leur documentation.
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider.
+ [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected)
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Démarrer avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
+ [Texte manquant](https://aws.amazon.com/compliance/)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP03 Automatiser l'identification et la classification
l'automatisation de l'identification et de la classification des données peut vous aider à mettre en œuvre les contrôles appropriés. Le recours à l'automatisation en la circonstance plutôt qu'à l'accès direct d'une personne réduit le risque d'erreur humaine et d'exposition. Vous devez évaluer, en utilisant un outil tel qu' [Amazon Macie](https://aws.amazon.com/macie/), qui utilise le machine learning pour découvrir, catégoriser et protéger les données sensibles dans AWS. Amazon Macie reconnaît les données sensibles en tant que données d'identification personnelle (PII) ou propriété intellectuelle, et génère des tableaux de bord et des alertes pour vous offrir de la visibilité sur les méthodes de déplacement ou d'accès à ces données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Utiliser l'inventaire Amazon Simple Storage Service (Amazon S3) : l'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets.
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Envisager Amazon Macie : Amazon Macie utilise le machine learning pour détecter et classer automatiquement les données stockées dans Amazon S3.
+ [Amazon Macie](https://aws.amazon.com/macie/)
## Ressources
**Documents connexes :**
+ [Amazon Macie](https://aws.amazon.com/macie/)
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC07-BP04 Définir la gestion du cycle de vie des données
votre stratégie de cycle de vie définie doit être basée sur le niveau de sensibilité, ainsi que sur les exigences légales et organisationnelles. Des aspects, tels que la durée de conservation des données, les processus de destruction des données, la gestion de l'accès aux données, la transformation des données et le partage des données, doivent être pris en compte. Lorsque vous choisissez une méthodologie de classification des données, équilibrez l'utilisabilité par rapport à l'accès. Vous devez également tenir compte des multiples niveaux d'accès et des nuances pour mettre en œuvre une approche sécurisée, mais toujours utilisable, pour chaque niveau. Utilisez toujours une approche de défense en profondeur et réduisez l'accès humain aux données et aux mécanismes de transformation, de suppression ou de copie des données. Par exemple, exigez que les utilisateurs s'authentifient d'une manière forte auprès d'une application, et donnez à l'application, plutôt qu'aux utilisateurs, l'autorisation d'accès requise pour effectuer une « action à distance ». En outre, veillez à ce que les utilisateurs proviennent d'un chemin de réseau approuvé et aient besoin d'un accès aux clés de déchiffrement. Utiliser des outils, tels que des tableaux de bord et des rapports automatisés, pour donner aux utilisateurs des informations à partir des données plutôt que de leur fournir un accès direct aux données.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Identifier les types de données : identifiez les types de données que vous stockez ou traitez dans votre charge de travail. Ces données peuvent être du texte, des images, des bases de données binaires, etc.
## Ressources
**Documents connexes :**
+ [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html)
+ [Mise en route avec Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html)
**Vidéos connexes :**
+ [Introducing the New Amazon Macie](https://youtu.be/I-ewoQekdXE)
# SEC 8 Comment protéger les données au repos ?
Protégez vos données au repos en mettant en œuvre plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.
**Topics**
+ [SEC08-BP01 Implémenter la gestion sécurisée des clés](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Appliquer le chiffrement au repos](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatiser la protection des données au repos](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Appliquer le contrôle d'accès](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données](sec_protect_data_rest_use_people_away.md)
# SEC08-BP01 Implémenter la gestion sécurisée des clés
En définissant une approche de chiffrement qui inclut le stockage, le renouvellement et le contrôle d'accès des clés, vous pouvez protéger votre contenu contre les utilisateurs non autorisés et une exposition inutile aux utilisateurs autorisés. AWS Key Management Service (AWS KMS) vous permet de gérer les clés de chiffrement et [s'intègre à de nombreux services AWS.](https://aws.amazon.com/kms/details/#integration). Ce service fournit un stockage durable, sécurisé et redondant pour vos clés AWS KMS. Vous pouvez définir vos alias de clé, ainsi que vos politiques au niveau des clés. Les stratégies vous permettent de définir des administrateurs de clé ainsi que des utilisateurs de clé. En outre, AWS CloudHSM est un module de sécurité matériel basé sur le cloud (HSM) qui vous permet de générer et d'utiliser facilement vos propres clés de chiffrement dans le AWS Cloud. Il vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données, en utilisant des modules de sécurité matériels (HSM) validés FIPS 140-2 niveau 3.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Implémenter AWS KMS : AWS KMS simplifie la création et la gestion des clés, ainsi que le contrôle de l'utilisation du chiffrement sur un large éventail de services AWS et dans vos applications. AWS KMS est un service sécurisé et résilient qui utilise les modules de sécurité matérielle validés selon la norme FIPS 140-2 pour protéger vos clés.
+ [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ Utiliser le kit SDK AWS Encryption : utilisez le kit SDK AWS Encryption avec intégration à AWS KMS lorsque votre application doit chiffrer les données côté client.
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
## Ressources
**Documents connexes :**
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)
+ [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP02 Appliquer le chiffrement au repos
Faites en sorte que le seul moyen de pouvoir stocker des données est de les chiffrer. AWS Key Management Service (AWS KMS) s'intègre en toute transparence à de nombreux services AWS pour vous permettre de chiffrer plus facilement toutes vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. En outre, [Les instances de serveur virtuel Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour [les volumes Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [les instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)et [des compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Imposer le chiffrement au repos pour Amazon Simple Storage Service (Amazon S3) : implémentez le chiffrement par défaut des compartiments Amazon S3.
+ [Comment activer le chiffrement par défaut pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ Utiliser AWS Secrets Manager : Secrets Manager est un service AWS qui facilite la gestion des secrets. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ Configurer le chiffrement par défaut pour les nouveaux volumes EBS : indiquez que vous souhaitez que tous les nouveaux volumes EBS soient créés sous forme chiffrée, avec la possibilité d'utiliser la clé par défaut fournie par AWS ou une clé que vous créez.
+ [Chiffrement par défaut pour les volumes EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ Configurer des Amazon Machine Images (AMI) chiffrées : la copie d'une AMI existante avec le chiffrement activé chiffrera automatiquement les volumes racine et les instantanés.
+ [AMI avec instantanés chiffrés](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ Configurer le chiffrement Amazon Relational Database Service (Amazon RDS) : configurez le chiffrement pour vos clusters de base de données Amazon RDS et vos instantanés au repos en activant l'option de chiffrement.
+ [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)
+ Configurer le chiffrement dans des services AWS supplémentaires : pour les services AWS que vous utilisez, déterminez les fonctionnalités de chiffrement.
+ [Documentation AWS](https://docs.aws.amazon.com/)
## Ressources
**Documents connexes :**
+ [AMI avec instantanés chiffrés](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html)
+ [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Documentation AWS](https://docs.aws.amazon.com/)
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
+ [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [AWS Key Management Service](https://aws.amazon.com/kms)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)
+ [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html)
+ [Chiffrement.Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)
+ [Chiffrement par défaut pour les volumes EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/)
+ [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [Comment activer le chiffrement par défaut pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html)
+ [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP03 Automatiser la protection des données au repos
utilisez des outils automatisés pour valider et faire respecter en permanence les contrôles des données au repos, par exemple en vérifiant qu'il n'y a que des ressources de stockage chiffrées. Vous pouvez [automatiser la validation du chiffrement de tous les volumes de données EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) en utilisant [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) peut également vérifier plusieurs contrôles différents via des vérifications automatisées par rapport aux normes de sécurité. De plus, AWS Config Rules peut [corriger les ressources non conformes automatiquement](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
*Données au repos* représentent toutes les données que vous conservez dans un stockage non volatil pendant toute la durée de votre charge de travail. Cela comprend le stockage par bloc, le stockage d'objets, les bases de données, les archives, les appareils IoT et tout autre support de stockage sur lequel les données sont conservées. La protection de vos données inactives permet de réduire le risque d'accès non autorisé, lorsque le chiffrement et les contrôles d'accès appropriés sont mis en place.
Appliquer le chiffrement au repos : vous devez faire en sorte que le seul moyen de stocker des données est de les chiffrer. AWS KMS s'intègre en toute transparence à de nombreux services AWS pour vous permettre de chiffrer plus facilement toutes vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. En outre, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [des règles de configuration gérées AWS](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour [les volumes EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [les instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)et [des compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html).
## Ressources
**Documents connexes :**
+ [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools)
+ [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP04 Appliquer le contrôle d'accès
Appliquez le contrôle d'accès avec un minimum de privilèges et de mécanismes, y compris les sauvegardes, l'isolation et le contrôle de version, pour aider à protéger vos données au repos. Empêchez les opérateurs d'accorder un accès public à vos données.
Différents contrôles, y compris l'accès (en utilisant le moindre privilège), les sauvegardes (voir le [livre blanc sur la fiabilité](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), l'isolation et la gestion des versions peuvent tous contribuer à protéger vos données au repos. L'accès à vos données doit être vérifié à l'aide des mécanismes de détection dont il a été question plus haut dans le présent document, notamment CloudTrail, et le journal des niveaux de service, comme les journaux d'accès Amazon Simple Storage Service (Amazon S3). Vous devez faire l'inventaire des données accessibles au public et prévoir comment vous pouvez réduire la quantité de données disponibles au fil du temps. Amazon Glacier Vault Lock et Amazon S3 Object Lock sont des fonctionnalités qui fournissent un contrôle d'accès obligatoire. Lorsqu'une politique de coffre est verrouillée avec l'option de conformité, même l'utilisateur racine ne peut pas la modifier avant l'expiration du verrouillage. Ce mécanisme répond aux exigences de la SEC, de la CFTC et de la FINRA en matière de gestion des livres et des enregistrements. Pour en savoir plus, voir [ce livre blanc](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Appliquer le contrôle d'accès : appliquez le contrôle d'accès avec le principe du moindre privilège, y compris l'accès aux clés de chiffrement.
+ [Gestion des autorisations d'accès à vos ressources Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ Séparer les données selon différents niveaux de classification : utilisez des Comptes AWS différents pour les niveaux de classification des données gérés par AWS Organizations.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ Vérifier les politiques AWS KMS : examinez le niveau d'accès accordé dans les politiques AWS KMS.
+ [Présentation de la gestion des accès aux ressources AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ Examiner les autorisations de compartiment et d'objet Amazon S3 : examinez régulièrement le niveau d'accès accordé dans les règles de compartiment Amazon S3. Une bonne pratique consiste à ne pas avoir des compartiments publiquement accessibles en lecture ou en écriture. Pensez à utiliser AWS Config pour détecter les compartiments qui sont publiquement disponibles et Amazon CloudFront pour diffuser du contenu à partir d'Amazon S3.
+ [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \$1 Amazon CloudFront : la combinaison parfaite dans le cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ Activez la gestion des versions Amazon S3 et le verrouillage des objets.
+ [Utilisation de la gestion des versions](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [Verrouillage d'objets avec Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ Utiliser l'inventaire Amazon S3 : l'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets.
+ [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)
+ Passer en revue les autorisations de partage Amazon EBS et AMI : les autorisations de partage permettent aux images et aux volumes d'être partagés avec des Comptes AWS en dehors de votre charge de travail.
+ [Partage d'un instantané Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [AMI partagées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
## Ressources
**Documents connexes :**
+ [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vidéos connexes :**
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données
Empêchez tous les utilisateurs d'accéder directement aux données et systèmes sensibles dans des circonstances opérationnelles normales. Par exemple, utilisez un flux de travail de gestion des changements pour gérer les instances Amazon Elastic Compute Cloud (Amazon EC2) avec des outils au lieu d'autoriser un accès direct ou un hôte bastion. Pour ce faire, recourez à [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), qui utilise des [documents d'automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) contenant les étapes nécessaires pour effectuer les tâches. Ces documents peuvent être stockés dans un système de contrôle de source, être examinés par des pairs avant l'exécution et être testés minutieusement pour minimiser les risques par rapport à un accès shell. Les utilisateurs de l'entreprise peuvent disposer d'un tableau de bord au lieu d'un accès direct à un magasin de données afin d'effectuer des requêtes. Lorsque des pipelines CI/CD ne sont pas utilisés, identifiez les contrôles et processus nécessaires pour fournir de manière adéquate un mécanisme alternatif normalement désactivé.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Implémenter des mécanismes pour protéger l'accès aux données : ces mécanismes incluent l'utilisation de tableaux de bord comme Quick pour présenter les données aux utilisateurs au lieu d'envoyer des requêtes directement.
+ [Quick](https://aws.amazon.com/quicksight/)
+ Automatisez la gestion de la configuration : effectuez des actions à distance, appliquez et validez automatiquement des configurations sécurisées en utilisant un service ou un outil de gestion de configuration. Évitez d'utiliser des hôtes bastion ou d'accéder directement aux instances EC2.
+ [AWS Systems Manager](https://aws.amazon.com/systems-manager/)
+ [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
+ [Pipeline CI/CD pour les modèles AWS CloudFormation sur AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/)
## Ressources
**Documents connexes :**
+ [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
**Vidéos connexes :**
+ [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM)
+ [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)
# SEC 9 Comment protéger vos données en transit ?
Protégez vos données en transit en mettant en œuvre plusieurs contrôles afin de réduire le risque d'accès non autorisé ou de perte.
**Topics**
+ [SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Appliquer le chiffrement en transit](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Automatiser la détection des accès involontaires aux données](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 Authentifier les communications réseau](sec_protect_data_transit_authentication.md)
# SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats
stockez les clés et les certificats de chiffrement en toute sécurité et renouvelez-les selon le cycle approprié avec un contrôle d'accès strict. Le moyen le plus efficace consiste à utiliser un service géré tel qu' [AWS Certificate Manager (ACM)](http://aws.amazon.com/certificate-manager). Il permet de fournir, de gérer et de déployer facilement des certificats de sécurité TLS (Transport Layer Security) publics et privés à utiliser avec les services AWS et vos ressources internes connectées. Les certificats TLS servent à sécuriser les communications réseau et à établir l'identité des sites Web sur Internet et des ressources sur les réseaux privés. ACM s'intègre aux ressources AWS, telles que les Elastic Load Balancers (ELBs), les distributions AWS et les API sur API Gateway, en gérant également les renouvellements automatiques des certificats. Si vous utilisez ACM pour déployer une autorité de certification (CA) racine privée, celle-ci peut fournir à la fois des certificats et des clés privées à utiliser dans les instances Amazon Elastic Compute Cloud (Amazon EC2) , conteneurs, etc.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Mettre en œuvre la gestion sécurisée des clés et des certificats : implémentez votre solution de gestion sécurisée des clés et des certificats.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [ Comment héberger et gérer une infrastructure complète de certificats privés dans AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que Transport Layer Security (TLS) ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la documentation AWS pour connaître les protocoles et la sécurité adaptés aux services que vous utilisez.
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
# SEC09-BP02 Appliquer le chiffrement en transit
Appliquez vos exigences de chiffrement définies en fonction des normes et recommandations appropriées afin de respecter vos exigences organisationnelles, légales et de conformité. Les services AWS fournissent des points de terminaison HTTPS utilisant TLS pour la communication, ce qui assure le chiffrement en transit lors de la communication avec les API AWS. Les protocoles non sécurisés, tels que HTTP, peuvent être contrôlés et bloqués dans un VPC à l'aide de groupes de sécurité. Les requêtes HTTP peuvent également être [redirigées automatiquement vers HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) dans Amazon CloudFront ou sur un [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Vous disposez d'un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l'ensemble de vos services. De plus, vous pouvez utiliser la connectivité VPN dans votre VPC à partir d'un réseau externe pour faciliter le chiffrement du trafic. Des solutions tierces sont disponibles sur AWS Marketplace si vous avez des exigences particulières.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Appliquer le chiffrement en transit : vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez uniquement un groupe de sécurité pour autoriser le protocole HTTPS pour un équilibreur de charge d'application ou une instance Amazon Elastic Compute Cloud (Amazon EC2).
+ Configurer des protocoles sécurisés dans les services périphériques : configurez HTTPS avec Amazon CloudFront et les chiffrements requis.
+ [ Utilisation de HTTPS avec CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ Utiliser un VPN pour la connectivité externe : envisagez d'utiliser un réseau privé virtuel (VPN) IPsec pour sécuriser les connexions point à point ou réseau à réseau afin d'assurer à la fois la confidentialité et l'intégrité des données.
+ [ Connexions VPN ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ Configurer des protocoles sécurisés dans les équilibreurs de charge : activez l'écouteur HTTPS pour sécuriser les connexions aux équilibreurs de charge.
+ [ Écouteurs HTTPS pour votre Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ Configurer des protocoles sécurisés pour les instances : envisagez de configurer le chiffrement HTTPS sur les instances.
+ [ Tutoriel : configurer le serveur web Apache sur Amazon Linux 2 pour utiliser SSL/TLS ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Configurer des protocoles sécurisés dans Amazon Relational Database Service (Amazon RDS) : utilisez Secure Socket Layer (SSL) ou Transport Layer Security (TLS) pour chiffrer la connexion aux instances de base de données.
+ [ Utilisation de SSL pour chiffrer une connexion à une instance de base de données ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Configurer des protocoles sécurisés dans Amazon Redshift : configurez votre cluster pour exiger une connexion SSL (Secure Socket Layer) ou TLS (Transport Layer Security).
+ [ Configure security options for connections ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ Configurer des protocoles sécurisés dans des services AWS supplémentaires. Pour les services AWS que vous utilisez, déterminez les fonctionnalités de chiffrement en transit.
## Ressources
**Documents connexes :**
+ [ Documentation AWS](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 Automatiser la détection des accès involontaires aux données
Utilisez des outils comme Amazon GuardDuty pour détecter automatiquement les activités suspectes ou les tentatives de déplacement de données en dehors des limites définies. Par exemple, GuardDuty peut détecter une activité de lecture Amazon Simple Storage Service (Amazon S3) inhabituelle [avec le résultat Exfiltration:S3/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). Outre GuardDuty, [les journaux de flux Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html), qui capture des informations sur le trafic réseau, peuvent être utilisés avec Amazon EventBridge pour déclencher la détection des connexions anormales, qu'elles aboutissent ou non. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) peut vous aider à déterminer les données accessibles aux utilisateurs de vos compartiments Amazon S3.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Automatiser la détection de l'accès involontaire aux données : utilisez un outil ou un mécanisme de détection pour identifier automatiquement les tentatives de déplacement des données en dehors des limites définies, par exemple, pour détecter un système de base de données qui copie des données vers un hôte non reconnu.
+ [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Envisager Amazon Macie : Amazon Macie est un service de sécurité et de confidentialité des données entièrement géré qui utilise le machine learning et la comparaison de modèles pour découvrir et protéger vos données sensibles dans AWS.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## Ressources
**Documents connexes :**
+ [ Journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 Authentifier les communications réseau
Vérifiez l'identité des communications à l'aide de protocoles comme TLS (Transport Layer Security) ou IPsec qui prennent en charge l'authentification.
L'utilisation de protocoles réseau qui prennent en charge l'authentification permet d'établir une relation de confiance entre les parties. Cela complète le chiffrement utilisé dans le protocole pour réduire les risques de modification ou d'interception des communications. Les protocoles courants qui mettent en œuvre l'authentification incluent le protocole TLS (Transport Layer Security), utilisé dans de nombreux services AWS, et IPsec, utilisé dans [AWS Virtual Private Network (Site-to-Site VPN)](http://aws.amazon.com/vpn).
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Implémenter des protocoles sécurisés : utilisez des protocoles sécurisés qui offrent authentification et confidentialité, tels que TLS ou IPsec, pour réduire le risque de falsification ou de perte de données. Consultez la [documentation AWS](https://docs.aws.amazon.com/) pour connaître les protocoles et la sécurité relatifs aux services que vous utilisez.
## Ressources
**Documents connexes :**
+ [Documentation AWS](https://docs.aws.amazon.com/)
# Réponse aux incidents
**Topics**
+ [SEC 10 Comment anticiper les incidents, y répondre et reprendre les activités par la suite ?](w2aac19b7c15b5.md)
# SEC 10 Comment anticiper les incidents, y répondre et reprendre les activités par la suite ?
La préparation est essentielle pour une enquête rapide et efficace, une réponse et une reprise en cas d'incidents de sécurité, afin de minimiser les perturbations pour votre organisation.
**Topics**
+ [SEC10-BP01 Identifier les postes clés internes ainsi que les principales ressources externes](sec_incident_response_identify_personnel.md)
+ [SEC10-BP02 Développer des plans de gestion des incidents](sec_incident_response_develop_management_plans.md)
+ [SEC10-BP03 Préparer les fonctionnalités d'analyse poussée](sec_incident_response_prepare_forensic.md)
+ [SEC10-BP04 Automatiser la fonctionnalité de confinement](sec_incident_response_auto_contain.md)
+ [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md)
+ [SEC10-BP06 Prédéployer les outils](sec_incident_response_pre_deploy_tools.md)
+ [SEC10-BP07 Organiser des jeux de rôle](sec_incident_response_run_game_days.md)
# SEC10-BP01 Identifier les postes clés internes ainsi que les principales ressources externes
Identifiez les postes clés internes et externes, les ressources et les obligations légales qui aideront votre organisation à réagir en cas d'incident.
Lorsque vous définissez votre approche de la réponse aux incidents dans le cloud, à l'unisson avec d'autres équipes (telles que votre conseiller juridique, vos dirigeants, les parties prenantes de l'entreprise, les services AWS Support, etc.), vous devez identifier le personnel clé, les parties prenantes et les contacts pertinents. Pour réduire la dépendance et le temps de réponse, veillez à ce que votre équipe, les équipes de sécurité spécialisées et les intervenants soient formés aux services que vous utilisez et aient la possibilité d'effectuer des exercices pratiques.
Nous vous encourageons à identifier des partenaires de sécurité AWS externes qui peuvent vous fournir une expertise extérieure et une perspective différente pour augmenter vos capacités d'intervention. Vos partenaires de sécurité de confiance peuvent vous aider à identifier des risques ou des menaces potentiels que vous ne connaissez peut-être pas.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit
## Directives d'implémentation
+ Identifier les postes clés au sein de votre organisation : tenez à jour une liste des employés au sein de votre organisation que vous devez impliquer pour réagir et vous remettre après un incident.
+ Identifier les partenaires externes : collaborez le cas échéant avec des partenaires externes qui pourront vous aider à réagir et à reprendre après un incident.
## Ressources
**Documents connexes :**
+ [Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vidéos connexes :**
+ [Prepare for and respond to security incidents in your AWS environment ](https://youtu.be/8uiO0Z5meCs)
**Exemples connexes :**
# SEC10-BP02 Développer des plans de gestion des incidents
Créez des plans pour vous aider à réagir, à communiquer pendant un incident et rétablir les opérations. À titre d'exemple, vous pouvez lancer un plan d'intervention en cas d'incident avec les scénarios les plus probables pour votre charge de travail et votre organisation. Incluez la façon dont vous devez communiquer et transmettre les situations aux paliers supérieurs en interne et en externe.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Un plan de gestion des incidents est essentiel pour réagir, atténuer et se remettre des répercussions potentielles des incidents de sécurité. Un plan de gestion des incidents est un processus structuré qui permet d'identifier les incidents de sécurité, d'y remédier et d'y répondre rapidement.
Le cloud comporte un grand nombre de rôles et exigences opérationnels identiques à ceux d'un environnement sur site. Lorsque vous créez un plan de gestion des incidents, il est important de tenir compte des stratégies d'intervention et de récupération qui correspondent le mieux aux résultats opérationnels et aux exigences de conformité. Par exemple, si vous exécutez des charges de travail dans AWS qui sont conformes à FedRAMP aux États-Unis, il est utile de respecter [NIST SP 800-61 Computer Security Handling Guide](https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf). De la même manière, lorsque vous exécutez des charges de travail avec des données européennes personnellement identifiables, envisagez des scénarios tels que la façon dont vous pourriez protéger les données et résoudre des problèmes liés à la résidence des données, comme l'exige [le Règlement Général sur la Protection des Données (RGPD)](https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-does-general-data-protection-regulation-gdpr-govern_en).
Lorsque vous élaborez un plan de gestion des incidents pour vos charges de travail exécutées dans AWS, commencez par le [Modèle de responsabilité partagée AWS,](https://aws.amazon.com/compliance/shared-responsibility-model/)afin de créer une approche de défense en profondeur en matière de réponse aux incidents. Dans le cadre de ce modèle, AWS gère la sécurité du cloud et vous êtes responsables de la sécurité dans le cloud. Cela signifie que vous conservez le contrôle et que vous êtes responsable des contrôles de sécurité que vous choisissez d'implémenter. L' [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) détaille les concepts clés et les conseils de base pour l'élaboration d'un plan de gestion des incidents axé sur le cloud.
Un plan de gestion des incidents efficace doit être répété constamment, tout en poursuivant votre objectif d'opérations dans le cloud. Envisagez d'utiliser les plans d'implémentation décrits ci-dessous pour créer et faire évoluer votre plan de gestion des incidents.
+ **Éduquez et formez aux réponses aux incidents :** en cas d'écart par rapport à votre base de référence définie (par exemple, un déploiement erroné ou une mauvaise configuration), il est possible que vous ayez besoin d'intervenir et d'analyser. Pour y parvenir, vous devez comprendre les contrôles et les capacités que vous pouvez utiliser afin d'intervenir en cas d'incident de sécurité dans votre environnement AWS, ainsi que les processus que vous devez envisager pour préparer, éduquer et former vos équipes cloud participant à une réponse face à un incident.
+ [Les playbooks](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_playbooks.html) et [les runbooks](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_ready_to_support_use_runbooks.html) sont des mécanismes efficaces pour assurer l'uniformité de la formation sur les réponses aux incidents. Commencez par dresser une liste initiale des procédures fréquemment exécutées lors d'une réponse aux incidents, puis continuez à itérer à mesure que vous apprenez ou utilisez de nouvelles procédures.
+ Socialisez les playbooks et les runbooks via des [tests de simulation de pannes planifiés](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html). Pendant les test de simulation de pannes, simulez la réponse à un incident dans un environnement contrôlé afin que votre équipe puisse se rappeler les mesures à prendre et pour vérifier que les équipes impliquées dans la réponse aux incidents connaissent bien les flux de travail. Examinez les résultats de l'événement simulé afin d'identifier les améliorations et de déterminer le besoin en formation complémentaire ou en outils supplémentaires.
+ Chacun doit se sentir responsable de la sécurité. Créez une connaissance collective du processus de gestion des incidents en faisant appel à tout le personnel qui exécute normalement vos charges de travail. Cela inclut tous les aspects de votre activité : les opérations, les tests, le développement, la sécurité, les opérations métier et les responsables.
+ **Documentez le plan de gestion des incidents :** documentez les outils et le processus pour consigner les incidents actifs, les corriger, communiquer les progrès réalisés et transmettre des notifications à leur sujet. L'objectif du plan de gestion des incidents est de vérifier que le fonctionnement normal est rétabli le plus rapidement possible, que les répercussions sur les activités sont réduites au minimum et que toutes les parties concernées sont informées. Les exemples d'incidents incluent notamment la perte ou la dégradation de la connectivité du réseau, un processus ou une API non réactif(ve), une tâche planifiée non exécutée (par exemple, un correctif défaillant), l'indisponibilité des données ou du service de l'application, une interruption de service imprévue en raison d'événements de sécurité, des fuites d'informations d'identification ou des erreurs de configuration.
+ Identifiez le propriétaire principal responsable de la résolution des incidents, par exemple le propriétaire de la charge de travail. Établissez des directives claires relatives à la personne chargée de diriger l'incident et à la gestion de la communication. Lorsque plusieurs intervenants participent au processus de résolution des incidents, par exemple un fournisseur externe, pensez à créer une *matrice des responsabilités (RACI)*décrivant les rôles et les responsabilités de diverses équipes ou personnes nécessaires à la résolution des incidents.
Une matrice RACI explore les points suivants :
+ **R :** *un tiers responsable* qui fait le travail pour accomplir la tâche.
+ **A :** *un tiers ou une partie prenante ayant l'autorité* finale en ce qui concerne la réussite de la tâche spécifique.
+ **C :** *un tiers consulté* dont les opinions sont sollicitées, généralement à titre d'expert en la matière.
+ **I :** *un tiers informé* de la progression, généralement une fois la tâche ou le produit livrable terminé(e).
+ **Catégorisez les incidents :** la définition et la catégorisation des incidents en fonction de leur gravité et de leur incidence permettent d'adopter une approche structurée pour trier et résoudre les incidents. Les recommandations suivantes illustrent une *matrice d'urgence de l'impact à la résolution* afin de quantifier un incident. Par exemple, un incident dont l'impact et l'urgence sont faibles est considéré comme un incident de faible gravité.
+ **Élevé (H) :** l'impact sur votre entreprise est important. Des fonctions critiques de votre application liées aux ressources AWS ne sont pas disponibles. Réservé aux événements les plus critiques affectant les systèmes de production. L'impact de l'incident augmente rapidement, les mesures correctives étant urgentes.
+ **Moyen (M) :** un service ou une application d'entreprise lié aux ressources AWS est modérément touché et fonctionne dans un état dégradé. Les applications qui contribuent aux objectifs de niveau de service (SLO) sont touchées dans les limites du contrat de niveau de service (SLA). Les systèmes peuvent fonctionner avec une capacité réduite sans que cela ait un impact important du point de vue financier et de la réputation.
+ **Faible (L) :** des fonctions non-critiques de votre application ou service métier en lien avec les ressources AWS sont impactées. Les systèmes peuvent fonctionner avec une capacité réduite et un impact minimal du point de vue financier et de la réputation.
+ **Standardisez les contrôles de sécurité :** la standardisation des contrôles de sécurité vise à garantir l'uniformité, la traçabilité et la répétabilité des résultats opérationnels. Standardisez les principales activités qui jouent un rôle essentiel dans la réponse aux incidents, notamment :
+ **Gestion des identités et des accès :** mettez en place des mécanismes de contrôle de l'accès à vos données et de gestion des privilèges pour les identités humaines et machine. Étendez votre propre gestion des identités et des accès au cloud en utilisant une sécurité fédérée avec une authentification unique et des privilèges basés sur les rôles pour optimiser la gestion des accès. Pour obtenir des recommandations en matière de bonnes pratiques et des plans d'amélioration visant à standardiser la gestion des accès, consultez la [section consacrée à la gestion des identités et des accès](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-and-access-management.html) dans le livre blanc du pilier Sécurité
+ **Gestion des vulnérabilités :** mettez en place des mécanismes pour identifier les vulnérabilités dans votre environnement AWS qui sont susceptibles d'être utilisées par les attaquants afin de compromettre votre système et de l'utiliser à mauvais escient. Implémentez des contrôles matures en matière de prévention et de détection en tant que mécanismes de sécurité permettant de répondre aux incidents de sécurité et d'en atténuer l'impact potentiel. Standardisez les processus tels que la modélisation des menaces dans le cadre de la création de votre infrastructure et du cycle de vie de la livraison des applications.
+ **Gestion de la configuration :** définissez des configurations standard et automatisez les procédures de déploiement des ressources dans le AWS Cloud. La standardisation de l'infrastructure et de la mise en service des ressources permet d'atténuer le risque d'erreurs de configuration dues à des déploiements erronés ou à des erreurs humaines accidentelles. Reportez-vous à [la section sur les principes de conception](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/design-principles.html) du livre blanc Pilier de l'excellence opérationnelle afin de consulter des conseils et des plans d'amélioration relatifs à l'implémentation de ce contrôle.
+ **Journalisation et surveillance pour le contrôle d'audit :** implémentez des mécanismes permettant de surveiller vos ressources en cas de défaillances, de dégradation des performances et de problèmes de sécurité. La standardisation de ces contrôles fournit également des pistes d'audit des activités qui se déroulent dans votre système, ce qui facilite le triage et la résolution rapides des problèmes. Les bonnes pratiques conformément à [SEC04 Comment détecter et enquêter sur les événements de sécurité ?](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) fournissent des conseils pour implémenter ce contrôle.
+ **Utilisez l'automatisation :** L'automatisation permet de résoudre rapidement les incidents à grande échelle. AWS fournit plusieurs services à automatiser dans le contexte de la stratégie de réponse aux incidents. Concentrez-vous sur la recherche d'un équilibre approprié entre l'automatisation et l'intervention manuelle. Lorsque vous créez votre réponse aux incidents dans des playbooks et des runbooks, automatisez les étapes reproductibles. Utilisez des services AWS tels qu'AWS Systems Manager Incident Manager pour [résoudre des incidents informatiques plus rapidement](https://aws.amazon.com/blogs/aws/resolve-it-incidents-faster-with-incident-manager-a-new-capability-of-aws-systems-manager/). Utilisez [les outils pour développeurs](https://aws.amazon.com/devops/) afin de fournir le contrôle des versions et d'automatiser [Amazon Machine Images (AMI)](https://aws.amazon.com/amis/) et les déploiements d'infrastructure en tant que code (IaC) sans intervention humaine. Lorsque c'est possible, automatisez la détection et l'évaluation de la conformité à l'aide de services gérés tels qu'Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM, AWS Config et Amazon Macie. Optimisez les capacités de détection grâce au machine learning comme Amazon DevOps Guru qui permet de détecter les problèmes de modèles de fonctionnement anormal avant qu'ils ne surviennent.
+ **Effectuez une analyse des causes racines et tirez des leçons :** implémentez des mécanismes pour tirer des enseignements dans le cadre d'un examen de la réponse après l'incident. Lorsque la cause racine d'un incident révèle un défaut plus important, un défaut de conception, une mauvaise configuration ou une possibilité de récidive, l'incident est classé dans la catégorie des problèmes. Dans ces cas de figure, analysez et résolvez le problème afin de minimiser la perturbation des opérations normales.
## Ressources
**Documents connexes :**
+ [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [ NIST: Computer Security Incident Handling Guide ](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
**Vidéos connexes :**
+ [Automating Incident Response and Forensics in AWS](https://youtu.be/f_EcwmmXkXk)
+ [ DIY guide to runbooks, incident reports, and incident response ](https://www.youtube.com/watch?v=E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Exemples connexes :**
+ [Atelier : playbook de réponse aux incidents avec Jupyter - AWS IAM](https://www.wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Atelier : Incident Response with AWS Console and CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP03 Préparer les fonctionnalités d'analyse poussée
Il est important que ceux qui traitent les incidents comprennent quand et comment l'analyse poussée s'intègre dans votre plan d'intervention. Votre organisation doit définir quelles preuves sont collectées et quels outils sont utilisés dans le processus. Identifiez et préparez les capacités de mener des enquêtes pointues qui conviennent, y compris les spécialistes externes, les outils et l'automatisation. Parmi les décisions clés que vous devez prendre dès le départ, déterminez si vous collecterez les données à partir d'un système en direct. Certaines données, telles que le contenu de la mémoire volatile ou les connexions réseau actives, seront perdues si le système est éteint ou redémarré.
Votre équipe d'intervention peut combiner des outils, comme AWS Systems Manager, Amazon EventBridge et AWS Lambda, pour exécuter automatiquement des outils d'analyse dans un système d'exploitation et la mise en miroir du trafic VPC pour obtenir une capture des paquets réseau, afin de recueillir des preuves non persistantes. Effectuez d'autres activités, telles que l'analyse des journaux ou l'analyse des images de disque, dans un compte de sécurité dédié avec des postes de travail et des outils d'analyse personnalisés accessibles aux intervenants.
Expédiez régulièrement les journaux pertinents vers un magasin de données offrant une durabilité et une intégrité élevées. Les intervenants doivent avoir accès à ces journaux. AWS propose plusieurs outils qui peuvent faciliter l'examen des journaux, tels qu'Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) et Amazon CloudWatch Logs Insights. De plus, conservez les preuves en sécurité à l'aide d'Amazon Simple Storage Service (Amazon S3) Object Lock. Ce service suit le modèle WORM (write-once-read-many) et empêche la suppression ou l'écrasement d'objets pendant une période définie. Étant donné que les techniques d'investigation nécessitent une formation spécialisée, vous devrez peut-être engager des spécialistes externes.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Identifier les fonctionnalités d'analyse : recherchez les fonctionnalités d'analyse poussée de votre organisation, les outils disponibles et les spécialistes externes.
+ [Automatisation de la réponse aux incidents et investigations ](https://youtu.be/f_EcwmmXkXk)
## Ressources
**Documents connexes :**
+ [Comment automatiser la collecte de disques d'analyse dans AWS](https://aws.amazon.com/blogs/security/how-to-automate-forensic-disk-collection-in-aws/)
# SEC10-BP04 Automatiser la fonctionnalité de confinement
Automatisez le confinement d'un incident et la reprise pour réduire les temps de réponse et l'impact sur votre organisation.
Une fois que vous avez créé et mis en pratique les processus et les outils de vos playbooks, vous pouvez déconstruire la logique en une solution basée sur le code, qui peut être utilisée comme outil par de nombreux intervenants pour automatiser la réponse et supprimer les écarts ou les conjectures de vos intervenants. Cela peut accélérer le cycle de vie d'une réponse. L'objectif suivant est de permettre à ce code d'être entièrement automatisé en étant appelé par les alertes ou les événements eux-mêmes, plutôt que par un intervenant humain, pour créer une réponse déclenchée par l'événement. Ces processus doivent également ajouter automatiquement des données pertinentes à vos systèmes de sécurité. Par exemple, un incident impliquant du trafic provenant d'une adresse IP indésirable peut renseigner automatiquement une liste de blocage AWS WAF ou un groupe de règles de pare-feu réseau pour empêcher toute activité similaire ultérieure.
![\[AWS architecture diagram showing WAF WebACL logs processing and IP address blocking flow between accounts.\]](http://docs.aws.amazon.com/fr_fr/wellarchitected/2022-03-31/framework/images/aws-waf-automate-block.png)
*Figure 3 : AWS WAF automatise le blocage des adresses IP malveillantes connues*
Avec un système de réponse déclenché par l'événement, un mécanisme de détection déclenche un mécanisme réactif pour répondre automatiquement à l'événement. Vous pouvez utiliser des fonctionnalités de réaction déclenchées par des événements pour réduire le délai entre les mécanismes de détection et les mécanismes de réaction. Pour créer cette architecture événementielle, vous pouvez utiliser AWS Lambda, un service de calcul sans serveur qui exécute votre code en réponse à des événements et gère automatiquement les ressources de calcul sous-jacentes. Supposons que disposez d'un compte AWS avec le service AWS CloudTrail activé. Si AWS CloudTrail est désactivé (via l'appel d'API `cloudtrail:StopLogging` ), vous pouvez utiliser Amazon EventBridge pour surveiller l'événement `cloudtrail:StopLogging` et appeler une fonction AWS Lambda pour appeler `cloudtrail:StartLogging` afin de redémarrer la journalisation.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
Automatisez la fonctionnalité de confinement.
## Ressources
**Documents connexes :**
+ [ Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vidéos connexes :**
+ [Prepare for and respond to security incidents in your AWS environment](https://youtu.be/8uiO0Z5meCs)
# SEC10-BP05 Préallouer les accès
Vérifiez que les intervenants en cas d'incident disposent du bon accès préalablement alloué dans AWS afin de réduire le temps d'investigation jusqu'à la reprise.
**Anti-modèles courants :**
+ Utilisation du compte racine pour la réponse aux incidents.
+ Modification des comptes utilisateur existants.
+ Manipulation des autorisations IAM directement lors de la fourniture d'une élévation de privilèges juste-à-temps.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
AWS recommande de réduire ou de supprimer l'utilisation des informations d'identification durables dans la mesure du possible et de privilégier les informations d'identification temporaire à la place, ainsi que *les mécanismes d'élévation* des privilèges juste-à-temps. Les informations d'identification durables sont sujettes aux risques de sécurité et augmentent les frais généraux opérationnels. Pour la plupart des tâches de gestion et de réponse aux incidents, nous vous recommandons de mettre en œuvre [la fédération d'identité](https://docs.aws.amazon.com/identity/federation/) parallèlement [à l'élévation temporaire pour l'accès administratif](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/). Dans le cadre de ce modèle, un utilisateur demande une élévation à un niveau de privilège plus élevé (par exemple un rôle de réponse aux incidents) et, si l'utilisateur est admissible à cette élévation, une demande est envoyée à un approbateur. Si la demande est approuvée, l'utilisateur reçoit un ensemble [d'informations d'identification AWS temporaires](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) qui peuvent être utilisées afin d'exécuter les tâches. Une fois que ces informations d'identification ont expiré, l'utilisateur doit soumettre une nouvelle demande d'élévation.
Nous vous recommandons d'utiliser une élévation temporaire des privilèges dans la plupart des cas de réponse aux incidents. Dans cette optique, la meilleure solution consiste à utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) et [les politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) afin de délimiter l'accès.
Dans certains cas, les identités fédérées ne sont pas disponibles, par exemple :
+ Panne liée à la compromission d'un fournisseur d'identité (IdP).
+ Mauvaise configuration ou erreur humaine entraînant la panne d'un système de gestion d'accès fédéré.
+ Activité malveillante, par exemple un déni de service distribué (DDoS) ou une indisponibilité du système.
Dans les cas précédents, il doit y avoir un accès d'urgence *de type Break Glass* configuré afin de permettre l'analyse et la correction rapide des incidents. Nous vous recommandons également d'utiliser [un utilisateur IAM disposant des autorisations appropriées](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) pour effectuer des tâches et accéder aux ressources AWS. Utilisez des informations d'identification racine uniquement pour [les tâches qui requièrent un accès en tant qu'utilisateur root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Pour vérifier que les intervenants en cas d'incident disposent d'un niveau d'accès approprié à AWS et aux autres systèmes pertinents, nous vous recommandons de pré-allouer des comptes utilisateur dédiés. Les comptes utilisateur requièrent un accès privilégié et doivent être étroitement contrôlés et surveillés. Les comptes doivent être créés avec le moins de privilèges requis pour effectuer les tâches nécessaires et le niveau d'accès doit être basé sur les playbooks créés dans le cadre du plan de gestion des incidents.
Utilisez des utilisateurs et des rôles spécialement conçus et dédiés au titre de bonne pratique. L'élévation temporaire de l'accès des utilisateurs ou des rôles via l'ajout de politiques IAM ne permet pas de savoir clairement de quel type d'accès bénéficiaient les utilisateurs pendant l'incident et peut empêcher la révocation des privilèges élevés au niveau supérieur.
Il est important de supprimer autant de dépendances que possible afin de vérifier que l'accès peut être obtenu dans le plus grand nombre possible de scénarios de défaillance. Afin de vous faciliter la tâche, créez un playbook permettant de vérifier que les utilisateurs chargés des réponses en cas d'incident ont été créés en tant qu'utilisateurs Gestion des identités et des accès AWS dans un compte de sécurité dédié et qu'ils ne sont pas gérés via une solution d'authentification unique ou de fédération existante. Chaque intervenant en cas d'incident doit avoir son propre compte nommé. La configuration du compte doit appliquer [une politique stricte de gestion des mots de passe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) et une authentification multifactorielle (MFA). Si les playbooks de réponse aux incidents ne nécessitent qu'un accès à la AWS Management Console, l'utilisateur ne doit pas avoir de clés d'accès configurées et il doit lui être explicitement interdit de créer des clés d'accès. Cela peut être configuré avec des politiquesIAM ou des politiques de contrôle de service (SCP), comme mentionné dans les bonnes pratiques de sécurité AWS pour [les SCP AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Les utilisateurs ne doivent pas avoir d'autres privilèges que la capacité d'assumer des rôles de réponse aux incidents dans d'autres comptes.
Pendant un incident, il peut être nécessaire d'accorder l'accès à d'autres personnes internes ou externes afin de prendre en charge les activités d'analyse, de correction ou de reprise. Dans ce cas, utilisez le mécanisme de playbook mentionné précédemment. Celui-ci doit comporter un processus permettant de s'assurer que tout accès supplémentaire est révoqué immédiatement après l'incident.
Pour s'assurer que l'utilisation des rôles de réponse aux incidents peut être correctement surveillée et vérifiée, il est essentiel que les comptes utilisateur IAM créés à cette fin ne soient pas partagés entre les personnes et que l'utilisateur root Compte AWS ne soit pas utilisé, sauf si [cela s'avère nécessaire pour une tâche spécifique](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html). Si l'utilisateur root est requis (par exemple, l'accès IAM à un compte spécifique n'est pas disponible), utilisez un processus distinct avec un playbook disponible afin de vérifier la disponibilité du mot de passe utilisateur root et du jeton d'authentification multifactorielle.
Pour configurer les politiques IAM des rôles de réponse aux incidents, pensez à utiliser [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) pour générer des politiques basées sur les journaux AWS CloudTrail. Pour cela, accordez à l'administrateur l'accès au rôle de réponse aux incidents sur un compte hors production et exécutez vos playbooks. Une fois que vous aurez terminé, vous pourrez créer une politique autorisant uniquement les mesures prises. Cette politique peut ensuite être appliquée à tous les rôles de réponse aux incidents dans tous les comptes. Vous pouvez éventuellement créer une politique IAM distincte pour chaque playbook afin de faciliter la gestion et la vérification. Les exemples de playbooks peuvent comprendre des plans d'intervention pour les rançongiciels, les atteintes à la protection des données, la perte d'accès à la production et d'autres scénarios.
Utilisez les comptes utilisateur de réponse aux incidents pour assumer les rôles [IAM dédiés de réponse aux incidents dans d'autres Comptes AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). Ces rôles doivent être configurés de façon à pouvoir être assumés uniquement par les utilisateurs du compte de sécurité et la relation de confiance doit exiger que le principal appelant ait été authentifié au moyen de l'authentification multifactorielle. Les rôles doivent utiliser des politiques IAM à portée limitée afin de contrôler l'accès. Assurez-vous que toutes les demandes `AssumeRole` pour ces rôles sont consignées dans CloudTrail et font l'objet d'une alerte, et que toutes les mesures prises en utilisant ces rôles sont consignées.
Il est vivement recommandé de nommer les comptes utilisateur IAM et les rôles IAM afin d'en faciliter la recherche dans les journaux CloudTrail. Par exemple, les comptes IAM pourraient être nommés `-BREAK-GLASS` et les rôles IAM pourraient être nommés `BREAK-GLASS-ROLE`.
[CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) est utilisé pour consigner l'activité de l'API dans vos comptes AWS et doit être utilisé pour [configurer les alertes sur l'utilisation des rôles de réponse aux incidents](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/). Consultez la publication de blog sur la configuration des alertes lorsque les clés racine sont utilisées. Les instructions peuvent être modifiées de façon à configurer la [métrique Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) de filtre à filtre sur les événements `AssumeRole` liés au rôle IAM de réponse aux incidents :
```
{ $.eventName = "AssumeRole" && $.requestParameters.roleArn = "" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
```
Dans la mesure où les rôles de réponse aux incidents sont susceptibles d'avoir un niveau d'accès élevé, il est important que ces alertes soient transmises à un vaste groupe et qui y donnera suite rapidement.
Lors d'un incident, il est possible qu'un intervenant ait besoin d'accéder à des systèmes qui ne sont pas sécurisés directement par IAM. Il peut notamment s'agir d'instances Amazon Elastic Compute Cloud, de bases de données Amazon Relational Database Service ou de plateformes de logiciel en tant que service (SaaS). Il est vivement recommandé d'utiliser [AWS Systems Manager Session Manager plutôt que des protocoles natifs tels que SSH ou RDP](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) pour tous les accès administratifs aux instances Amazon EC2. Cet accès peut être contrôlé à l'aide d'IAM, qui est sécurisé et vérifié. Il est également possible d'automatiser certaines parties de vos playbooks en utilisant [des documents AWS Systems Manager,](https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html)qui permettent de réduire les erreurs utilisateur et d'améliorer le temps de récupération. Pour accéder aux bases de données et aux outils tiers, nous recommandons de stocker les informations d'identification dans AWS Secrets Manager et d'accorder l'accès aux rôles des intervenants en cas d'incident.
En dernier lieu, la gestion des comptes utilisateur IAM de réponse aux incidents doit être ajoutée à vos processus [d'entrées, de changements et de sorties.](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html) Elle doit également être vérifiée et testée régulièrement afin de vous assurer que seul l'accès prévu est autorisé.
## Ressources
**Documents connexes :**
+ [Managing temporary elevated access to your AWS environment](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
+ [AWS Security Incident Response Guide ](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/)
+ [AWS Systems Manager Incident Manager](https://docs.aws.amazon.com/incident-manager/latest/userguide/what-is-incident-manager.html)
+ [Définition d'une politique de mot de passe du compte pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Utilisation de l'authentification multifactorielle (MFA) dans l'interface AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [ Configuring Cross-Account Access with MFA ](https://aws.amazon.com/blogs/security/how-do-i-protect-cross-account-access-using-mfa-2/)
+ [ Using IAM Access Analyzer to generate IAM policies ](https://aws.amazon.com/blogs/security/use-iam-access-analyzer-to-generate-iam-policies-based-on-access-activity-found-in-your-organization-trail/)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ How to Receive Notifications When Your AWS Account's Root Access Keys Are Used ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+ [ Create fine-grained session permissions using IAM managed policies ](https://aws.amazon.com/blogs/security/create-fine-grained-session-permissions-using-iam-managed-policies/)
**Vidéos connexes :**
+ [ Automating Incident Response and Forensics in AWS](https://www.youtube.com/watch?v=f_EcwmmXkXk)
+ [DIY guide to runbooks, incident reports, and incident response](https://youtu.be/E1NaYN_fJUo)
+ [ Prepare for and respond to security incidents in your AWS environment ](https://www.youtube.com/watch?v=8uiO0Z5meCs)
**Exemples connexes :**
+ [ Atelier : AWS Account Setup and Root User ](https://www.wellarchitectedlabs.com/security/300_labs/300_incident_response_playbook_with_jupyter-aws_iam/)
+ [ Atelier : Incident Response with AWS Console and CLI ](https://wellarchitectedlabs.com/security/300_labs/300_incident_response_with_aws_console_and_cli/)
# SEC10-BP06 Prédéployer les outils
assurez-vous que le personnel de sécurité dispose des outils appropriés préalablement déployés dans AWS pour accélérer les investigations jusqu'à la reprise.
Pour automatiser les fonctions d'ingénierie et d'exploitation de la sécurité, vous pouvez utiliser un ensemble complet d'API et d'outils d'AWS. Vous pouvez automatiser entièrement la gestion des identités, la sécurité des réseaux, la protection des données et les fonctionnalités de surveillance, et les mettre en œuvre en utilisant les méthodes de développement de logiciel les plus courantes que vous avez déjà mises en place. Lorsque vous automatisez la sécurité, votre système peut surveiller, examiner et déclencher une réponse, plutôt que d'avoir à demander à des personnes de surveiller votre niveau de sécurité et de réagir manuellement aux événements. Un moyen efficace de fournir automatiquement des données de journal consultables et pertinentes sur les services AWS à vos intervenants en cas d'incident est d'activer [Amazon Detective](https://aws.amazon.com/detective/).
Si vos équipes de réponse aux incidents continuent de répondre aux alertes de la même manière, elles risquent de se lasser des alertes. Au fil du temps, l'équipe peut faire moins attention aux alertes et soit faire des erreurs en gérant des situations ordinaires, soit manquer des alertes inhabituelles. L'automatisation permet d'éliminer la lassitude liée aux alertes en utilisant des fonctions qui traitent les alertes répétitives et ordinaires, laissant aux personnes le soin de gérer les incidents sensibles et uniques. L'intégration de systèmes de détection d'anomalies, comme Amazon GuardDuty, AWS CloudTrail Insights et Amazon CloudWatch Anomaly Detection, peut alléger les alertes courantes basées sur des seuils.
Vous pouvez améliorer les processus manuels en automatisant par programmation les étapes du processus. Une fois que vous avez défini le modèle de correction d'un événement, vous pouvez le décomposer en logique exploitable et écrire le code pour exécuter cette logique. Les intervenants peuvent ensuite exécuter ce code pour corriger le problème. Au fil du temps, vous pouvez automatiser un nombre croissant d'étapes et, enfin, gérer automatiquement des catégories entières d'incidents courants.
Pour les outils qui s'exécutent dans le système d'exploitation de votre instance Amazon Elastic Compute Cloud (Amazon EC2), vous devez les évaluer à l'aide d'AWS Systems Manager Run Command, qui vous permet d'administrer des instances à distance et en toute sécurité à l'aide d'un agent que vous installez sur le système d'exploitation de votre instance Amazon EC2. Cela nécessite l'agent AWS Systems Manager (agent SSM) qui est installé par défaut sur de nombreuses Amazon Machine Images (AMI). Notez, cependant, qu'une fois qu'une instance a été compromise, aucune réponse des outils ou des agents qui s'y exécutent ne doit être considérée comme fiable.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
+ Prédéployer les outils : assurez-vous que les outils appropriés ont été préalablement déployés pour le personnel de sécurité dans AWS afin que les mesures adéquates puissent être prises en cas d'incident.
+ [Atelier : gestion des incidents avec AWS Management Console et l'interface de ligne de commande (CLI) ](https://wellarchitectedlabs.com/Security/300_Incident_Response_with_AWS_Console_and_CLI/README.html)
+ [ Playbook de réponse aux incidents avec Jupyter - AWS IAM ](https://wellarchitectedlabs.com/Security/300_Incident_Response_Playbook_with_Jupyter-AWS_IAM/README.html)
+ [ Automatisation de la sécurité AWS](https://github.com/awslabs/aws-security-automation)
+ Implémenter le balisage des ressources : balisez les ressources avec des informations comme un code pour la ressource soumises à une enquête afin que vous puissiez identifier les ressources pendant un incident.
+ [ Stratégies de balisage AWS](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
## Ressources
**Documents connexes :**
+ [ Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
**Vidéos connexes :**
+ [ Mode d'emploi pour les runbooks, les rapports d'incidents et les réponses aux incidents ](https://youtu.be/E1NaYN_fJUo)
# SEC10-BP07 Organiser des jeux de rôle
les simulations ou exercices sont des événements internes qui permettent de mettre en pratique de manière structurée vos plans et procédures de gestion des incidents au cours d'un scénario réaliste. Ces événements doivent entraîner les intervenants à utiliser les mêmes outils et techniques que ceux qui seraient utilisés dans un scénario réel, et même à imiter des environnements réels. Ces simulations consistent principalement en la préparation et en l'amélioration itérative de vos capacités de réponse. Voici quelques-unes des raisons pour lesquelles des activités de simulation peuvent s'avérer utiles :
+ Validation de l'état de préparation
+ Développer la confiance : apprendre grâce aux simulations et à la formation du personnel
+ Respect des obligations contractuelles ou de conformité
+ Génération d'artefacts pour l'accréditation
+ Être agile : amélioration incrémentielle
+ Être plus rapide et améliorer les outils
+ Affiner la communication et les remontées
+ Savoir faire face sereinement aux scénarios extraordinaires et inattendus
Pour ces raisons, la valeur tirée de la participation à une activité de simulation augmente l'efficacité d'une organisation lors d'événements stressants. Il peut s'avérer difficile de développer une activité de simulation à la fois réaliste et bénéfique. Bien que les tests de vos procédures ou l'automatisation qui gère des événements déjà connus présentent certains avantages, il est tout aussi important de participer à des activités créatives [de simulation de la gestion des incidents de sécurité](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/security-incident-response-simulations.html) pour déterminer où vous vous situez par rapport à des événements inattendus et pour renforcer vos compétences en permanence.
Créez des simulations personnalisées adaptées à votre environnement, votre équipe et vos outils. Identifiez un problème et concevez votre simulation autour de celui-ci. Il peut s'agit d'une fuite d'informations d'identification, d'un serveur communiquant avec des systèmes indésirables ou d'une mauvaise configuration qui entraîne une exposition non autorisée. Identifiez les ingénieurs qui connaissent votre organisation pour créer le scénario et un autre groupe pour y participer. Pour être utile, le scénario doit être suffisamment réaliste et stimulant. Il doit permettre de se familiariser avec la journalisation, les notifications, les remontées d'informations et l'exécution de runbooks ou l'automatisation. Pendant la simulation, les intervenants doivent exercer leurs compétences techniques et organisationnelles, tandis que les dirigeants doivent être impliqués pour développer leurs compétences en gestion des incidents. À la fin de la simulation, célébrez les efforts de l'équipe et cherchez des moyens d'itérer, de répéter et de développer d'autres simulations.
[AWS a créé des modèles de runbooks de gestion des incidents](https://github.com/aws-samples/aws-incident-response-playbooks) que vous pouvez utiliser non seulement pour préparer vos actions correctives, mais aussi comme base pour une simulation. Lors de la planification, une simulation peut être divisée en cinq phases.
**Collecte des preuves : **Au cours de cette phase, une équipe reçoit des alertes par divers moyens, tels qu'un système interne de demandes d'assistance, des alertes provenant d'outils de surveillance, des conseils anonymes, voire des informations publiques. Les équipes se mettent ensuite à examiner les journaux d'infrastructure et d'application pour déterminer la source de la compromission. Cette étape devrait également impliquer les équipes internes de remontées d'informations et les responsables de la gestion des incidents. Une fois la source de la compromission identifiée, les équipes passent à la maîtrise de l'incident.
**Maîtrise de l'incident : **Les équipes ont déterminé l'existence d'un incident et ont établi la source de la compromission. Elles doivent maintenant prendre des mesures nécessaires pour le contenir, par exemple en désactivant les informations d'identification compromises, en isolant une ressource de calcul ou en révoquant l'autorisation d'un rôle.
**Éradication de l'incident : **Maintenant qu'elles ont maîtrisé l'incident, les équipes s'efforceront d'atténuer les vulnérabilités des applications ou des configurations d'infrastructure susceptibles d'être compromises. Cela peut inclure la rotation de toutes les informations d'identification utilisées pour une charge de travail, la modification des listes de contrôle d'accès (ACL) ou la modification des configurations réseau.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Exécuter [tests de simulation de pannes](https://wa.aws.amazon.com/wat.concept.gameday.en.html) : organisez des événements simulés [de réponse](https://wa.aws.amazon.com/wat.concept.incident.en.html) face aux incidents [(jeux de rôle)](https://wa.aws.amazon.com/wat.concept.event.en.html) pour différentes menaces qui impliquent des membres clés du personnel et la direction.
+ Capturer les leçons apprises : les leçons tirées des [tests de simulation de pannes](https://wa.aws.amazon.com/wat.concept.gameday.en.html) doivent faire partie d'une boucle de rétroaction pour améliorer vos processus.
## Ressources
**Documents connexes :**
+ [ Guide de réponse aux incidents AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)
+ [AWS Elastic Disaster Recovery](https://aws.amazon.com/cloudendure-disaster-recovery/)
**Vidéos connexes :**
+ [ Mode d'emploi pour les runbooks, les rapports d'incidents et les réponses aux incidents ](https://youtu.be/E1NaYN_fJUo)