# SEC 8  Comment protéger les données au repos ?
<a name="w2aac19b7c13b7"></a>

Protégez vos données au repos en mettant en œuvre plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

**Topics**
+ [SEC08-BP01 Implémenter la gestion sécurisée des clés](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Appliquer le chiffrement au repos](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatiser la protection des données au repos](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Appliquer le contrôle d'accès](sec_protect_data_rest_access_control.md)
+ [SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données](sec_protect_data_rest_use_people_away.md)

# SEC08-BP01 Implémenter la gestion sécurisée des clés
<a name="sec_protect_data_rest_key_mgmt"></a>

 En définissant une approche de chiffrement qui inclut le stockage, le renouvellement et le contrôle d'accès des clés, vous pouvez protéger votre contenu contre les utilisateurs non autorisés et une exposition inutile aux utilisateurs autorisés. AWS Key Management Service (AWS KMS) vous permet de gérer les clés de chiffrement et [s'intègre à de nombreux services AWS.](https://aws.amazon.com/kms/details/#integration). Ce service fournit un stockage durable, sécurisé et redondant pour vos clés AWS KMS. Vous pouvez définir vos alias de clé, ainsi que vos politiques au niveau des clés. Les stratégies vous permettent de définir des administrateurs de clé ainsi que des utilisateurs de clé. En outre, AWS CloudHSM est un module de sécurité matériel basé sur le cloud (HSM) qui vous permet de générer et d'utiliser facilement vos propres clés de chiffrement dans le AWS Cloud. Il vous permet de respecter les exigences professionnelles, contractuelles et réglementaires relatives à la sécurité des données, en utilisant des modules de sécurité matériels (HSM) validés FIPS 140-2 niveau 3. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Implémenter AWS KMS : AWS KMS simplifie la création et la gestion des clés, ainsi que le contrôle de l'utilisation du chiffrement sur un large éventail de services AWS et dans vos applications. AWS KMS est un service sécurisé et résilient qui utilise les modules de sécurité matérielle validés selon la norme FIPS 140-2 pour protéger vos clés. 
  +  [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  Utiliser le kit SDK AWS Encryption : utilisez le kit SDK AWS Encryption avec intégration à AWS KMS lorsque votre application doit chiffrer les données côté client. 
  +  [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 
+  [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Vidéos connexes :** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP02 Appliquer le chiffrement au repos
<a name="sec_protect_data_rest_encrypt"></a>

 Faites en sorte que le seul moyen de pouvoir stocker des données est de les chiffrer. AWS Key Management Service (AWS KMS) s'intègre en toute transparence à de nombreux services AWS pour vous permettre de chiffrer plus facilement toutes vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. En outre, [Les instances de serveur virtuel Amazon Elastic Compute Cloud (Amazon EC2) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default)et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour [les volumes Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [les instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)et [des compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Imposer le chiffrement au repos pour Amazon Simple Storage Service (Amazon S3) : implémentez le chiffrement par défaut des compartiments Amazon S3. 
  +  [Comment activer le chiffrement par défaut pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  Utiliser AWS Secrets Manager : Secrets Manager est un service AWS qui facilite la gestion des secrets. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire. 
  +  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  Configurer le chiffrement par défaut pour les nouveaux volumes EBS : indiquez que vous souhaitez que tous les nouveaux volumes EBS soient créés sous forme chiffrée, avec la possibilité d'utiliser la clé par défaut fournie par AWS ou une clé que vous créez. 
  +  [Chiffrement par défaut pour les volumes EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  Configurer des Amazon Machine Images (AMI) chiffrées : la copie d'une AMI existante avec le chiffrement activé chiffrera automatiquement les volumes racine et les instantanés. 
  +  [AMI avec instantanés chiffrés](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  Configurer le chiffrement Amazon Relational Database Service (Amazon RDS) : configurez le chiffrement pour vos clusters de base de données Amazon RDS et vos instantanés au repos en activant l'option de chiffrement. 
  +  [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html) 
+  Configurer le chiffrement dans des services AWS supplémentaires : pour les services AWS que vous utilisez, déterminez les fonctionnalités de chiffrement. 
  +  [Documentation AWS](https://docs.aws.amazon.com/) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AMI avec instantanés chiffrés](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [Documentation AWS](https://docs.aws.amazon.com/) 
+  [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 
+  [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Chiffrement.Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Chiffrement par défaut pour les volumes EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Comment activer le chiffrement par défaut pour un compartiment S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Protection des données Amazon S3 à l'aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Vidéos connexes :** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Automatiser la protection des données au repos
<a name="sec_protect_data_rest_automate_protection"></a>

 utilisez des outils automatisés pour valider et faire respecter en permanence les contrôles des données au repos, par exemple en vérifiant qu'il n'y a que des ressources de stockage chiffrées. Vous pouvez [automatiser la validation du chiffrement de tous les volumes de données EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) en utilisant [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). [AWS Security Hub CSPM](http://aws.amazon.com/security-hub/) peut également vérifier plusieurs contrôles différents via des vérifications automatisées par rapport aux normes de sécurité. De plus, AWS Config Rules peut [corriger les ressources non conformes automatiquement](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html#setup-autoremediation). 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation_guidance"></a>

 *Données au repos* représentent toutes les données que vous conservez dans un stockage non volatil pendant toute la durée de votre charge de travail. Cela comprend le stockage par bloc, le stockage d'objets, les bases de données, les archives, les appareils IoT et tout autre support de stockage sur lequel les données sont conservées. La protection de vos données inactives permet de réduire le risque d'accès non autorisé, lorsque le chiffrement et les contrôles d'accès appropriés sont mis en place. 

 Appliquer le chiffrement au repos : vous devez faire en sorte que le seul moyen de stocker des données est de les chiffrer. AWS KMS s'intègre en toute transparence à de nombreux services AWS pour vous permettre de chiffrer plus facilement toutes vos données au repos. Par exemple, dans Amazon Simple Storage Service (Amazon S3), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) sur un compartiment pour que tous les nouveaux objets soient chiffrés automatiquement. En outre, [Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) et [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) prennent en charge la mise en application du chiffrement en définissant le chiffrement par défaut. Vous pouvez utiliser [des règles de configuration gérées AWS](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement, par exemple, pour [les volumes EBS](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), [les instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html)et [des compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html). 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [Kit SDK AWS](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

 **Vidéos connexes :** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP04 Appliquer le contrôle d'accès
<a name="sec_protect_data_rest_access_control"></a>

Appliquez le contrôle d'accès avec un minimum de privilèges et de mécanismes, y compris les sauvegardes, l'isolation et le contrôle de version, pour aider à protéger vos données au repos. Empêchez les opérateurs d'accorder un accès public à vos données. 

 Différents contrôles, y compris l'accès (en utilisant le moindre privilège), les sauvegardes (voir le [livre blanc sur la fiabilité](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), l'isolation et la gestion des versions peuvent tous contribuer à protéger vos données au repos. L'accès à vos données doit être vérifié à l'aide des mécanismes de détection dont il a été question plus haut dans le présent document, notamment CloudTrail, et le journal des niveaux de service, comme les journaux d'accès Amazon Simple Storage Service (Amazon S3). Vous devez faire l'inventaire des données accessibles au public et prévoir comment vous pouvez réduire la quantité de données disponibles au fil du temps. Amazon Glacier Vault Lock et Amazon S3 Object Lock sont des fonctionnalités qui fournissent un contrôle d'accès obligatoire. Lorsqu'une politique de coffre est verrouillée avec l'option de conformité, même l'utilisateur racine ne peut pas la modifier avant l'expiration du verrouillage. Ce mécanisme répond aux exigences de la SEC, de la CFTC et de la FINRA en matière de gestion des livres et des enregistrements. Pour en savoir plus, voir [ce livre blanc](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf). 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Appliquer le contrôle d'accès : appliquez le contrôle d'accès avec le principe du moindre privilège, y compris l'accès aux clés de chiffrement. 
  +  [Gestion des autorisations d'accès à vos ressources Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  Séparer les données selon différents niveaux de classification : utilisez des Comptes AWS différents pour les niveaux de classification des données gérés par AWS Organizations. 
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  Vérifier les politiques AWS KMS : examinez le niveau d'accès accordé dans les politiques AWS KMS. 
  +  [Présentation de la gestion des accès aux ressources AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  Examiner les autorisations de compartiment et d'objet Amazon S3 : examinez régulièrement le niveau d'accès accordé dans les règles de compartiment Amazon S3. Une bonne pratique consiste à ne pas avoir des compartiments publiquement accessibles en lecture ou en écriture. Pensez à utiliser AWS Config pour détecter les compartiments qui sont publiquement disponibles et Amazon CloudFront pour diffuser du contenu à partir d'Amazon S3. 
  +  [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront : la combinaison parfaite dans le cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  Activez la gestion des versions Amazon S3 et le verrouillage des objets. 
  +  [Utilisation de la gestion des versions](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [Verrouillage d'objets avec Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  Utiliser l'inventaire Amazon S3 : l'inventaire Amazon S3 est l'un des outils que vous pouvez utiliser pour auditer et signaler le statut de réplication et de chiffrement de vos objets. 
  +  [Inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Passer en revue les autorisations de partage Amazon EBS et AMI : les autorisations de partage permettent aux images et aux volumes d'être partagés avec des Comptes AWS en dehors de votre charge de travail. 
  +  [Partage d'un instantané Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [AMI partagées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Vidéos connexes :** 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP05 Utiliser des mécanismes pour protéger l'accès aux données
<a name="sec_protect_data_rest_use_people_away"></a>

 Empêchez tous les utilisateurs d'accéder directement aux données et systèmes sensibles dans des circonstances opérationnelles normales. Par exemple, utilisez un flux de travail de gestion des changements pour gérer les instances Amazon Elastic Compute Cloud (Amazon EC2) avec des outils au lieu d'autoriser un accès direct ou un hôte bastion. Pour ce faire, recourez à [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html), qui utilise des [documents d'automatisation](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html) contenant les étapes nécessaires pour effectuer les tâches. Ces documents peuvent être stockés dans un système de contrôle de source, être examinés par des pairs avant l'exécution et être testés minutieusement pour minimiser les risques par rapport à un accès shell. Les utilisateurs de l'entreprise peuvent disposer d'un tableau de bord au lieu d'un accès direct à un magasin de données afin d'effectuer des requêtes. Lorsque des pipelines CI/CD ne sont pas utilisés, identifiez les contrôles et processus nécessaires pour fournir de manière adéquate un mécanisme alternatif normalement désactivé. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Implémenter des mécanismes pour protéger l'accès aux données : ces mécanismes incluent l'utilisation de tableaux de bord comme Quick pour présenter les données aux utilisateurs au lieu d'envoyer des requêtes directement. 
  +  [Quick](https://aws.amazon.com/quicksight/) 
+  Automatisez la gestion de la configuration : effectuez des actions à distance, appliquez et validez automatiquement des configurations sécurisées en utilisant un service ou un outil de gestion de configuration. Évitez d'utiliser des hôtes bastion ou d'accéder directement aux instances EC2. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
  +  [Pipeline CI/CD pour les modèles AWS CloudFormation sur AWS](https://aws.amazon.com/quickstart/architecture/cicd-taskcat/) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Vidéos connexes :** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8)