# Protection des données
<a name="data-protection"></a>

Avant de concevoir l’architecture d’une charge de travail, il convient de mettre en place des pratiques fondamentales qui influencent la sécurité. Par exemple, la classification des données permet de classer les données en fonction de leur niveau de sensibilité, et le chiffrement protège les données en les rendant inintelligibles à un accès non autorisé. Ces méthodes sont importantes, car elles sous-tendent des objectifs tels que la prévention des erreurs de manipulation ou le respect des obligations réglementaires. 

Dans AWS, il existe un certain nombre d’approches différentes à prendre en compte en matière de protection des données. La section suivante décrit comment utiliser ces approches. 

**Topics**
+ [Classification des données](data-classification.md)
+ [Protection des données au repos](protecting-data-at-rest.md)
+ [Protection des données en transit](protecting-data-in-transit.md)

# Classification des données
<a name="data-classification"></a>

La classification des données fournit un moyen de classer les données organisationnelles en fonction de leur criticité et de leur sensibilité afin de vous aider à déterminer les contrôles de protection et de conservation appropriés. 

**Topics**
+ [SEC07-BP01 Comprendre votre schéma de classification des données](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Appliquer des contrôles de protection des données en fonction de la sensibilité des données](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatiser l’identification et la classification](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Définir la gestion évolutive du cycle de vie des données](sec_data_classification_lifecycle_management.md)

# SEC07-BP01 Comprendre votre schéma de classification des données
<a name="sec_data_classification_identify_data"></a>

 Comprenez la classification des données traitées par votre charge de travail, ses exigences en matière de traitement, les processus métier associés, l’endroit où les données sont stockées et qui en est le propriétaire.  Votre système de classification et de traitement des données doit tenir compte des exigences légales et de conformité applicables à votre charge de travail, ainsi que des contrôles de données nécessaires. La compréhension des données est la première étape du processus de classification des données.  

 **Résultat escompté :** les types de données présents dans votre charge de travail sont bien compris et documentés.  Des contrôles appropriés sont en place pour protéger les données sensibles en fonction de leur classification.  Ces contrôles régissent les considérations suivantes : qui est autorisé à accéder aux données et dans quel but, où les données sont stockées, la politique de chiffrement de ces données et la manière dont les clés de chiffrement sont gérées, le cycle de vie des données et leurs exigences de conservation, les processus de destruction appropriés, les processus de sauvegarde et de restauration mis en place et l’audit de l’accès. 

 **Anti-modèles courants :** 
+  Ne pas établir de politique officielle de classification des données pour définir les niveaux de sensibilité des données et leurs exigences de traitement. 
+  Ne pas bien comprendre les niveaux de sensibilité des données de votre charge de travail et ne pas saisir ces informations dans la documentation relative à l’architecture et aux opérations. 
+  Ne pas appliquer les contrôles appropriés à vos données en fonction de leur sensibilité et de leurs exigences, comme indiqué dans votre politique de classification et de traitement des données. 
+  Ne pas fournir de rétroaction sur les exigences de classification et de traitement des données aux propriétaires des politiques. 

 **Avantages liés au respect de cette bonne pratique :** cette pratique élimine toute ambiguïté quant au traitement approprié des données dans le cadre de votre charge de travail.  L’application d’une politique officielle qui définit les niveaux de sensibilité des données de votre organisation et les protections requises peut vous aider à vous conformer aux réglementations légales et aux autres attestations et certifications de cybersécurité.  Les propriétaires de la charge de travail peuvent savoir en toute confiance où sont stockées les données sensibles et quels contrôles de protection sont en place.  La consignation de ces informations dans la documentation aide les nouveaux membres de l’équipe à mieux les comprendre et à gérer les contrôles dès qu’ils commencent à occuper leur fonction. Ces pratiques peuvent également contribuer à réduire les coûts en dimensionnant correctement les contrôles pour chaque type de données. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Lors de la conception d’une charge de travail, vous pouvez réfléchir aux moyens de protéger les données sensibles de manière intuitive.  Par exemple, dans une application multilocataire, il est intuitif de considérer les données de chaque locataire comme sensibles et de mettre en place des protections afin qu’un locataire ne puisse pas accéder aux données d’un autre.  De même, vous pouvez concevoir des contrôles d’accès intuitifs de telle sorte que seuls les administrateurs puissent modifier les données, tandis que les autres utilisateurs ne bénéficient que d’un accès en lecture, voire d’aucun accès. 

 En définissant et en saisissant ces niveaux de sensibilité des données dans les politiques, ainsi que leurs exigences en matière de protection des données, vous pouvez identifier formellement quelles données se trouvent dans votre charge de travail. Vous pouvez ensuite déterminer si les contrôles appropriés sont en place, s’ils peuvent être audités et quelles réponses sont pertinentes en cas de mauvaise gestion des données. 

 Pour mieux identifier l’emplacement de données sensibles dans votre charge de travail, envisagez d’utiliser un catalogue de données. Un catalogue de données est une base de données qui cartographie les données de votre organisation, leur emplacement, leur niveau de sensibilité et les contrôles mis en place pour protéger ces données. En outre, envisagez d’utiliser des [balises de ressources](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) le cas échéant.  Par exemple, vous pouvez appliquer une balise possédant une *clé de balise* de `Classification` et une *valeur de balise* de `PHI` pour les informations de santé protégées (PHI), et une autre balise possédant une *clé de balise* de `Sensitivity` et une *valeur de balise* de `High`.  Les services tels que [AWS Config](https://aws.amazon.com/config/) peuvent ensuite être utilisés pour surveiller les modifications apportées à ces ressources et vous avertir si elles font l’objet d’une modification les rendant non conformes à vos exigences de protection (telles que la modification des paramètres de chiffrement).  Vous pouvez capturer la définition standard de vos clés de balise et les valeurs acceptables à l’aide des [politiques de balises](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html), une fonctionnalité d’AWS Organizations. Il est déconseillé d’avoir une clé ou une valeur de balise qui contient des données privées ou sensibles. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Comprenez le schéma de classification des données et les exigences de protection de votre organisation. 

1.  Identifiez les types de données sensibles traitées par vos charges de travail. 

1.  Capturez les données dans un catalogue de données qui fournit une vue unique de l’emplacement des données dans l’organisation et du niveau de sensibilité de ces données. 

1.  Envisagez d’utiliser le balisage au niveau des ressources et des données, le cas échéant, pour baliser les données en fonction de leur niveau de sensibilité et d’autres métadonnées opérationnelles susceptibles de faciliter la surveillance et la réponse aux incidents. 

   1.   Les politiques de balisage d’AWS Organizations peuvent être utilisées pour appliquer les normes de balisage. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [SUS04-BP01 Mettre en œuvre une politique de classification des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_data_a2.html) 

 **Documents connexes :** 
+  [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html) 
+  [Bonnes pratiques en matière de balisage des ressources AWS](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html) 

 **Exemples connexes :** 
+  [Syntaxe d’une stratégie de balise AWS Organizations et exemples](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_example-tag-policies.html) 

 **Outils associés** 
+  [AWS Tag Editor](https://docs.aws.amazon.com/tag-editor/latest/userguide/tag-editor.html) 

# SEC07-BP02 Appliquer des contrôles de protection des données en fonction de la sensibilité des données
<a name="sec_data_classification_define_protection"></a>

 Appliquez des contrôles de protection des données qui fournissent un niveau de contrôle approprié pour chaque classe de données définie dans votre politique de classification.  Cette pratique peut vous permettre de protéger les données sensibles contre tout accès et toute utilisation non autorisés, tout en préservant la disponibilité et l’utilisation des données. 

 **Résultat escompté :** vous disposez d’une politique de classification qui définit les différents niveaux de sensibilité des données au sein de votre organisation.  Pour chacun de ces niveaux de sensibilité, vous avez publié des directives claires concernant les services et sites de stockage et de traitement approuvés, ainsi que leur configuration requise.  Vous mettez en œuvre les contrôles pour chaque niveau en fonction du niveau de protection requis et des coûts associés.  Vous avez mis en place une surveillance et des alertes afin de détecter si des données sont présentes dans des emplacements non autorisés, traitées dans des environnements non autorisés, consultées par des acteurs non autorisés ou si la configuration des services associés devient non conforme. 

 **Anti-modèles courants :** 
+  Appliquer le même niveau de contrôles de protection à toutes les données. Cela peut entraîner un surprovisionnement des contrôles de sécurité pour les données peu sensibles ou une protection insuffisante des données hautement sensibles. 
+  Ne pas impliquer les parties prenantes concernées des équipes chargées de la sécurité, de la conformité et des opérations lors de la définition des contrôles de protection des données. 
+  Surveiller les frais opérationnels et les coûts associés à la mise en œuvre et à la maintenance des contrôles de protection des données. 
+  Ne pas procéder à des examens périodiques des contrôles de protection des données pour préserver l’alignement avec les politiques de classification. 
+  Ne pas disposer d’un inventaire complet des emplacements des données au repos et en transit. 

 **Avantages liés au respect de cette bonne pratique :** en alignant vos contrôles sur le niveau de classification de vos données, votre organisation peut investir dans des niveaux de contrôle plus élevés si nécessaire. Cela peut inclure l’augmentation des ressources consacrées à la sécurisation, à la surveillance, à la mesure, à la correction et à la production de rapports.  Lorsque moins de contrôles sont nécessaires, vous pouvez améliorer l’accessibilité et l’exhaustivité des données pour votre personnel, vos clients ou vos administrés.  Cette approche offre à votre organisation une grande flexibilité en matière d’utilisation des données, tout en respectant les exigences de protection des données. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 La mise en œuvre de contrôles de protection des données basés sur les niveaux de sensibilité des données implique plusieurs étapes clés. Tout d’abord, identifiez les différents niveaux de sensibilité des données au sein de votre architecture de charge de travail (public, interne, confidentiel et restreint) et évaluez où vous stockez et traitez ces données. Définissez ensuite les limites d’isolement autour des données en fonction de leur niveau de sensibilité. Nous vous recommandons de séparer les données en différents Comptes AWS, en utilisant des [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) pour restreindre les services et les actions autorisés pour chaque niveau de sensibilité des données. Vous pouvez ainsi créer des limites d’isolement solides et appliquer le principe du moindre privilège. 

 Après avoir défini les limites d’isolement, implémentez les contrôles de protection appropriés en fonction des niveaux de sensibilité des données. Consultez les bonnes pratiques en matière de [protection des données au repos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-at-rest.html) et de [protection des données en transit](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html) pour mettre en œuvre des contrôles pertinents tels que le chiffrement, les contrôles d’accès et l’audit. Envisagez des techniques telles que la création de jeton ou l’anonymisation pour réduire le niveau de sensibilité de vos données. Simplifiez l’application de politiques de données cohérentes dans l’ensemble de votre entreprise grâce à un système centralisé de création/décréation de jeton. 

 Surveillez et testez en permanence l’efficacité des contrôles mis en œuvre. Régulièrement, passez en revue et mettez à jour le schéma de classification des données, les évaluations des risques et les contrôles de protection à mesure que le paysage des données et les menaces de votre organisation évoluent. Alignez les contrôles de protection des données mis en œuvre avec les réglementations, normes et exigences légales pertinentes du secteur. En outre, sensibilisez et formez les employés à la sécurité pour les aider à comprendre le système de classification des données et leurs responsabilités en matière de traitement et de protection des données sensibles. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Identifiez la classification et les niveaux de sensibilité des données au sein de votre charge de travail. 

1.  Définissez des limites d’isolement pour chaque niveau et déterminez une stratégie d’application. 

1.  Évaluez les contrôles que vous définissez pour régir l’accès, le chiffrement, l’audit, la conservation et les autres éléments requis par votre politique de classification des données. 

1.  Évaluez les options permettant de réduire le niveau de sensibilité des données le cas échéant, par exemple en utilisant la création de jeton ou l’anonymisation. 

1.  Vérifiez vos contrôles à l’aide de tests et de contrôles automatisés de vos ressources configurées. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [PERF03-BP01 Utiliser un magasin de données dédié le mieux adapté à vos besoins en matière de stockage des données et d’accès aux données](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [COST04-BP05 Appliquer les politiques de conservation des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html) 

 **Documents connexes :** 
+  [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Bonnes pratiques en matière de sécurité, d’identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/?cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=*all&awsf.methodology=*all) 
+  [Meilleures pratiques pour AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html). 
+  [Bonnes pratiques et fonctionnalités de chiffrement pour les services AWS](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/welcome.html) 

 **Exemples connexes :** 
+  [Création d’une solution de création de jeton sans serveur pour masquer les données sensibles](https://aws.amazon.com/blogs/compute/building-a-serverless-tokenization-solution-to-mask-sensitive-data/) 
+  [Comment utiliser la création de jeton pour améliorer la sécurité des données et réduire la portée de l’audit](https://aws.amazon.com/blogs/security/how-to-use-tokenization-to-improve-data-security-and-reduce-audit-scope/) 

 **Outils associés :** 
+  [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) 
+  [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) 
+  [AWS Organizations](https://aws.amazon.com/organizations/) 

# SEC07-BP03 Automatiser l’identification et la classification
<a name="sec_data_classification_auto_classification"></a>

 L’automatisation de l’identification et de la classification des données peut vous aider à mettre en œuvre les contrôles appropriés. L’utilisation de l’automatisation pour améliorer la détermination manuelle réduit le risque d’erreur humaine et d’exposition. 

 **Résultat escompté :** vous êtes en mesure de vérifier si les contrôles appropriés sont en place en fonction de votre politique de classification et de manutention. Les outils et services automatisés vous aident à identifier et à classer le niveau de sensibilité de vos données.  L’automatisation vous aide également à surveiller en permanence vos environnements afin de détecter et d’alerter si des données sont stockées ou traitées de manière non autorisée, pour que des mesures correctives puissent être prises rapidement. 

 **Anti-modèles courants :** 
+  S’appuyer uniquement sur des processus manuels pour l’identification et la classification des données, ce qui peut être source d’erreur et prendre beaucoup de temps.  Cela peut entraîner une classification des données inefficace et incohérente, en particulier lorsque les volumes de données augmentent. 
+  Ne pas disposer de mécanismes pour suivre et gérer les ressources de données dans l’ensemble de l’organisation. 
+  Perdre de vue la nécessité d’une surveillance et d’une classification continues des données au fur et à mesure de leur évolution au sein de l’organisation. 

 **Avantages liés au respect de cette bonne pratique :** l’automatisation de l’identification et de la classification des données peut permettre une application plus cohérente et plus précise des contrôles de protection des données, réduisant ainsi le risque d’erreur humaine.  L’automatisation peut également fournir une visibilité sur l’accès et le mouvement des données sensibles, ce qui vous permet de détecter les manipulations non autorisées et de prendre des mesures correctives. 

 **Niveau de risque encouru si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Bien que le discernement humain soit souvent utilisé pour classer les données pendant les phases initiales de conception d’une charge de travail, envisagez de mettre en place des systèmes qui automatisent l’identification et la classification des données de test à titre de contrôle préventif. Par exemple, les développeurs peuvent disposer d’un outil ou d’un service leur permettant d’analyser des données représentatives afin de déterminer leur sensibilité.  Au sein d’AWS, vous pouvez télécharger des ensembles de données dans [Amazon S3](https://aws.amazon.com/s3/) et les analyser à l’aide d’[Amazon Macie](https://aws.amazon.com/macie/), [Amazon Comprehend](https://aws.amazon.com/comprehend/) ou [Amazon Comprehend Medical](https://aws.amazon.com/comprehend/medical/).  De même, envisagez d’analyser les données dans le cadre de tests unitaires et d’intégration afin de détecter les endroits où des données sensibles ne sont pas attendues. Les alertes sur les données sensibles à ce stade peuvent mettre en évidence les lacunes en matière de protection avant le déploiement en production. D’autres fonctionnalités, telles que la détection des données sensibles dans [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/detect-PII.html), [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-managed-data-identifiers.htm) et [Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html), peuvent également être utilisées pour détecter les informations personnelles et prendre des mesures d’atténuation. Pour tout outil ou service automatisé, comprenez comment il définit les données sensibles et enrichissez-le avec d’autres solutions humaines ou automatisées pour combler les lacunes si nécessaire. 

 À des fins de détection, utilisez une surveillance continue de vos environnements pour identifier si des données sensibles sont stockées de manière non conforme.  Cela peut permettre de détecter des situations telles que l’émission de données sensibles dans des fichiers journaux ou leur copie dans un environnement d’analytique des données sans anonymisation ou suppression appropriée.  Les données stockées dans Amazon S3 peuvent être surveillées en permanence afin de détecter les données sensibles à l’aide d’Amazon Macie.   

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Passez en revue le schéma de classification des données au sein de votre organisation, décrit dans le document [SEC07-BP01](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_identify_data.html). 

   1.  En comprenant le schéma de classification des données de votre organisation, vous pouvez établir des processus précis d’identification et de classification automatisées conformes aux politiques de votre entreprise. 

1.  Effectuez une analyse initiale de vos environnements pour une identification et une classification automatisées. 

   1.  Une analyse initiale complète de vos données peut vous aider à comprendre de manière exhaustive où se trouvent les données sensibles dans vos environnements. Lorsqu’une analyse complète n’est pas requise au départ ou ne peut pas être réalisée en amont pour des raisons de coût, évaluez si les techniques d’échantillonnage des données sont appropriées pour obtenir vos résultats. Par exemple, Amazon Macie peut être configuré de façon à effectuer une vaste opération automatisée de découverte des données sensibles dans vos compartiments S3.  Cette capacité utilise des techniques d’échantillonnage pour effectuer de manière rentable une analyse préliminaire de l’emplacement des données sensibles.  Une analyse plus approfondie des compartiments S3 peut ensuite être réalisée à l’aide d’une tâche de découverte des données sensibles. D’autres magasins de données peuvent également être exportés vers S3 en vue de leur analyse par Macie. 

   1.  Établissez le contrôle d’accès défini dans le document [SEC07-BP02](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html) pour vos ressources de stockage de données identifiées lors de votre analyse. 

1.  Configurez des analyses continues de vos environnements. 

   1.  La capacité de découverte automatique des données sensibles de Macie peut être utilisée afin d’effectuer des analyses continues de vos environnements.  Les compartiments S3 connus qui sont autorisés à stocker des données sensibles peuvent être exclus à l’aide d’une liste d’autorisation dans Macie. 

1.  Intégrez l’identification et la classification à vos processus de construction et de test. 

   1.  Identifiez les outils que les développeurs peuvent utiliser pour analyser la sensibilité des données pendant le développement des charges de travail.  Utilisez ces outils dans le cadre des tests d’intégration pour vous avertir lorsque des données sensibles sont inattendues et empêcher tout déploiement ultérieur. 

1.  Mettez en œuvre un système ou un runbook pour agir lorsque des données sensibles sont détectées dans des emplacements non autorisés. 

   1.  Limitez l’accès aux données utilisant la correction automatique. Par exemple, vous pouvez déplacer ces données vers un compartiment S3 à accès restreint ou baliser l’objet si vous utilisez le contrôle d’accès par attributs (ABAC). Envisagez également de masquer les données lorsqu’elles sont détectées. 

   1.  Alertez vos équipes de protection des données et de réponse aux incidents pour qu’elles étudient la cause racine de l’incident. Tous les enseignements qu’elles identifient peuvent aider à prévenir de futurs incidents. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Glue : Détecter et traiter les données sensibles](https://docs.aws.amazon.com/glue/latest/dg/detect-PII.html) 
+  [Utilisation des identifiants de données gérés dans Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-message-data-protection-managed-data-identifiers.html) 
+  [Amazon CloudWatch Logs : Aider à protéger les données sensibles des journaux grâce au masquage](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/mask-sensitive-log-data.html) 

 **Exemples connexes :** 
+  [Activation de la classification des données pour la base de données Amazon RDS avec Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) 
+  [Détection de données sensibles dans DynamoDB avec Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) 

 **Outils associés :** 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [Amazon Comprehend](https://aws.amazon.com/comprehend/) 
+  [Amazon Comprehend Medical](https://aws.amazon.com/comprehend/medical/) 
+  [AWS Glue](https://aws.amazon.com/glue/) 

# SEC07-BP04 Définir la gestion évolutive du cycle de vie des données
<a name="sec_data_classification_lifecycle_management"></a>

 Comprenez vos exigences relatives au cycle de vie des données en fonction de vos différents niveaux de classification et de traitement des données.  Cela peut inclure la manière dont les données sont traitées lorsqu’elles entrent pour la première fois dans votre environnement, la manière dont les données sont transformées, ainsi que les règles relatives à leur destruction. Tenez compte de facteurs tels que les périodes de conservation, l’accès, l’audit et le suivi de la provenance. 

 **Résultat escompté :** vous classez les données le plus près possible du point et de l’heure d’ingestion. Lorsque la classification des données requiert un masquage, une création de jeton ou d’autres processus réduisant le niveau de sensibilité, vous effectuez ces actions le plus près possible du point et de l’heure de l’ingestion. 

 Vous supprimez les données conformément à votre politique lorsqu’il n’est plus approprié de les conserver, en fonction de leur classification. 

 **Anti-modèles courants :** 
+  Mettre en œuvre une approche universelle de la gestion du cycle de vie des données, sans tenir compte des différents niveaux de sensibilité et des exigences d’accès. 
+  Envisager la gestion du cycle de vie uniquement du point de vue des données utilisables ou des données sauvegardées, mais pas des deux. 
+  Supposer que les données entrées dans votre charge de travail sont valides, sans établir leur valeur ni leur provenance. 
+  S’appuyer sur la durabilité des données pour remplacer la sauvegarde et la protection des données. 
+  Conserver les données au-delà de leur utilité et de la période de conservation requise. 

 **Avantages du respect de cette bonne pratique :** une stratégie de gestion du cycle de vie des données bien définie et évolutive permet de maintenir la conformité réglementaire, d’améliorer la sécurité des données, d’optimiser les coûts de stockage et de permettre un accès et un partage efficaces des données tout en maintenant les contrôles appropriés. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Les données d’une charge de travail sont souvent dynamiques.  La forme qu’elles prennent lors de leur entrée dans votre environnement de charge de travail peut être différente de celle prise pour le stockage ou l’utilisation dans la logique métier, les rapports, l’analytique ou le machine learning.  De plus, la valeur des données peut évoluer au fil du temps. Certaines données sont de nature temporelle et perdent de la valeur à mesure qu’elles vieillissent.  Réfléchissez à l’impact de ces modifications sur l’évaluation de vos données dans le cadre de votre système de classification des données et des contrôles associés.  Dans la mesure du possible, utilisez un mécanisme de cycle de vie automatisé, tel que les [stratégies de cycle de vie d’Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) et le [gestionnaire de cycle de vie Amazon Data](https://aws.amazon.com/ebs/data-lifecycle-manager/), pour configurer vos processus de conservation, d’archivage et d’expiration des données. Pour les données stockées dans DynamoDB, vous pouvez utiliser la fonctionnalité [Time To Live (TTL)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html) pour définir un horodatage d’expiration par élément.  

 Faites la distinction entre les données qui peuvent être utilisées et celles qui sont stockées en tant que sauvegarde.  Envisagez d’utiliser [AWS Backup](https://aws.amazon.com/backup/) pour automatiser la sauvegarde des données entre les services AWS.  [Les instantanés Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) permettent de copier un volume EBS et de le stocker à l’aide des fonctionnalités S3, notamment le cycle de vie, la protection des données et l’accès aux mécanismes de protection. Deux de ces mécanismes sont le [verrouillage d’objet S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) et [AWS Backup Vault Lock](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html), qui peuvent vous apporter une sécurité et un contrôle supplémentaires sur vos sauvegardes. Gérez une séparation claire des tâches et des accès pour les sauvegardes. Isolez les sauvegardes au niveau du compte afin de préserver la séparation avec l’environnement affecté lors d’un événement. 

 Un autre aspect de la gestion du cycle de vie consiste à enregistrer l’historique des données au fur et à mesure de leur progression dans votre charge de travail, ce que l’on appelle le *suivi de la provenance des données*. Vous avez ainsi l’assurance de savoir d’où viennent les données, si des transformations ont été effectuées, quel propriétaire ou processus a appliqué ces modifications et quand.  Le fait de disposer de cet historique contribue à résoudre les problèmes et à réaliser des enquêtes lors d’événements de sécurité potentiels.  Par exemple, vous pouvez journaliser les métadonnées relatives aux transformations dans une table [Amazon DynamoDB](https://aws.amazon.com/dynamodb/).  Au sein d’un lac de données, vous pouvez conserver des copies des données transformées dans différents compartiments S3 pour chaque étape du pipeline de données. Stockez les informations relatives au schéma et à l’horodatage dans un [AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html).  Quelle que soit la solution adoptée, tenez compte des exigences de vos utilisateurs finaux afin de déterminer l’outillage approprié dont vous avez besoin pour établir des rapports sur la provenance de vos données.  Cela vous aidera à déterminer la meilleure façon de suivre la provenance des données. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Analysez les types de données, les niveaux de sensibilité et les exigences d’accès de la charge de travail pour classer les données et définir des stratégies de gestion du cycle de vie appropriées. 

1.  Concevez et mettez en œuvre des politiques de conservation des données et des processus de destruction automatisés conformes aux exigences légales, réglementaires et organisationnelles. 

1.  Établissez des processus et une automatisation pour une surveillance, un audit et un ajustement continus des stratégies, contrôles et politiques de gestion du cycle de vie des données en fonction de l’évolution des exigences et des réglementations en matière de charge de travail. 

   1.  Détectez les ressources pour lesquelles la gestion automatique du cycle de vie n’est pas activée avec [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/s3-lifecycle-policy-check.html). 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [COST04-BP05 Appliquer les politiques de conservation des données](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_decomissioning_resources_data_retention.html) 
+  [SUS04-BP03 Utiliser des politiques pour gérer le cycle de vie de vos jeux de données](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_data_a4.html) 

 **Documents connexes :** 
+  [Livre blanc sur la classification des données](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html) 
+  [AWS Blueprint for Ransomware Defense](https://d1.awsstatic.com/whitepapers/compliance/AWS-Blueprint-for-Ransomware-Defense.pdf) 
+  [Guide DevOps : Améliorer la traçabilité grâce au suivi de la provenance des données](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/ag.dlm.8-improve-traceability-with-data-provenance-tracking.html) 

 **Exemples connexes :** 
+  [Comment protéger les données sensibles pendant tout leur cycle de vie dans AWS](https://aws.amazon.com/blogs/security/how-to-protect-sensitive-data-for-its-entire-lifecycle-in-aws/) 
+  [Créer un lignage de données pour les lacs de données à l’aide de AWS Glue, d’Amazon Neptune et de Spline](https://aws.amazon.com/blogs/big-data/build-data-lineage-for-data-lakes-using-aws-glue-amazon-neptune-and-spline/) 

 **Outils associés :** 
+  [AWS Backup](https://aws.amazon.com/backup/) 
+  [Amazon Data Lifecycle Manager](https://aws.amazon.com/ebs/data-lifecycle-manager/) 
+  [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) 

# Protection des données au repos
<a name="protecting-data-at-rest"></a>

Les *données au repos* représentent toutes les données que vous conservez dans un stockage non volatil pendant toute la durée de votre charge de travail. Cela comprend le stockage par bloc, le stockage d’objets, les bases de données, les archives, les appareils IoT et tout autre support de stockage sur lequel les données sont conservées. La protection de vos données inactives permet de réduire le risque d’accès non autorisé, lorsque le chiffrement et les contrôles d’accès appropriés sont mis en place. 

Le chiffrement et la création de jetons sont deux programmes de protection des données distincts, mais importants. 

*La création de jetons *est un processus qui vous permet de définir un jeton pour représenter une information sensible (par exemple, un jeton pour représenter le numéro de carte de crédit d’un client). Un jeton doit être vide de sens en soi et ne doit pas être dérivé des données qu’il contient. Par conséquent, un algorithme de chiffrement n’est pas utilisable comme jeton. En planifiant soigneusement votre approche de création de jetons, vous pouvez renforcer la protection de votre contenu et vous assurer que vous répondez à vos exigences de conformité. Par exemple, vous pouvez réduire le champ de conformité d’un système de traitement des cartes de crédit si vous utilisez un jeton au lieu d’un numéro de carte de crédit. 

*Le chiffrement *est un moyen de transformer un contenu de manière à le rendre illisible sans clé secrète, nécessaire pour le déchiffrer. La création de jetons et le chiffrement peuvent être utilisés pour sécuriser et protéger des informations, le cas échéant. En outre, le masquage est une technique qui permet d’expurger une partie d’une donnée jusqu’à ce que le reste de la donnée ne soit plus considéré comme sensible. Par exemple, la norme PCI-DSS permet de conserver les quatre derniers chiffres d’un numéro de carte en dehors du périmètre de conformité pour l’indexation. 

**Auditer l’utilisation des clés de chiffrement : **vous devez comprendre et contrôler l’utilisation des clés de chiffrement afin de vérifier que les mécanismes de contrôle d’accès sur les clés sont correctement mis en œuvre. Par exemple, un service AWS utilisant une clé AWS KMS enregistre chaque utilisation dans AWS CloudTrail. Vous pouvez ensuite interroger AWS CloudTrail, en utilisant un outil tel qu’Amazon CloudWatch Logs Insights pour vous assurer que toutes les utilisations de vos clés sont valides. 

**Topics**
+ [SEC08-BP01 Mise en œuvre de la gestion sécurisée des clés](sec_protect_data_rest_key_mgmt.md)
+ [SEC08-BP02 Appliquer le chiffrement au repos](sec_protect_data_rest_encrypt.md)
+ [SEC08-BP03 Automatiser la protection des données au repos](sec_protect_data_rest_automate_protection.md)
+ [SEC08-BP04 Appliquer le contrôle d’accès](sec_protect_data_rest_access_control.md)

# SEC08-BP01 Mise en œuvre de la gestion sécurisée des clés
<a name="sec_protect_data_rest_key_mgmt"></a>

 La gestion sécurisée des clés inclut le stockage, la rotation, le contrôle d’accès et la surveillance des informations sur les clés nécessaires pour sécuriser les données au repos adaptées à votre charge de travail. 

 **Résultat escompté :** vous disposez d’un mécanisme de gestion de clés évolutif, reproductible et automatisé. Ce mécanisme applique un accès sur la base du moindre privilège aux éléments de clé et fournit le juste équilibre entre la disponibilité, la confidentialité et l’intégrité des clés. Vous surveillez l’accès aux clés et, si une rotation des éléments de clé est requise, vous effectuez leur rotation à l’aide d’un processus automatisé. Vous ne permettez pas à des opérateurs humains d’accéder aux éléments de clé. 

**Anti-modèles courants :** 
+  Accès humain à des informations sur les clés non chiffrées. 
+  Création d’algorithmes cryptographiques personnalisés. 
+  Autorisations trop larges pour accéder aux informations sur les clés. 

 **Avantages du respect de cette bonne pratique :** en établissant un mécanisme sécurisé de gestion des clés pour votre charge de travail, vous contribuez à protéger votre contenu contre tout accès non autorisé. En outre, vous pouvez être soumis à des exigences réglementaires en matière de chiffrement de vos données. Une solution efficace de gestion des clés peut fournir des mécanismes techniques conformes à ces réglementations afin de protéger les informations sur les clés. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Le chiffrement des données au repos est un contrôle de sécurité fondamental. Pour mettre en œuvre ce contrôle, votre charge de travail a besoin d’un mécanisme permettant de stocker et de gérer en toute sécurité les éléments de clé utilisés pour chiffrer vos données au repos. 

 AWS propose AWS Key Management Service (AWS KMS) pour fournir un stockage durable, sécurisé et redondant pour les clés AWS KMS. [De nombreux services AWS s’intègrent à AWS KMS](https://aws.amazon.com/kms/features/#integration) pour prendre en charge le chiffrement de vos données. AWS KMS utilise des modules de sécurité matériels validés FIPS 140-3 niveau 3 pour protéger vos clés. Il n’existe aucun mécanisme permettant d’exporter les clés AWS KMS en texte brut. 

 Lorsque vous déployez des charges de travail à l’aide d’une stratégie multi-compte, vous devez conserver les clés AWS KMS dans le même compte que la charge de travail qui les utilise. [Ce modèle distribué](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html#app-kms) délègue la responsabilité de la gestion des clés AWS KMS à votre équipe. Dans d’autres cas d’utilisation, votre organisation peut choisir de stocker les clés AWS KMS dans un compte centralisé. Cette structure centralisée nécessite des politiques supplémentaires pour permettre l’accès intercompte requis afin que le compte de la charge de travail puisse accéder aux clés stockées dans le compte centralisé, mais elle s’applique peut-être plus aux cas d’utilisation où une seule clé est partagée entre plusieurs Comptes AWS. 

 Quel que soit l’endroit où les éléments de clé sont stockés, vous devez contrôler étroitement l’accès aux clés en utilisant des [stratégies de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) et des politiques IAM. Les stratégies de clé constituent le principal moyen de contrôler l’accès à une clé AWS KMS. En outre, les octrois de clés AWS KMS peuvent fournir un accès aux services AWS pour chiffrer et déchiffrer les données en votre nom. Passez en revue les [recommandations en matière de contrôle d’accès à vos clés AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html). 

 Vous devez surveiller l’utilisation des clés de chiffrement afin de détecter les modèles d’accès inhabituels. Les opérations effectuées à l’aide de clés gérées par AWS et de clés gérées par le client stockées dans AWS KMS peuvent être journalisées dans AWS CloudTrail et doivent être examinées périodiquement. Portez une attention particulière à la surveillance des événements de destruction des clés. Pour limiter la destruction accidentelle ou malveillante des informations sur les clés, les événements de destruction des clés ne suppriment pas immédiatement ces informations. Les tentatives de suppression de clés dans AWS KMS sont soumises à un [délai d’attente](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-how-it-works), qui est de 30 jours par défaut et de 7 jours au minimum, ce qui donne aux administrateurs le temps d’examiner ces actions et d’annuler la demande si nécessaire. 

 La plupart des services AWS utilisent AWS KMS de manière transparente pour vous. Vous n’avez qu’à décider si vous souhaitez utiliser une clé gérée par AWS ou une clé gérée par le client. Si votre charge de travail nécessite l’utilisation directe de AWS KMS pour chiffrer ou déchiffrer des données, vous devez utiliser le [chiffrement d’enveloppe](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) pour protéger vos données. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) peut fournir à vos applications des primitives de chiffrement côté client pour implémenter le chiffrement d’enveloppe et l’intégrer à AWS KMS. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Déterminez les [options de gestion des clés](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) appropriées (gérées par AWS ou gérées par le client) pour la clé. 

   1.  Pour faciliter l’utilisation, AWS propose des clés AWS qui appartiennent au client et des clés gérées par AWS pour la plupart des services. Elles fournissent une fonctionnalité de chiffrement au repos sans qu’il soit nécessaire de gérer les informations sur les clés ou les stratégies les concernant. 

   1.  Lorsque vous utilisez des clés gérées par le client, pensez au magasin de clé par défaut afin de trouver le meilleur équilibre entre agilité, sécurité, souveraineté des données et disponibilité. D’autres cas d’utilisation peuvent nécessiter l’utilisation de magasins de clés personnalisés avec [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) ou le [magasin de clés externe](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html). 

1.  Consultez la liste des services que vous utilisez pour votre charge de travail afin de comprendre comment AWS KMS s’y intègre. Par exemple, les instances EC2 peuvent utiliser des volumes EBS chiffrés. Elles vérifient ainsi que les instantanés Amazon EBS créés à partir de ces volumes sont également chiffrés à l’aide d’une clé gérée par le client et limitent la divulgation accidentelle des données instantanées non chiffrées. 

   1.  [Comment les services AWS utilisent AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/service-integration.html) 

   1.  Pour plus d’informations sur les options de chiffrement proposées par un service AWS, consultez la rubrique Chiffrement au repos dans le guide de l’utilisateur ou le guide du développeur du service. 

1.  Mettez en œuvre AWS KMS : AWS KMS simplifie la création et la gestion des clés et le contrôle de l’utilisation du chiffrement dans un large éventail de services AWS et dans vos applications. 

   1.  [Premiers pas : AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) 

   1.  Passez en revue les [bonnes pratiques en matière de contrôle d’accès à vos clés AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies-best-practices.html). 

1.  Envisagez d’utiliser AWS Encryption SDK : utilisez AWS Encryption SDK avec l’intégration de AWS KMS lorsque votre application doit chiffrer des données côté client. 

   1.  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 

1.  Activez l’[Analyseur d’accès IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) pour examiner et envoyer automatiquement des notifications si les stratégies de clés AWS KMS sont trop génériques. 

   1.  Envisagez d’utiliser des [contrôles de politique personnalisés](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html) pour vérifier qu’une mise à jour de la politique de ressources n’accorde pas un accès public aux clés KMS. 

1.  Activez [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/kms-controls.html) pour recevoir des notifications en cas de mauvaise configuration de stratégies de clés, de clés dont la suppression est prévue ou de clés dont la rotation automatique est activée. 

1.  Déterminez le niveau de journalisation approprié pour vos clés AWS KMS. Étant donné que les appels à AWS KMS, y compris les événements en lecture seule, sont journalisés, les journaux CloudTrail associés à AWS KMS peuvent devenir volumineux. 

   1.  Certaines organisations préfèrent séparer les activités de journalisation AWS KMS à un emplacement distinct. Pour plus de détails, consultez la section [Journalisation des appels d’API AWS KMS avec CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) du guide du développeur AWS KMS. 

## Ressources
<a name="resources"></a>

 **Documents connexes:** 
+  [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 
+  [AWS Services et outils cryptographiques](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-overview.html) 
+  [Protection des données Amazon S3 à l’aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 
+  [Chiffrement d’enveloppe](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping) 
+  [Engagement de souveraineté numérique](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) 
+  [Démystifier les opérations de clés AWS KMS, apporter votre propre clé, magasin de clés personnalisé et portabilité du texte chiffré](https://aws.amazon.com/blogs/security/demystifying-kms-keys-operations-bring-your-own-key-byok-custom-key-store-and-ciphertext-portability/) 
+  [AWS Key Management Service Détails cryptographiques](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Vidéos connexes:** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 
+  [AWS data protection: Using locks, keys, signatures, and certificates](https://www.youtube.com/watch?v=lD34wbc7KNA) 

 **Exemples connexes:** 
+  [Mettre en œuvre des mécanismes de contrôle d’accès avancés avec AWS KMS](https://catalog.workshops.aws/advkmsaccess/en-US/introduction) 

# SEC08-BP02 Appliquer le chiffrement au repos
<a name="sec_protect_data_rest_encrypt"></a>

 Chiffrez les données privées au repos pour préserver leur confidentialité et offrir une couche de protection supplémentaire contre la divulgation ou l’exfiltration involontaire des données. Le chiffrement protège les données de manière à ce qu’elles ne puissent pas être lues ou consultées sans être préalablement déchiffrées. Inventoriez et contrôlez les données non chiffrées afin d’atténuer les risques associés à l’exposition des données. 

 **Résultat escompté :** vous disposez de mécanismes qui chiffrent les données privées par défaut lorsqu’elles sont au repos. Ces mécanismes contribuent à préserver la confidentialité des données et offre une couche de protection supplémentaire contre la divulgation ou l’exfiltration involontaires des données. Vous maintenez un inventaire des données non chiffrées et vous comprenez les contrôles mis en place pour les protéger. 

 **Anti-modèles courants :** 
+  Ne pas utiliser les configurations chiffrées par défaut. 
+  Fournir un accès trop permissif aux clés de déchiffrement. 
+  Ne pas surveiller l’utilisation des clés de chiffrement et de déchiffrement. 
+  Stocker des données non chiffrées. 
+  Utiliser la même clé de chiffrement pour toutes les données, quels que soient l’utilisation, le type et la classification des données. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Mappez les clés de chiffrement aux classifications de données dans vos charges de travail. Cette approche permet de se protéger contre un accès trop permissif lorsque vous utilisez une seule clé de chiffrement ou un très petit nombre de clés de chiffrement pour vos données (voir [SEC07-BP01 Comprendre votre schéma de classification des données](sec_data_classification_identify_data.md)). 

 AWS Key Management Service (AWS KMS) s’intègre à de nombreux services AWS afin de faciliter le chiffrement des données au repos. Par exemple, dans Amazon Elastic Compute Cloud (Amazon EC2), vous pouvez définir un [chiffrement par défaut](https://docs.aws.amazon.com/ebs/latest/userguide/work-with-ebs-encr.html#encryption-by-default) sur les comptes pour que les nouveaux volumes EBS soient chiffrés automatiquement. Lorsque vous utilisez AWS KMS, tenez compte du degré de restriction des données. Les clés AWS KMS par défaut et contrôlées par le service sont gérées et utilisées en votre nom par AWS. Pour les données sensibles qui nécessitent un accès précis à la clé de chiffrement sous-jacente, envisagez les clés gérées par le client (CMK). Vous disposez d’un contrôle total sur les CMK, y compris la rotation et la gestion des accès grâce à l’utilisation de stratégies de clés. 

 En outre, des services tels qu’Amazon Simple Storage Service ([Amazon S3](https://aws.amazon.com/blogs/aws/amazon-s3-encrypts-new-objects-by-default/)) chiffrent désormais tous les nouveaux objets par défaut. Cette implémentation offre une sécurité renforcée sans aucun impact sur les performances. 

 D’autres services, comme [Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default) (Amazon EC2) ou [Amazon Elastic File System](https://docs.aws.amazon.com/prescriptive-guidance/latest/encryption-best-practices/efs.html) (Amazon EFS), prennent en charge les paramètres de chiffrement par défaut. Vous pouvez également utiliser [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour vérifier automatiquement que vous utilisez le chiffrement pour les [volumes Amazon Elastic Block Store (Amazon EBS)](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html), les [instances Amazon Relational Database Service (Amazon RDS)](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html), les [compartiments Amazon S3](https://docs.aws.amazon.com/config/latest/developerguide/s3-default-encryption-kms.html) et d’autres services au sein de votre organisation. 

 AWS fournit également des options de chiffrement côté client, ce qui vous permet de chiffrer les données avant de les télécharger dans le cloud. AWS Encryption SDK fournit un moyen de chiffrer vos données à l’aide du [chiffrement d’enveloppe](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping). Vous fournissez la clé de wrapping et AWS Encryption SDK génère une clé de données unique pour chaque objet de données qu’il chiffre. Envisagez AWS CloudHSM si vous avez besoin d’un module de sécurité du matériel géré à un seul locataire (HSM). AWS CloudHSM vous permet de générer, d’importer et de gérer des clés de chiffrement sur un HSM validé FIPS 140-2 de niveau 3. Certains cas d’utilisation pour AWS CloudHSM incluent la protection des clés privées pour l’émission d’une autorité de certification (CA) et le chiffrement transparent des données (TDE) pour les bases de données Oracle. Le kit SDK client AWS CloudHSM fournit un logiciel qui vous permet de chiffrer des données côté client à l’aide de clés stockées dans AWS CloudHSM avant de télécharger vos données dans AWS. Le client de chiffrement Amazon DynamoDB vous permet également de chiffrer et de signer les éléments avant de les télécharger dans une table DynamoDB. 

### Étapes d’implémentation
<a name="implementation-steps"></a>
+  **Configurer le **[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html)** :** indiquez que vous souhaitez que tous les nouveaux volumes Amazon EBS soient créés sous forme chiffrée, avec la possibilité d’utiliser la clé par défaut fournie par AWS ou une clé que vous créez. 
+  **Configurer des Amazon Machine Images (AMI) chiffrées :** la copie d’une AMI existante avec le chiffrement configuré chiffrera automatiquement les volumes racine et les instantanés. 
+  **Configurer le **[https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)** :** configurez le chiffrement pour vos clusters de base de données Amazon RDS et vos instantanés au repos en activant l’option de chiffrement. 
+  **Créer et configurer des clés AWS KMS avec des stratégies qui limitent l’accès aux principaux appropriés pour chaque classification de données :** par exemple, créez une clé AWS KMS pour chiffrer les données de production et une clé différente pour chiffrer les données de développement ou de test. Vous pouvez également fournir un accès de clé à d’autres Comptes AWS. Envisagez d’avoir différents comptes pour vos environnements de développement et de production. Si votre environnement de production a besoin de déchiffrer des artefacts dans le compte de développement, vous pouvez modifier la politique de CMK utilisée pour chiffrer les artefacts de développement afin de permettre au compte de production de déchiffrer ces artefacts. L’environnement de production peut ensuite ingérer les données déchiffrées afin de les utiliser en production. 
+  **Configurer le chiffrement dans des services AWS supplémentaires :** pour les autres services AWS que vous utilisez, passez en revue la [documentation de sécurité](https://docs.aws.amazon.com/security/) de ce service afin d’en déterminer les options de chiffrement. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Outils de chiffrement AWS](https://docs.aws.amazon.com/aws-crypto-tools) 
+  [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/introduction.html) 
+  [Livre blanc sur les informations cryptographiques AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [AWS Key Management Service](https://aws.amazon.com/kms) 
+  [Services et outils cryptographiques AWS](https://docs.aws.amazon.com/aws-crypto-tools/) 
+  [Chiffrement Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  [Chiffrement par défaut pour les volumes Amazon EBS](https://aws.amazon.com/blogs/aws/new-opt-in-to-default-encryption-for-new-ebs-volumes/) 
+  [Chiffrement des ressources Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html) 
+  [Comment activer le chiffrement par défaut pour un compartiment Amazon S3 ?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/default-bucket-encryption.html) 
+  [Protection des données Amazon S3 à l’aide du chiffrement](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) 

 **Vidéos connexes :** 
+  [How Encryption Works in AWS](https://youtu.be/plv7PQZICCM) 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# SEC08-BP03 Automatiser la protection des données au repos
<a name="sec_protect_data_rest_automate_protection"></a>

 Utilisez l’automatisation pour valider et appliquer les contrôles des données au repos.  Utilisez l’analyse automatique pour détecter les erreurs de configuration de vos solutions de stockage de données et effectuez des corrections par le biais d’une réponse programmatique automatisée dans la mesure du possible.  Intégrez l’automatisation à vos processus de CI/CD afin de détecter les erreurs de configuration du stockage de données avant leur déploiement en production. 

 **Résultat escompté :** les systèmes automatisés analysent et surveillent les emplacements de stockage de données pour détecter les erreurs de configuration des commandes, les accès non autorisés et les utilisations inattendues.  La détection d’emplacements de stockage mal configurés déclenche des mesures correctives automatisées.  Les processus automatisés créent des sauvegardes de données et stockent des copies immuables en dehors de l’environnement d’origine. 

 **Anti-modèles courants :** 
+  Ne pas prendre en compte les options permettant d’activer des paramètres de chiffrement par défaut, lorsque le chiffrement est pris en charge. 
+  Ne pas prendre en compte les événements de sécurité, en plus des événements opérationnels, lors de la formulation d’une stratégie de sauvegarde et de restauration automatisée. 
+  Ne pas appliquer les paramètres d’accès public pour les services de stockage. 
+  Ne pas surveiller ni auditer vos contrôles pour protéger les données au repos. 

 **Avantages du respect de cette bonne pratique :** l’automatisation permet de prévenir le risque de mauvaise configuration de vos emplacements de stockage de données. Cela permet d’éviter que des erreurs de configuration ne pénètrent dans vos environnements de production. Grâce à cette bonne pratique, vous pouvez également détecter et corriger les erreurs de configuration, le cas échéant.  

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** moyen 

## Directives d’implémentation 
<a name="implementation-guidance"></a>

 L’automatisation est un thème récurrent dans les pratiques de protection de vos données au repos. [SEC01-BP06 Automatiser le déploiement de contrôles de sécurité standard](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) décrit comment vous pouvez capturer la configuration de vos ressources à l’aide de modèles d’*infrastructure en tant que code* (IaC), tels que [AWS CloudFormation](https://aws.amazon.com/cloudformation/).  Ces modèles sont validés dans un système de contrôle de version et sont utilisés pour déployer des ressources sur AWS via un pipeline CI/CD.  Ces techniques s’appliquent également à l’automatisation de la configuration de vos solutions de stockage de données, telles que les paramètres de chiffrement des compartiments Amazon S3.   

 Vous pouvez vérifier si les paramètres que vous définissez dans les modèles IaC ont été configurés correctement dans vos pipelines CI/CD à l’aide de règles dans [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html).  Vous pouvez surveiller les paramètres qui ne sont pas encore disponibles dans CloudFormation ou dans d’autres outils IaC pour détecter toute mauvaise configuration avec [AWS Config](https://aws.amazon.com/config/).  Les alertes générées par Config en cas d’erreur de configuration peuvent être corrigées automatiquement, comme décrit dans [SEC04-BP04 Initier les mesures de correction pour les ressources non conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html). 

 L’utilisation de l’automatisation dans le cadre de votre stratégie de gestion des autorisations fait également partie intégrante des protections automatisées des données. [SEC03-BP02 Accorder l’accès au moindre privilège](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) et [SEC03-BP04 Réduire les autorisations en continu](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) décrivent la configuration de stratégies d’accès au moindre privilège qui sont surveillées en permanence par [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) pour générer des résultats lorsque les autorisations peuvent être réduites.  Au-delà de l’automatisation des autorisations de surveillance, vous pouvez configurer [Amazon GuardDuty](https://aws.amazon.com/guardduty/) pour détecter tout comportement anormal d’accès aux données pour vos [volumes EBS](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html) (via une instance EC2), vos [compartiments S3](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) et les [bases de données Amazon Relational Database Service](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) prises en charge. 

 L’automatisation joue également un rôle dans la détection des données sensibles stockées dans des emplacements non autorisés. [SEC07-BP03 Automatiser l’identification et la classification](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) décrit comment [Amazon Macie](https://aws.amazon.com/macie/) peut surveiller vos compartiments S3 pour détecter les données sensibles inattendues et générer des alertes susceptibles de déclencher une réponse automatique. 

 Suivez les pratiques décrites dans [REL09 Données de sauvegarde](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/back-up-data.html) pour développer une stratégie automatisée de sauvegarde et de restauration des données. La sauvegarde et la restauration des données sont aussi importantes pour la restauration après des événements de sécurité que pour des événements opérationnels. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Capturez la configuration du stockage de données dans des modèles IaC.  Utilisez des contrôles automatisés dans vos pipelines CI/CD pour détecter les erreurs de configuration. 

   1.  Vous pouvez utiliser vos modèles d’infrastructure en tant que code pour [CloudFormation](https://aws.amazon.com/cloudformation/) et utiliser [CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) pour vérifier que les modèles sont bien configurés. 

   1.  Utilisez [AWS Config](https://aws.amazon.com/config/) pour exécuter des règles dans un mode d’évaluation proactif. Utilisez ce paramètre pour vérifier la conformité d’une ressource en tant qu’étape de votre pipeline CI/CD avant de la créer. 

1.  Surveillez les ressources pour détecter les erreurs de configuration du stockage de données. 

   1.  Paramétrez [AWS Config](https://aws.amazon.com/config/) pour qu’il surveille les ressources de stockage de données afin de détecter les modifications apportées aux configurations de contrôle et pour générer des alertes afin d’invoquer des mesures correctives lorsqu’il détecte une mauvaise configuration. 

   1.  Consultez [SEC04-BP04 Lancer la correction des ressources non conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) pour plus de conseils sur les corrections automatisées. 

1.  Surveillez et réduisez continuellement les autorisations d’accès aux données grâce à l’automatisation. 

   1.  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) peut fonctionner en continu pour générer des alertes lorsque les autorisations sont susceptibles d’être réduites. 

1.  Surveillez et signalez les comportements anormaux en matière d’accès aux données. 

   1.  [GuardDuty](https://aws.amazon.com/guardduty/) surveille à la fois les signatures de menaces connues et les écarts par rapport aux comportements d’accès de base pour les ressources de stockage de données telles que les volumes EBS, les compartiments S3 et les bases de données RDS. 

1.  Surveillez les données sensibles et donnez l’alerte si certaines d’entre elles sont stockées dans des endroits inattendus. 

   1.  Utilisez [Amazon Macie](https://aws.amazon.com/macie/) pour analyser en permanence vos compartiments S3 à la recherche de données sensibles. 

1.  Automatisez les sauvegardes sécurisées et chiffrées de vos données. 

   1.  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) est un service géré qui crée des sauvegardes chiffrées et sécurisées de diverses sources de données sur AWS.  [Elastic Disaster Recovery](https://aws.amazon.com/disaster-recovery/) vous permet de copier les charges de travail complètes du serveur et de maintenir une protection continue des données avec un objectif de point de reprise (RPO) mesuré en secondes.  Vous pouvez configurer les deux services de façon à ce qu’ils fonctionnent ensemble pour automatiser la création de sauvegardes de données et leur copie vers des emplacements de basculement.  Vous pouvez ainsi garantir la disponibilité de vos données lorsqu’elles sont touchées par des événements opérationnels ou de sécurité. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+  [SEC01-BP06 Automatiser le déploiement des contrôles de sécurité standard](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_automate_security_controls.html) 
+  [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html) 
+  [SEC03-BP04 Limiter les autorisations au minimum requis en permanence](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_continuous_reduction.html) 
+  [SEC04-BP04 Lancer la correction pour les ressources non conformes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_noncompliant_resources.html) 
+  [SEC07-BP03 Automatiser l’identification et la classification](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_auto_classification.html) 
+  [REL09-BP02 Sécuriser et chiffrer les sauvegardes](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_secured_backups_data.html) 
+  [REL09-BP03 Effectuer automatiquement la sauvegarde des données](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_backing_up_data_automated_backups_data.html) 

 **Documents connexes :** 
+  [Conseils prescriptifs AWS : chiffrer automatiquement les volumes Amazon EBS existants et nouveaux](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-encrypt-existing-and-new-amazon-ebs-volumes.html) 
+  [Gestion des risques liés aux rançongiciels sur AWS à l’aide du NIST Cybersecurity Framework (CSF)](https://docs.aws.amazon.com/whitepapers/latest/ransomware-risk-management-on-aws-using-nist-csf/ransomware-risk-management-on-aws-using-nist-csf.html) 

 **Exemples connexes :** 
+  [Comment utiliser des règles proactives AWS Config et des hooks AWS CloudFormation pour empêcher la création de ressources cloud non conformes](https://aws.amazon.com/blogs/mt/how-to-use-aws-config-proactive-rules-and-aws-cloudformation-hooks-to-prevent-creation-of-non-complaint-cloud-resources/) 
+  [Automatiser et gérer de manière centralisée la protection des données pour Amazon S3 avec AWS Backup](https://aws.amazon.com/blogs/storage/automate-and-centrally-manage-data-protection-for-amazon-s3-with-aws-backup/) 
+  [AWS re:Invent 2023 - Implement proactive data protection using Amazon EBS snapshots](https://www.youtube.com/watch?v=d7C6XsUnmHc) 
+  [AWS re:Invent 2022 - Build and automate for resilience with modern data protection](https://www.youtube.com/watch?v=OkaGvr3xYNk) 

 **Outils associés :** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Registre des règles AWS CloudFormation Guard](https://github.com/aws-cloudformation/aws-guard-rules-registry) 
+  [IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/) 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 
+  [Reprise après sinistre Elastic](https://aws.amazon.com/disaster-recovery/) 

# SEC08-BP04 Appliquer le contrôle d’accès
<a name="sec_protect_data_rest_access_control"></a>

 Pour vous aider à protéger vos données au repos, appliquez le contrôle d’accès à l’aide de mécanismes tels que l’isolement et la gestion des versions. Appliquez les contrôles d’accès conditionnel et de moindre privilège. Empêchez l’octroi d’un accès public à vos données. 

 **Résultat escompté :** vous vérifiez que seuls les utilisateurs autorisés peuvent accéder aux données lorsqu’ils en ont besoin. Vous protégez vos données avec des sauvegardes régulières et la gestion des versions pour éviter toute modification ou suppression intentionnelle ou involontaire des données. Vous isolez les données critiques des autres données afin de protéger leur confidentialité et leur intégrité. 

**Anti-modèles courants :**
+  Stocker ensemble des données ayant différentes exigences en termes de sensibilité ou de classification. 
+  Utiliser des autorisations trop permissives sur les clés de déchiffrement. 
+  Classer les données de façon incorrecte. 
+  Ne pas conserver les sauvegardes détaillées des données importantes. 
+  Fournir un accès permanent aux données de production. 
+  Ne pas auditer l’accès aux données ni examiner régulièrement les autorisations.

**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Il est important de protéger les données au repos pour préserver leur intégrité, leur confidentialité et leur conformité aux exigences réglementaires. Vous pouvez mettre en œuvre plusieurs contrôles pour y parvenir, notamment le contrôle d’accès, l’isolation, l’accès conditionnel et la gestion des versions. 

 Vous pouvez appliquer le contrôle d’accès selon le principe du moindre privilège, qui fournit uniquement les autorisations nécessaires aux utilisateurs et aux services pour qu’ils effectuent leurs tâches. Cela inclut l’accès aux clés de chiffrement. Passez en revue vos [politiques AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) pour vous assurer que le niveau d’accès que vous accordez est approprié et que les conditions appropriées s’appliquent. 

 Vous pouvez séparer les données en fonction de différents niveaux de classification en utilisant des Comptes AWS distincts pour chaque niveau, et gérer ces comptes à l’aide d’[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). Cette isolation contribue à empêcher tout accès non autorisé et minimise le risque d’exposition des données. 

 Examinez régulièrement le niveau d’accès accordé dans les politiques de compartiment Amazon S3. Évitez d’utiliser des compartiments publiquement accessibles en lecture ou en écriture à moins que cela ne soit absolument nécessaire. Envisagez d’utiliser [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour détecter les compartiments publiquement disponibles et Amazon CloudFront pour diffuser du contenu à partir d’Amazon S3. Vérifiez que les compartiments qui ne doivent pas autoriser l’accès public sont configurés correctement pour l’empêcher. 

 Mettez en œuvre des mécanismes de gestion des versions et de verrouillage d’objets pour les données critiques stockées dans Amazon S3. La [gestion des versions d’Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) préserve les versions précédentes des objets pour permettre de récupérer les données en cas de suppression ou de remplacement accidentels. Le [verrouillage d’objet Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) fournit un contrôle d’accès obligatoire pour les objets, ce qui empêche leur suppression ou leur remplacement, même par l’utilisateur racine, jusqu’à l’expiration du verrou. En outre, le [verrouillage du coffre-fort Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) propose une fonctionnalité similaire pour les archives stockées dans Amazon Glacier. 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  **Appliquez un contrôle d’accès selon le principe du moindre privilège** : 
   +  Passez en revue les autorisations d’accès accordées aux utilisateurs et aux services, et vérifiez que ces derniers ne disposent que des autorisations nécessaires à l’exécution de leurs tâches. 
   +  Passez en revue l’accès aux clés de chiffrement en vérifiant les [politiques AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html). 

1.  **Séparez les données en fonction des différents niveaux de classification** : 
   +  Utilisez des Comptes AWS distincts pour chaque niveau de classification des données. 
   +  Gérez ces comptes avec [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). 

1.  **Passez en revue les autorisations relatives aux objets et aux compartiments Amazon S3** : 
   +  Examinez régulièrement le niveau d’accès accordé dans les politiques de compartiment Amazon S3. 
   +  Évitez d’utiliser des compartiments publiquement accessibles en lecture ou en écriture à moins que cela ne soit absolument nécessaire. 
   +  Envisagez d’utiliser [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) pour détecter les compartiments disponibles publiquement. 
   +  Utilisez Amazon CloudFront pour diffuser du contenu à partir d’Amazon S3. 
   +  Vérifiez que les compartiments qui ne doivent pas autoriser l’accès public sont configurés correctement pour l’empêcher. 
   +  Vous pouvez appliquer le même processus de révision aux bases de données et à toutes les autres sources de données qui utilisent l’authentification IAM, telles que SQS ou les entrepôts de données tiers. 

1.  **Utilisez l’Analyseur d’accès AWS IAM** : 
   +  Vous pouvez configurer l’Analyseur d’accès AWS IAM pour analyser des compartiments Amazon S3 et générer des résultats lorsqu’une politique S3 accorde l’accès à une entité externe. 

1.  **Implémentez des mécanismes de gestion des versions et de verrouillage d’objet**: 
   +  Utilisez la [gestion des versions d’Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) pour préserver les versions précédentes des objets et permettre de récupérer les données en cas de suppression ou de remplacement accidentels. 
   +  Utilisez le [verrouillage d’objet Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html) pour fournir un contrôle d’accès obligatoire pour les objets, ce qui empêche leur suppression ou leur remplacement, même par l’utilisateur racine, jusqu’à l’expiration du verrou. 
   +  Utilisez le [verrouillage du coffre-fort Amazon Glacier](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html) pour les archives stockées dans Amazon Glacier. 

1.  **Utilisez l’inventaire Amazon S**: 
   +  Vous pouvez utiliser l’[inventaire Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) pour auditer et signaler le statut de réplication et de chiffrement de vos objets S3. 

1.  **Vérifiez les autorisations de partage Amazon EBS et d’AMI**: 
   +  Passez en revue vos autorisations de partage pour [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) et le [partage d’AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) afin de vous assurer que vos images et volumes ne sont pas partagés avec des Comptes AWS en dehors de votre charge de travail. 

1.  **Passez régulièrement en revue les partages d’AWS Resource Access Manager** : 
   +  Vous pouvez utiliser [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) pour partager des ressources, telles que des politiques AWS Network Firewall, des règles d’Amazon Route 53 Resolver et des sous-réseaux, au sein de vos VPC Amazon. 
   +  Auditez régulièrement les ressources partagées et cessez de partager les ressources qui n’ont plus besoin de l’être. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+ [SEC03-BP01 Définir les conditions d’accès](sec_permissions_define.md) 
+  [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md) 

 **Documents connexes:** 
+  [AWS KMS Livre blanc sur les informations cryptographiques](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 
+  [Introduction à la gestion des autorisations d’accès à vos ressources Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  [Présentation de la gestion de l’accès à vos ressources AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
+  [Amazon S3 \$1 Amazon CloudFront : une combinaison parfaite dans le cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  [Utilisation de la gestion des versions](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
+  [Verrouillage d’objets avec la fonctionnalité de verrouillage d’objet Amazon S](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  [Partager un instantané Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
+  [AMI partagées](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 
+  [Hébergement d’une application d’une seule page sur Amazon S3](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html) 
+  [AWS Clés de condition globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [Crééation d’un périmètre des données sur AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) 

 **Vidéos connexes :** 
+  [Securing Your Block Storage on AWS](https://youtu.be/Y1hE1Nkcxs8) 

# Protection des données en transit
<a name="protecting-data-in-transit"></a>

 Les *données en transit* sont toutes les données envoyées d’un système à un autre. Cela inclut la communication entre les ressources dans votre charge de travail, ainsi que la communication entre d’autres services et vos utilisateurs finaux. En fournissant le niveau de protection approprié pour vos données en transit, vous protégez la confidentialité et l’intégrité des données de votre charge de travail. 

**Données sécurisées entre des sites VPC ou sur site :** vous pouvez les utiliser [AWS PrivateLink](https://aws.amazon.com/privatelink/) pour créer une connexion réseau sécurisée et privée entre Amazon Virtual Private Cloud (Amazon VPC) ou une connectivité sur site avec des services hébergés dans AWS. Vous pouvez accéder aux services AWS, aux services tiers et aux services d’autres Comptes AWS comme s’ils se trouvaient sur votre réseau privé. Avec AWS PrivateLink, vous pouvez accéder aux services sur plusieurs comptes avec des blocs CIDR d’adresses IP qui se chevauchent sans avoir besoin d’une passerelle Internet ou d’un NAT. Vous n’avez pas non plus besoin de configurer des règles de pare-feu, des définitions de chemin ou des tables de routage. Le trafic reste sur le backbone d’Amazon et ne traverse pas Internet. Vos données sont donc protégées. Vous pouvez rester conforme aux réglementations de conformité sectorielles, telles que les lois HIPAA et EU/US Privacy Shield. AWS PrivateLink fonctionne de manière transparente avec des solutions tierces pour créer un réseau mondial simplifié, vous permettant d’accélérer la migration vers le cloud et de profiter des services AWS disponibles.

**Topics**
+ [SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 Application du chiffrement en transit](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 Authentifier les communications réseau](sec_protect_data_transit_authentication.md)

# SEC09-BP01 Implémenter la gestion sécurisée des clés et des certificats
<a name="sec_protect_data_transit_key_cert_mgmt"></a>

 Les certificats du protocole TLS (Transport Layer Security) permettent de sécuriser les communications réseau et établir l’identité des sites Web, des ressources et des charges de travail sur Internet, ainsi que sur les réseaux privés. 

 **Résultat escompté :** un système de gestion des certificats sécurisé qui peut provisionner, déployer, stocker et renouveler des certificats dans une infrastructure à clé publique (PKI). Un mécanisme sécurisé de gestion des clés et des certificats empêche la divulgation de la clé privée du certificat et renouvelle automatiquement et périodiquement le certificat. Il s’intègre également à d’autres services pour fournir des communications réseau et une identité sécurisées pour les ressources de la machine au sein de votre charge de travail. Les clés ne doivent jamais être accessibles aux identités humaines. 

 **Anti-modèles courants :** 
+  Exécuter des étapes manuelles au cours des processus de déploiement ou de renouvellement des certificats. 
+  Ne pas accorder suffisamment d’attention à la hiérarchie de l’autorité de certification (AC) lors de la conception d’une AC privée. 
+  Utiliser des certificats auto-signés pour les ressources publiques. 

 **Avantages liés au respect de cette bonne pratique :**
+  Simplifiez la gestion des certificats en automatisant leur déploiement et leur renouvellement 
+  Encouragez le chiffrage des données en transit à l’aide de certificats TLS 
+  Amélioration de la sécurité et de l’auditabilité des actions de certification entreprises par l’autorité de certification 
+  Organisation des tâches de gestion à différents niveaux de la hiérarchie de l’AC 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Les charges de travail modernes font un usage intensif des communications réseau chiffrées à l’aide de protocoles PKI tels que le protocole TLS. La gestion des certificats PKI peut être complexe, mais le provisionnement, le déploiement et le renouvellement automatisés des certificats peuvent réduire les inconvénients liés à la gestion des certificats. 

 AWS fournit deux services pour gérer les certificats PKI à usage général : [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) et [AWS Autorité de certification privée (AWS CA privée)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html). ACM est le principal service que les clients utilisent pour provisionner, gérer et déployer des certificats destinés à être utilisés dans des charges de travail AWS publiques et privées. ACM émet des certificats privés en utilisant AWS CA privée et [s’intègre](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) à de nombreux autres services gérés par AWS pour fournir des certificats TLS sécurisés pour les charges de travail. ACM peut également délivrer des certificats reconnus publiquement à partir d’[Amazon Trust Services](https://www.amazontrust.com/repository/). Les certificats publics d’ACM peuvent être utilisés sur des charges de travail destinées au public, car les navigateurs et les systèmes d’exploitation modernes approuvent par défaut ces certificats. 

 AWS CA privée vous permet d’établir votre propre autorité de certification racine ou subordonnée et d’émettre des certificats TLS par l’intermédiaire d’une API. Vous pouvez utiliser ce type de certificats dans des scénarios où vous contrôlez et gérez la chaîne de confiance du côté client de la connexion TLS. En plus des cas d’utilisation TLS, AWS CA privée peut émettre des certificats à des pods Kubernetes, des attestations produits pour appareils Matter, une signature de code et d’autres cas d’utilisation avec un [modèle personnalisé](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html). Vous pouvez également utiliser [Rôles Anywhere IAM](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) pour fournir des informations d’identification IAM temporaires aux charges de travail sur site qui ont reçu des certificats X.509 signés par votre autorité de certification privée. 

 Outre ACM et AWS CA privée, [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/what-is-aws-iot.html) fournit un support spécialisé pour le provisionnement, la gestion et le déploiement de certificats PKI sur les appareils IoT. AWS IoT Core fournit des mécanismes spécialisés pour [intégrer des appareils IoT](https://docs.aws.amazon.com/whitepapers/latest/device-manufacturing-provisioning/device-manufacturing-provisioning.html) dans votre infrastructure à clé publique à grande échelle. 

 Certains services AWS, tels qu’[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) et [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html), proposent leurs propres fonctionnalités d’utilisation de certificats pour sécuriser les connexions des applications. Par exemple, API Gateway et Application Load Balancer (ALB) prennent en charge le protocole TLS mutuel (mTLS) à l’aide de certificats client que vous créez et exportez à l’aide de la AWS Management Console, de CLI ou des API. 

**Considérations relatives à l’établissement d’une hiérarchie d’autorité de certification privée **

 Lorsque vous devez établir une autorité de certification privée, il est important de prendre soin de concevoir correctement la hiérarchie de l’autorité de certification dès le départ. La bonne pratique consiste à déployer chaque niveau de votre hiérarchie d’autorité de certification dans des Comptes AWS distincts lorsque vous créez une hiérarchie d’autorité de certification privée. Cette étape intentionnelle réduit la surface de chaque niveau de la hiérarchie de l’autorité de certification, ce qui facilite la découverte d’anomalies dans les données de journalisation CloudTrail et réduit l’étendue de l’accès ou l’impact en cas d’accès non autorisé à l’un des comptes. L’autorité de certification racine doit résider dans son propre compte et ne doit être utilisée que pour émettre un ou plusieurs certificats d’autorité de certification intermédiaire. 

 Créez ensuite une ou plusieurs autorités de certification intermédiaires dans des comptes distincts du compte de l’autorité de certification racine afin d’émettre des certificats pour les utilisateurs finaux, les appareils ou d’autres charges de travail. Enfin, émettez des certificats à partir de votre autorité de certification racine vers les autorités de certification intermédiaires, qui émettront à leur tour des certificats vers vos utilisateurs finaux ou vos appareils. Pour plus d’informations sur la planification du déploiement des AC et la conception de la hiérarchie des AC, y compris la planification de la résilience, la réplication interrégionale, le partage des AC au sein de votre organisation et plus encore, voir [Planifier votre déploiement AWS CA privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html). 

### Étapes d’implémentation
<a name="implementation-steps"></a>

1.  Déterminez les services AWS pertinents requis pour votre cas d’utilisation : 
   +  De nombreux cas d’utilisation peuvent s’appuyer sur l’infrastructure de clés publiques existante d’AWS à l’aide d’[AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html). ACM peut déployer des certificats TLS pour les serveurs Web, les équilibreurs de charge ou d’autres utilisations pour des certificats publiquement approuvés. 
   +  Envisagez [AWS CA privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) si vous devez établir votre propre hiérarchie d’autorité de certification privée ou si vous avez besoin d’accéder à des certificats exportables. ACM peut ensuite être utilisé pour émettre de [nombreux types de certificats d’entité finale](https://docs.aws.amazon.com/privateca/latest/userguide/PcaIssueCert.html) à l’aide du AWS CA privée. 
   +  Pour les cas d’utilisation où les certificats doivent être provisionnés à grande échelle pour les appareils de l’Internet des objets (IoT) embarqués, envisagez [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html). 
   +  Envisagez d’utiliser les fonctionnalités mTLS natives dans des services tels qu’[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html) ou [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html). 

1.  Mettez en œuvre le renouvellement automatisé des certificats dans la mesure du possible : 
   +  Utilisez le [renouvellement géré par ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) pour les certificats émis par ACM, ainsi que les services intégrés gérés par AWS. 

1.  Établissez des journaux et des pistes d’audit : 
   +  Activez les [journaux CloudTrail](https://docs.aws.amazon.com/privateca/latest/userguide/PcaCtIntro.html) pour suivre l’accès aux comptes détenant des autorités de certification. Envisagez de configurer la validation de l’intégrité des fichiers journaux dans CloudTrail pour vérifier l’authenticité des données du journal. 
   +  Vous pouvez générer des [rapports d’audit](https://docs.aws.amazon.com/privateca/latest/userguide/PcaAuditReport.html) qui répertorient les certificats émis et révoqués par votre autorité de certification privée. Ces rapports peuvent être exportés vers un compartiment S3. 
   +  Lors du déploiement d’une autorité de certification privée, vous devrez également créer un compartiment S3 pour stocker la liste de révocation des certificats (CRL). Pour obtenir des conseils sur la configuration de ce compartiment S3 en fonction des exigences de votre charge de travail, voir [Planification d’une liste de révocation de certificats (CRL)](https://docs.aws.amazon.com/privateca/latest/userguide/crl-planning.html). 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées:** 
+  [SEC02-BP02 Utiliser des informations d’identification temporaires](sec_identities_unique.md) 
+ [SEC08-BP01 Mise en œuvre de la gestion sécurisée des clés](sec_protect_data_rest_key_mgmt.md)
+  [SEC09-BP03 Authentifier les communications réseau](sec_protect_data_transit_authentication.md) 

 **Documents connexes:** 
+  [Comment héberger et gérer une infrastructure complète de certificats privés dans AWS](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/) 
+  [Comment garantir une hiérarchie d’autorités de certification privées ACM à l’échelle de l’entreprise pour l’automobile et la fabrication](https://aws.amazon.com/blogs/security/how-to-secure-an-enterprise-scale-acm-private-ca-hierarchy-for-automotive-and-manufacturing/) 
+  [Bonnes pratiques en matière d’AC privée](https://docs.aws.amazon.com/privateca/latest/userguide/ca-best-practices.html) 
+  [Comment utiliser AWS RAM pour partager votre compte croisé Private CA](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/) 

 **Vidéos connexes:** 
+  [Activer Private CA AWS Certificate Manager (atelier)](https://www.youtube.com/watch?v=XrrdyplT3PE) 

 **Exemples connexes:** 
+  [Atelier sur les autorités de certification privées](https://catalog.workshops.aws/certificatemanager/en-US/introduction) 
+  [Atelier sur la gestion des appareils IoT](https://iot-device-management.workshop.aws/en/) (y compris le provisionnement des appareils) 

 **Outils associés:** 
+  [Plugin pour Kubernetes cert-manager pour utiliser AWS CA privée](https://github.com/cert-manager/aws-privateca-issuer) 

# SEC09-BP02 Application du chiffrement en transit
<a name="sec_protect_data_transit_encrypt"></a>

Appliquez vos exigences de chiffrement définies en fonction des politiques, des obligations réglementaires et des normes de votre entreprise afin de répondre aux exigences organisationnelles, juridiques et de conformité. Utilisez uniquement les protocoles avec chiffrement lors de la transmission de données sensibles en dehors de votre cloud privé virtuel (VPC). Le chiffrement permet de préserver la confidentialité des données, même lorsque celles-ci transitent par des réseaux non fiables.

 **Résultat escompté :** vous chiffrez le trafic réseau entre vos ressources et Internet afin de limiter l’accès non autorisé aux données. Vous chiffrez le trafic réseau au sein de votre environnement AWS interne en fonction de vos exigences de sécurité. Vous chiffrez les données en transit à l’aide des protocoles TLS sécurisés et de suites de chiffrement. 

 **Anti-modèles courants :** 
+  Utiliser des versions obsolètes de composants SSL, TLS et de suite de chiffrement (par exemple, SSL v3.0, clés RSA 1024 bits et chiffrement RC4). 
+  Autoriser le trafic non chiffré (HTTP) vers ou depuis des ressources publiques. 
+  Ne pas surveiller et ne pas remplacer les certificats X.509 avant leur expiration. 
+  Utiliser des certificats X.509 auto-signés pour TLS. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Les services AWS fournissent des points de terminaison HTTPS utilisant TLS pour la communication, ce qui assure le chiffrement en transit lors de la communication avec les API AWS. Les protocoles HTTP non sécurisés peuvent être audités et bloqués dans un cloud privé virtuel (VPC) dans le cadre de l’utilisation de groupes de sécurité. Les requêtes HTTP peuvent être également [redirigées automatiquement vers HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) dans Amazon CloudFront ou sur un [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). Vous pouvez utiliser une [politique de compartiment Amazon Simple Storage Service (Amazon S3)](https://aws.amazon.com/blogs/storage/enforcing-encryption-in-transit-with-tls1-2-or-higher-with-amazon-s3/) pour restreindre la possibilité de charger des objets via HTTP, en imposant l’utilisation du protocole HTTPS pour les chargements d’objets vers votre ou vos compartiments. Vous disposez d’un contrôle total sur vos ressources de calcul pour mettre en œuvre le chiffrement en transit dans l’ensemble de vos services. De plus, vous pouvez utiliser la connectivité VPN dans votre VPC à partir d’un réseau externe ou d’[AWS Direct Connect](https://aws.amazon.com/directconnect/) pour faciliter le chiffrement du trafic. Vérifiez que vos clients appellent les API AWS en utilisant au moins le protocole TLS 1.2, car [AWS a rendu en février 2024 obsolète l’utilisation des versions de TLS antérieures](https://aws.amazon.com/blogs/security/tls-1-2-required-for-aws-endpoints/). Nous vous recommandons d’utiliser TLS 1.3. Si vous avez des exigences particulières en matière de chiffrement en transit, vous pouvez trouver des solutions tierces dans AWS Marketplace. 

### Étapes d’implémentation
<a name="implementation-steps"></a>
+  **Appliquer le chiffrement en transit :** vos exigences en matière de chiffrement doivent être définies selon les dernières normes et bonnes pratiques en matière de sécurité, et doivent autoriser uniquement des protocoles sécurisés. Par exemple, configurez un groupe de sécurité afin d’autoriser uniquement le protocole HTTPS pour un Application Load Balancer ou une instance Amazon EC2. 
+  **Configurez des protocoles sécurisés dans les services de périphérie :** [configurez le protocole HTTPS avec Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html) et utilisez un [profil de sécurité adapté à votre posture de sécurité et à votre cas d’utilisation](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html#secure-connections-supported-ciphers). 
+  **Utiliser un [VPN pour la connectivité externe](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html) :** envisagez d’utiliser un VPN IPsec pour sécuriser les connexions point à point ou réseau à réseau afin d’assurer à la fois la confidentialité et l’intégrité des données. 
+  **Configurer des protocoles sécurisés dans les équilibreurs de charge :** sélectionnez une politique de sécurité fournissant les suites de chiffrement les plus puissantes prises en charge par les clients qui se connecteront à l’écouteur. [Créez un écouteur HTTPS pour votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html). 
+  **Configurer des protocoles sécurisés dans Amazon Redshift :** configurez votre cluster pour exiger une [connexion SSL (Secure Socket Layer) ou TLS (Transport Layer Security)](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html). 
+  **Configurer des protocoles sécurisés :** consultez la documentation de service AWS pour déterminer les capacités de chiffrement en transit. 
+  **Configurez un accès sécurisé lors du téléchargement vers des compartiments Amazon S3 :** utilisez les contrôles de stratégie de compartiment Amazon S3 pour [garantir un accès sécurisé](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) aux données. 
+  **Envisagez d’utiliser [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) :** ACM vous permet de provisionner, de gérer et de déployer des certificats TLS publics à utiliser avec des services AWS. 
+  **Envisagez d’utiliser [AWS Autorité de certification privée](https://aws.amazon.com/private-ca/) pour les besoins du PKI privé :** AWS CA privée vous permet de créer des hiérarchies d’autorités de certification (AC) privées pour délivrer des certificats X.509 d’entité finale qui peuvent être utilisés pour créer des canaux TLS cryptés. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Utilisation du protocole HTTPS avec CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ [ Connexion de votre VPC à des réseaux distants utilisant AWS Virtual Private Network](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)
+ [ Création d’un écouteur HTTPS pour votre Application Load Balancer ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ [ Didacticiel : Configurer SSL/TLS sur Amazon Linux 2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-amazon-linux-2.html)
+ [ Utilisation de SSL/TLS pour chiffrer une connexion à une instance de base de données ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ [ Configuration des options de sécurité des connexions ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)

# SEC09-BP03 Authentifier les communications réseau
<a name="sec_protect_data_transit_authentication"></a>

 Vérifiez l’identité des communications à l’aide de protocoles comme TLS (Transport Layer Security) ou IPsec qui prennent en charge l’authentification. 

 Concevez votre charge de travail de manière à utiliser des protocoles réseau sécurisés et authentifiés lors de la communication entre les services, les applications ou avec les utilisateurs. L’utilisation de protocoles réseau qui prennent en charge l’authentification et l’autorisation permet de mieux contrôler les flux du réseau et de réduire l’impact des accès non autorisés. 

 **Résultat escompté :** une charge de travail avec un plan de données et un plan de contrôle bien définis circulent entre les services. Les flux de trafic utilisent des protocoles réseau authentifiés et chiffrés lorsque cela est techniquement possible. 

 **Anti-modèles courants :** 
+  Flux de trafic non chiffrés ou non authentifiés au sein de votre charge de travail. 
+  Réutilisation des informations d’authentification par plusieurs utilisateurs ou entités. 
+  S’appuyer uniquement sur les contrôles réseau pour contrôler les accès. 
+  Créer un mécanisme d’authentification personnalisé au lieu d’utiliser des mécanismes d’authentification standard. 
+  Flux de trafic trop permissifs entre les composants des services ou d’autres ressources dans le VPC. 

 **Avantages liés au respect de cette bonne pratique :** 
+  Limite l’impact des accès non autorisés à une partie de la charge de travail. 
+  Offre la garantie que les actions ne sont effectuées que par des entités authentifiées. 
+  Améliore le découplage des services en définissant clairement et en appliquant les interfaces de transfert de données prévues. 
+  Améliore la surveillance, la journalisation et la réponse aux incidents grâce à l’attribution des demandes et à des interfaces de communication bien définies. 
+  Assure une défense approfondie de vos charges de travail en combinant des contrôles réseau avec des contrôles d’authentification et d’autorisation. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** faible 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Les modèles de trafic réseau de votre charge de travail peuvent être classés en deux catégories : 
+  Le *trafic est-ouest* représente les flux de trafic entre les services qui constituent une charge de travail. 
+  Le *trafic nord-sud* représente les flux de trafic entre votre charge de travail et les consommateurs. 

 Le chiffrement du trafic nord-sud est courant, mais la sécurisation du trafic est-ouest à l’aide de protocoles authentifiés l’est moins. Les pratiques modernes de sécurité recommandent que la conception du réseau ne permette pas à elle seule d’établir une relation de confiance entre deux entités. Lorsque deux services peuvent résider dans les limites d’un réseau commun, il est toujours recommandé de chiffrer, d’authentifier et d’autoriser les communications entre ces services. 

 Par exemple, les API de service AWS utilisent le protocole de signature [AWS Signature Version 4 (SigV4)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) pour authentifier l’appelant, quel que soit le réseau d’où provient la demande. Cette authentification garantit que les API AWS peuvent vérifier l’identité de la personne qui a demandé l’action, et cette identité peut ensuite être combinée avec des stratégies pour décider si l’action doit être autorisée ou non. 

 Des services tels qu’[Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/access-management-overview.html) et [Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) vous permettent d’utiliser le même protocole de signature SigV4 pour ajouter une authentification et une autorisation au trafic est-ouest dans vos propres charges de travail. Si des ressources extérieures à votre environnement AWS ont besoin de communiquer avec des services qui nécessitent une authentification et une autorisation basées sur le protocole SIGv4, vous pouvez utiliser [Gestion des identités et des accès AWS Rôles Anywhere (IAM)](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) sur la ressource hors AWS pour obtenir des informations d’identification AWS temporaires. Ces informations d’identification peuvent être utilisées pour signer les demandes de services utilisant SigV4 pour autoriser l’accès. 

 L’authentification mutuelle TLS (mTLS) est un autre mécanisme courant pour authentifier le trafic est-ouest. De nombreuses applications IoT (Internet des objets) et B2B, ainsi que des microservices utilisent mTLS pour valider l’identité des deux côtés d’une communication TLS à l’aide de certificats X.509 côté client et côté serveur. Ces certificats peuvent être émis par AWS Autorité de certification privée (AWS CA privée). Vous pouvez utiliser des services tels qu’[Amazon API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) pour fournir une authentification mTLS pour les communications inter-charges de travail ou intra-charge de travail. [Application Load Balancer prend également en charge mTLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html) pour les charges de travail orientées côté interne ou externe. mTLS fournit des informations d’authentification pour les deux côtés d’une communication TLS, mais elle ne fournit pas de mécanisme d’autorisation. 

 Enfin, OAuth 2.0 et OpenID Connect (OIDC) sont deux protocoles généralement utilisés pour contrôler l’accès aux services par les utilisateurs, mais ils sont également de plus en plus populaires pour le trafic de service à service. API Gateway fournit un [autorisateur JSON Web Token (JWT)](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html) permettant aux charges de travail de restreindre l’accès aux routes d’API à l’aide des JWT émis par des fournisseurs d’identité OIDC ou OAuth 2.0. Les champs d’application OAuth2 peuvent être utilisés comme source pour les décisions d’autorisation de base, mais les contrôles d’autorisation doivent encore être mis en œuvre dans la couche applicative, et les champs d’application OAuth2 ne peuvent pas à eux seuls répondre à des besoins d’autorisation plus complexes. 

### Étapes d’implémentation
<a name="implementation-steps"></a>
+  **Définissez et documentez les flux de votre réseau de charge de travail :** la première étape de la mise en œuvre d’une stratégie de défense en profondeur consiste à définir les flux de trafic de votre charge de travail. 
  +  Créez un diagramme de flux de données qui définit clairement la transmission des données entre les différents services qui constituent votre charge de travail. Ce schéma constitue la première étape de l’application de ces flux par le biais de réseaux authentifiés. 
  +  Instrumentez votre charge de travail lors des phases de développement et de test pour vérifier que le diagramme de flux de données reflète avec précision le comportement de la charge de travail lors de l’exécution. 
  +  Un diagramme de flux de données peut également être utile lors de l’exécution d’un exercice de modélisation des menaces, comme décrit dans [SEC01-BP07 Identifier les menaces et hiérarchiser les mesures d’atténuation à l’aide d’un modèle de menace](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html). 
+  **Établissez des contrôles réseau :** tenez compte des capacités AWS permettant d’établir des contrôles réseau alignés sur vos flux de données. Les limites du réseau ne doivent pas représenter le seul contrôle de sécurité, mais elles constituent une couche de la stratégie de défense en profondeur visant à protéger votre charge de travail. 
  +  Utilisez des [groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/security-groups.html) pour établir, définir et limiter les flux de données entre les ressources. 
  +  Envisagez d’utiliser [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) pour communiquer à la fois avec AWS et les services tiers qui prennent en charge AWS PrivateLink. Les données envoyées via un point de terminaison d’interface AWS PrivateLink restent dans le réseau AWS et ne transitent pas par l’Internet public. 
+  **Mettez en œuvre l’authentification et l’autorisation pour tous les services de votre charge de travail :** choisissez l’ensemble de services AWS le plus approprié pour fournir des flux de trafic authentifiés et cryptés dans votre charge de travail. 
  +  Pensez à [Amazon VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html) pour sécuriser les communications entre services. VPC Lattice peut utiliser l’[authentification SigV4 combinée à des politiques d’authentification](https://docs.aws.amazon.com/vpc-lattice/latest/ug/auth-policies.html) pour contrôler l’accès de service à service. 
  +  Pour la communication de service à service à l’aide de mTLS, envisagez d’utiliser [API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html) ou [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/mutual-authentication.html). [AWS CA privée](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) peut être utilisé pour établir une hiérarchie d’autorité de certification privée capable d’émettre des certificats à utiliser avec mTLS. 
  +  Lors de l’intégration à des services utilisant OAuth 2.0 ou OIDC, envisagez d’utiliser [API Gateway avec l’autorisateur JWT](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-jwt-authorizer.html). 
  +  Pour la communication entre votre charge de travail et les appareils IoT, envisagez [AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/client-authentication.html), qui propose plusieurs options pour le chiffrement et l’authentification du trafic réseau. 
+  **Surveillez les accès non autorisés :** surveillez en permanence les canaux de communication imprévus, les principaux non autorisés qui tentent d’accéder à des ressources protégées et les autres modèles d’accès inappropriés. 
  +  Si vous utilisez VPC Lattice pour gérer l’accès à vos services, pensez à activer et à surveiller les [journaux d’accès VPC Lattice](https://docs.aws.amazon.com/vpc-lattice/latest/ug/monitoring-access-logs.html). Ces journaux contiennent des informations sur le demandeur et le réseau, notamment le VPC source et de destination, et les métadonnées des demandes. 
  +  Envisagez d’activer les [journaux de flux VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) pour capturer des métadonnées sur les flux réseau et vérifier régulièrement la présence d’anomalies. 
  +  Reportez-vous au [Guide de réponse aux incidents de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) et à la [section Réponse aux incidents](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) du pilier Sécurité AWS Well-Architected Framework pour plus de conseils sur la planification, la simulation et la réponse aux incidents de sécurité. 

## Ressources
<a name="resources"></a>

 **Bonnes pratiques associées :** 
+ [ SEC03-BP07 Analyser l’accès public et intercompte](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [ SEC02-BP02 Utiliser des informations d’identification temporaires ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [ SEC01-BP07 Identifier les menaces et hiérarchiser les atténuations à l’aide d’un modèle de menaces ](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html)

 **Documents connexes :** 
+ [ Évaluation des méthodes de contrôle d’accès pour sécuriser les API Amazon API Gateway ](https://aws.amazon.com/blogs/compute/evaluating-access-control-methods-to-secure-amazon-api-gateway-apis/)
+ [ Configuration de l’authentification TLS mutuelle pour une API REST ](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-mutual-tls.html)
+ [ Comment sécuriser les points de terminaison HTTP API Gateway avec l’autorisateur JWT ](https://aws.amazon.com/blogs/security/how-to-secure-api-gateway-http-endpoints-with-jwt-authorizer/)
+ [ Autoriser les appels directs vers les services AWS à l’aide du fournisseur d’informations d’identification AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)
+ [Guide d’intervention en cas d’incident de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)

 **Vidéos connexes :** 
+ [AWS re:invent 2022: Introducing VPC Lattice ](https://www.youtube.com/watch?v=fRjD1JI0H5w)
+ [AWS re:invent 2020: Serverless API authentication for HTTP APIs on AWS](https://www.youtube.com/watch?v=AW4kvUkUKZ0)

 **Exemples connexes :** 
+ [ Atelier Amazon VPC Lattice ](https://catalog.us-east-1.prod.workshops.aws/workshops/9e543f60-e409-43d4-b37f-78ff3e1a07f5/en-US)
+ [ Épisode 1 de Zero-Trust — L’atelier Phantom Service Perimeter ](https://catalog.us-east-1.prod.workshops.aws/workshops/dc413216-deab-4371-9e4a-879a4f14233d/en-US)