Présentation de l’atelier
Cet atelier vous présente les étapes requises pour évaluer vos ressources AWS et vérifier que votre configuration répond aux principales bonnes pratiques de sécurité. L’atelier utilise les fonctionnalités de sécurité de AWS Trusted Advisor. Les thèmes abordés comprennent également l’utilisation des groupes de sécurité, de l’authentification multifacteurs (MFA), et d’AWS Identity and Access Management (IAM).
Objectifs
À la fin de cet atelier, vous serez en mesure d’effectuer les opérations suivantes :
- Utiliser AWS Trusted Advisor pour effectuer un audit de base de vos ressources AWS
- Modifier les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) pour respecter les bonnes pratiques
- Configurer l’authentification multifacteurs (MFA) (facultatif ; nécessite l’installation de logiciels sur un appareil mobile)
Connaissances techniques préalables
Pour réussir cet atelier, vous devez être familiarisés avec les services AWS, y compris Amazon EC2, et comprendre les principes de base des groupes de sécurité. Vous devez savoir vous connecter à la console de management AWS et l’utiliser, et connaître le fonctionnement de IAM.
Durée
Cet atelier durera environ 90 minutes.
Signification des icônes
Cet atelier utilise de nombreuses icônes différentes pour attirer l’attention sur différents types d’instructions et de remarques. La liste suivante explique la raison d’être de chaque icône :
- Un exemple de résultat que vous pouvez utiliser pour vérifier le résultat d’une tâche ou étape que vous réalisez.
- Un indice, une directive ou un conseil important.
- Informations complémentaires : indique où trouver plus d’informations.
Bonnes pratiques de sécurité AWS
Modèle de responsabilité partagée
Le modèle de sécurité de AWS est celui de la responsabilité partagée, qui requiert la collaboration d’AWS et des clients pour remplir les objectifs de sécurité. AWS fournit une infrastructure sous-jacente hautement sécurisée et disponible, sur laquelle fonctionnent tous les services d’AWS. Les niveaux de sécurité d’AWS incluent la sécurité du matériel physique, des installations, de l’infrastructure de réseau et de l’infrastructure de virtualisation.
Les niveaux qui sortent du contrôle direct d’AWS nécessitent que le client assume la responsabilité de sécuriser convenablement les ressources utilisées dans l’infrastructure en ligne.
Sécuriser les ressources en ligne
AWS fournit un certain nombre d’outils que les clients peuvent utiliser pour protéger leurs actifs informationnels dans le cloud. Ceux-ci incluent IAM, Amazon Virtual Privace Clouds (VPC), les groupes de sécurité, les ACL de réseau et les certificats.
Lorsque vous construisez et maintenez une infrastructure cloud sur AWS, il est important de respecter les bonnes pratiques afin de sécuriser vos données et ressources.
Vous pouvez consulter ce guide afin de comprendre les bonnes pratiques de sécurité dans Amazon Web Services : Bonnes pratiques de sécurité, d’identité et de conformité
AWS Trusted Advisor
AWS Trusted Advisor propose de bonnes pratiques dans cinq catégories :
- Optimisation des coûts
- Sécurité
- La tolérance aux pannes
- L’amélioration des performances
- Limites de service
Vous pouvez utiliser plus de 60 contrôles AWS Trusted Advisor pour contrôler et améliorer le déploiement de Amazon EC2, Elastic Load Balancing (ELB), Amazon Elastic Block Store (Amazon EBS), Amazon Simple Storage Service (Amazon S3), Amazon EC2 Auto Scaling, AWS Identity and Access Management (IAM), Amazon Relational Database Service (Amazon RDS), Amazon Route 53, et d’autres services. Vous pouvez visualiser le statut d’ensemble de vos ressources AWS et une estimation des économies réalisées sur la page Recommandations AWS Trusted Advisor.
AWS Trusted Advisor est particulièrement utile pour vérifier que vous respectez les bonnes pratiques de sécurité. Dans cet atelier, vous utiliserez les contrôles de sécurité gratuits de AWS Trusted Advisor.
Tarifs de AWS Trusted Advisor
Si vous disposez d’un programme de support Basic ou d’un programme de support Developer, vous pouvez utiliser la console Trusted Advisor pour consulter toutes les vérifications dans la catégorie Quotas de service et les vérifications suivantes dans la catégorie Sécurité :
Groupes de sécurité – Ports spécifiques sans restriction : contrôle les groupes de sécurité pour détecter des règles accordant un accès sans restriction (0.0.0.0/0) à certains ports. L’accès sans restriction accroît les risques d’activité malveillante (piratage, attaque par déni de service, perte de données). Les ports présentant le plus grand risque sont affichés en rouge, et ceux au risque moindre sont affichés en jaune. Les ports en vert sont généralement utilisés par des applications nécessitant un accès sans restriction comme les protocoles HTTP et SMTP.
Usage IAM : Vérifie votre usage de IAM. Vous pouvez utiliser IAM pour créer des utilisateurs, des groupes et des rôles dans AWS, et vous pouvez utiliser les permissions pour contrôler l’accès aux ressources AWS.
MFA sur le compte racine : contrôle le compte racine et envoie une alerte si l’authentification multifacteurs (MFA) n’est pas activée. Pour une sécurité renforcée, nous vous conseillons de protéger votre compte en activant le système MFA, qui impose aux utilisateurs de saisir un code d’authentification unique depuis leur matériel ou périphérique virtuel MFA avant toute interaction avec la console AWS et les services Web associés.
Amazon EBS Public Snapshots : Vérifie les réglages de permissions pour vos instantanés Amazon EBS et vous alerte si certains de vos instantanés sont définis comme “publics”. Lorsque vous rendez public un instantané, vous accordez à tous les comptes et utilisateurs AWS accès à l’ensemble des données de l’instantané. Si vous voulez partager un instantané avec des utilisateurs ou comptes spécifiques, définissez-le comme “privé”, puis indiquez les utilisateurs ou comptes avec lesquels vous voulez partager ses données.
Amazon RDS Public Snapshots : Vérifie les réglages de permissions pour vos instantanés Amazon EBS et vous alerte si certains de vos instantanés sont définis comme “publics”. Lorsque vous rendez public un instantané, vous accordez à tous les comptes et utilisateurs AWS accès à l’ensemble des données de l’instantané. Si vous voulez partager un instantané avec des utilisateurs ou comptes spécifiques, définissez-le comme “privé”, puis indiquez les utilisateurs ou comptes avec lesquels vous voulez partager ses données.
MFA sur le compte racine : contrôle le compte racine et envoie une alerte si l’authentification multifacteurs (MFA) n’est pas activée.
Certains de ces contrôles peuvent être utilisés comme une forme très basique d’audit de votre configuration de sécurité. Pour avoir accès à tous les contrôles (plus de 60), vous devez mettre à niveau votre compte et choisir le plan de support Business ou Enterprise.
Plus d’information sur les tarifs de AWS Support est disponible à AWS Support Plans
Appareils MFA
Un appareil MFA (Authentification multifacteurs) peut être virtuel ou physique. La solution physique requiert l’achat d’une carte Gemalto ou autre carte d’affichage. Sinon, vous pouvez utiliser l’une des solutions gratuites de MFA virtuelle au moyen des applications compatibles disponibles sur les appareils mobiles Android, iPhone, Windows et Blackberry. Dans cet atelier, vous allez suivre les étapes de l’installation d’une appli de MFA virtuelle sur un appareil mobile. Si vous n’êtes pas à l’aise avec cette étape, vous pouvez l’ignorer.
Veuillez consulter cette liste d’applications de MFA virtuelle compatibles, pour voir s’il existe une option pour votre appareil mobile : Authentification multifacteur (MFA) fpour IAM
