Créer une architecture de sécurité et de gouvernance pour votre AWS Landing Zone

S O M M E T D U
S E C T E U R P U B L I C
O T T A W A

2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Structurer la sécurité et la gouvernance
dans votre AWS landing zone
Ryan Jaeger
Architecte de solutions
Amazon Web Services
James Juniper
Architecte de solutions
Ressources naturelles du Canada
Michel Crichton
Direction du Dirigeant principal de
l’information et de la sécurité
Ressources naturelles du Canada

© 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Au programme
Une entreprise prête à deployer son cadre de landing zone
Tour d’horizon du landing zone de Ressources naturelles Canada
Plan d'action et points de suivi

S O M M E T D U
S E C T E U R
P U B L I C
Les TI avant
Robert – TI/responsable de la
sécurité
Développeurs

S O M M E T D U
S E C T E U R
P U B L I C
L’evolution des TI
Plus de Robert Plus de développeurs

S O M M E T D U
S E C T E U R
P U B L I C
Désormais: le cloud vous simplifie la vie!
Pas plus de Robert Plus de développeurs!

S O M M E T D U
S E C T E U R
P U B L I C
Un seul compte, isolé avec IAM et VPC
Zones grises
Plus compliqué et désordonné au fil du
temps
Difficile d'assurer la gestion des ressources
Les gens se marchent sur les pieds
Tout

S O M M E T D U
S E C T E U R
P U B L I C
Compte de développeur séparé
La gestion des ressources ou des dépenses restent difficiles
Les problèmes d'isolement et de rayon de surveillance demeurent
Les développeurs se marchent quand même sur les pieds
Robert doit en plus gérer les IAM et les VPC
Dév Prod

S O M M E T D U
S E C T E U R
P U B L I C
Le problème
Posture sur site pour le cloud
Héritage de l'époque des centres de données
La direction et les opérations ne font pas confiance
au développement avec accès complet
Les développeurs veulent travailler - Vraiment !
DévOps est une excellente idée
Les opérations ne peuvent se faire en même temps

S O M M E T D U
S E C T E U R
P U B L I C
Besoin d’une nouvelle solution
Accès sans obstacles aux services SSFE
L’échec ne crée pas de dommage collatéral
Rayon de surveillance plus petit
Équipe d'exploitation formée d’architectes de l’infonuagique
Des ressources capables d'influencer la transformation numérique
Suivi des coûts et des ressources de A à Z (des individus aux
équipes)
Optimiser le code pour AWS

S O M M E T D U
S E C T E U R
P U B L I C
Point de départ? Des développeurs de compte
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur

S O M M E T D U
S E C T E U R
P U B L I C
Point de départ? Des équipes responsables des
comptes
Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe

S O M M E T D U
S E C T E U R
P U B L I C
Point de départ? Opérations
Production Activation
de données
Dév/UAT

S O M M E T D U
S E C T E U R
P U B L I C
Point de depart? Services partagés
des données
Dév/UAT
Principal/Partagé

S O M M E T D U
S E C T E U R
P U B L I C
Que sont les comptes partagés principaux?
Sécurité
Services partagés Archivage
Réseau
Principal/Partagé

S O M M E T D U
S E C T E U R
P U B L I C
Partagé par un tiers
des données
Dév/UAT
Principal/Partagé
Équipe principale/
partagé
Dév
principal/partagé

S O M M E T D U
S E C T E U R
P U B L I C
Partagé par un tiers
des données
Dév/UAT
Principale/Partagé
Équipe/Partagée
Dév/Partagée

S O M M E T D U
S E C T E U R
P U B L I C
Une approche différente
Équipe Dév Équipe Dév Équipe Dév Équipe Dév Équipe Dév
Équipe/Partagée
Dév/Partagé
DévelopDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe Prod Équipe Prod Équipe Prod Équipe Prod Équipe ProdProduction
Dév/UAT
Activation
des données
Principal/Partagé

S O M M E T D U
S E C T E U R
P U B L I C
Vos propres ajouts
Équipe Dév Équipe Dév Équipe Dév Équipe Dév Équipe Dév
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe Prod Équipe Prod Équipe Prod Équipe Prod Équipe ProdProduction
Dév/UAT
Activation
des données
PersonnelPersonnel PersonnelPersonnel PersonnelPersonnelPersonnel PersonnelPersonnel Personnel
PersonnelPersonnel PersonnelPersonnel PersonnelPersonnelPersonnel PersonnelPersonnel Personnel
Personnel
Partagé
Dév/Partagé
Activation des
données/Partagée
Principal/Partagé

S O M M E T D U
S E C T E U R
P U B L I C
Sécurité/Limites
Limites API/Entonnoir
Séparation comptable
Compte AWS

S O M M E T D U
S E C T E U R
P U B L I C
Pourquoi un seul compte ne suffit pas?
Facturation
Plusieurs équipes
Sécurité / Contrôles
de conformité
Processus d’affaires
Isolement

S O M M E T D U
S E C T E U R
P U B L I C
Protecteurs PAS Intercepteurs Auditable Flexible
Automatisé Évolutif Libre-service
Buts

S O M M E T D U
S E C T E U R
P U B L I C
Sécurité des comptes : quelques considérations
Éxigences de base
Verrouiller
AWS Account Credential Management
(«compte source»)
Activer
Définir
Fédérer
Établir
Identifier

S O M M E T D U
S E C T E U R
P U B L I C
Quels comptes devrais-je créer?
Sécurité Services partagés Facturation
Dév ProdSandbox AutrePré-Prod
Compte corporatif
Archivage Réseau

S O M M E T D U
S E C T E U R
P U B L I C
AWS Organizations : compte principal
AWS Organizations Master
Centre de données
Pas de connexion au centre de
données
Politiques de contrôle des
services
Facturation consolidée
Remise sur volume
Ressources minimales
Accès limité
Limitez le rôle des Orgs !
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
SCP : Empêchez CloudTrail d'être désactivé
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": ”cloudtrail:StopLogging",
"Resource": "*"
}
]
}

S O M M E T D U
S E C T E U R
P U B L I C
SCP : Pas de passerelle Internet pour Amazon Virtual Private
Cloud (Amazon VPC)
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:AttachInternetGateway”,
“ec2:CreateInternetGateway”,
“ec2:AttachEgressOnlyInternetGateway”,
“ec2:CreateVpcPeeringConnection”,
“ec2:AcceptVpcPeeringConnection"
],
"Resource": "*"
}
]

S O M M E T D U
S E C T E U R
P U B L I C
Comptes principaux
Comptes principaux
Centre de
données
Fondation
Éléments d’architecture
Un pour chaque organisation
Cycle de vie de développement
propre (Dév/qa/prod)
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
Compte Archivage
Comptes principaux
Archivage
Gestion des versions de
compartiments Amazon S3
Restreint
Supprimer FMA
Registre CloudTrail
Registre de sécurité
Une seule source de vérité
Alarme lors de la connexion de
l'utilisateur
Accès limité
Centre de
données
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
Compte Sécurité
Comptes principaux
Archivage
Centre de
données
Connectivité au centre de
données (CD) en option
Outils et audit de
sécurité
GuardDuty Master
Lecture/écriture inter-
comptes
Outillage automatisé
Accès limité
Sécurité
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
Compte Services partagés
Sécurité
Comptes principaux
Archivage
Centre de
données
Raccordement au CD
DNS
LDAP/Active Directory
Services partagés VPC
Outils de déploiement
AMI Or
Pipeline
Infrastructure d’analyse
Instances inactives
Balisages incorrects
Cycle de vie de
l'instantané
Surveillance
Accès limité
Services
partagés
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
Compte Réseau
Sécurité
Comptes principaux
Services
partagés
Archivage
Chemin réseau
Centre de
données
Géré par l'équipe du
réseau
Services de mise en
réseau
AWS Direct Connect
Accès limité
Réseau

S O M M E T D U
S E C T E U R
P U B L I C
Chemin réseau
Développeur Sandbox
Sécurité
Comptes principaux
Réseau
Archivage
Pas de connexion au
CD
Espace d'innovation
Limite de dépenses
fixe
Autonome
Expérimentation
Développeur
Sandbox
Comptes
Développeur
Services
partagés
Centre de
données

S O M M E T D U
S E C T E U R
P U B L I C
Chemin réseau
Comptes Groupe/Équipe
Développeur
Sandbox
Sécurité
Comptes principaux
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Basé sur le niveau
d'isolement nécessaire
Faites correspondre votre
cycle de vie de
développement
Approche à petits pas

S O M M E T D U
S E C T E U R
P U B L I C
Chemin réseau
Dév
Développeur
Sandbox
Sécurité
Comptes principaux
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Développez et itérez
rapidement
Espace de
collaboration
Stade de SDLC
Dév

S O M M E T D U
S E C T E U R
P U B L I C
Pré-Production
Développeur
Sandbox
Dév
Sécurité
Comptes principaux
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Raccordement au CD
Comme en production
Activation des données
Tests
Déploiement automatisé
Pré-Prod
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
Production
Développeur
Sandbox
Dév Pré-Prod
Sécurité
Comptes principaux
AWS Organizations Masters
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Raccordement au CD
Applications de
production
Issu de la Pré-Prod
Accès limité
Déploiements automatisés
Prod
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
Chemin réseau
Équipe Services partagés
Développeur
Sandbox
Dév Pré-Prod
Sécurité
Comptes principaux
Services
partagés
Réseau
Archivage Prod
Comptes
Développeur
Centre de données
Croissance organique
Partagé avec l'équipe
Services communs
spécifiques aux produits
Lac de données
Outils communs
Services communs
Services
partagés

S O M M E T D U
S E C T E U R
P U B L I C
Approche multi-compte
Développeur
Sandbox
Dév Pré-Prod
Sécurité
Comptes principaux
Services
partagés
Réseau
Archivage Prod
Services
partagés
Comptes
Développeur
Centre de
données
Orgs : Gestion de compte
Archivage: registre de sécurité
Sécurité : outils de sécurité, règles de
configuration AWS
Services partagés : répertoire, veille des
limites
Réseau : Direct Connect
Dév Sandbox: Expériences,
apprentissage
Dév : Développement
Pré-production : activation des données
Prod : Production
Équipe SS : Équipe Services partagés, Lac
de données
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C

41
RNCAN : Introduction
• RNCAN fut parmi les premiers à adopter des services infonuagiques non
classifiés, négociés par Services partagés Canada
• Les secteurs de RNCAN provisionnent activement AWS pour leur fournir des
services non classifiés
• Le DHDPI de RNCAN est reponsable de la facilitation et de la surveillance de
l’utilisation que font les différents secteurs de RNCAN du cloud
• Vue la structure multisectorielle de RNCAN, la direction générale de
l'information et des services à l'enfance et à la famille avait besoin d'une
solution pour faciliter la gestion des comptes sectoriels de manière
uniforme et hiérarchique, et le AWS Landing Zone semblait précisément
répondre à ce besoin

42
AWS Landing Zone - des avantages pour le
DGDPI de RNCan
1. L'architecture multi-comptes du AWS Landing Zone permet une
gestion centralisée du CIOSB :
• gérer la facturation de manière centralisée, tout en fournissant la ventilation nécessaire
par secteur
• assurer de façon centralisée la gestion des identités et des accès de RNCan en créant des
modèles et en automatisant la création de nouveaux comptes AWS
2. Les AWS Landing Zone sont dotées de contrôles de sécurité de base
fondés sur les pratiques exemplaires d’AWS, ce qui aidera à
respecter certains des contrôles de sécurité du GC requis pour les
zones à faible risque non classifiées (ULL).
3. L'enregistrement centralisé du AWS Landing Zone offrira la visibilité
nécessaire à la surveillance et au contrôle de la conformité

43
4. RNCAN profite de la fonction d'automatisation et de modélisation
du Landing Zone pour mettre en œuvre les mesures de sécurité
supplémentaires requises afin de répondre aux exigences de
sécurité de la ULL.
5. RNCAN profite de comptes multiples du Landing Zone et des
modèles VPC pour développer un réseau de base conforme au ITSG-
38 (travaux en cours).
AWS Landing Zone - des avantages pour le
DGDPI de RNCan (suite)

44
Plateforme géospatiale
fédérale
Le cloud géocommunautaire sur AWS

45
Plateforme géospatiale fédérale
PGF est le chef de file en geospatial pour le gouvernement du Canada.
Nous fournissons…
Accès facile aux données géospatiales “AAA” du GC
• Précis
• Accessible
• Autoritaire
Formats fondés sur des normes
• SFTP traditionnel
• Services web RESTful
• Métadonnées ISO
• OGC (Open Geospatial Consortium)

46
Le cloud géocommunautaire de la PGF
• Le cloud géocommunautaire est déployé sur AWS et sera l'un des
premiers à profiter du AWS Landing Zone de RNCan.
• Fournit des environnements AWS sécurisés, gérés et multi-comptes
pour le déploiement de la solution GCC.
• Le cloud géocommunautaire représente l'étape suivante dans
l'évolution de PGF, axée sur l'établissement d'une infrastructure cloud
géo-optimisée en tant qu'offre PaaS.
• Le Centre d'excellence GéoCloud profitera à tous les ministères et
organismes du GC

47
Le cloud géocommunautaire de la PGF
• 2017-18 PoC (complet)
• 2018-19 foundations– RNCAN GC SSC Brokered Cloud (complet)
• Solution de bloc de mémoire en pré-production
• DevOps utilise l’infrastructure comme code pour l’évolutivité et l’expansion
• Mise en oeuvre du LZ 2.x
• 2019-20
• Bloc de mémoire en production – juin 2019
• Occasions de co-location
• Stockage géospatial géré - hébergez vos propres données géospatiales!
• Prise en charge de portails multiples à partir d’un système de gestion de contenu commun
Potentiel d’innovation
• IA et le machine learning contre l’OT géospatiale + géospatiale intégré à la plateforme du GCC
comme service de technolologies géo pour le cloud

48
OBJECTIFS 2019-20
• Offrir aux partenaires la possibilité d’adopter le cloud
géocommunautaire colocalisé.
• Calcul, visualisation et analyse de haute performance spécialisés pour
les charges de travail d'OT et de données spatiales

49
Lancement du SpaceX Falcon 9

50
Radarsat Constellation (RCM) 2019

S O M M E T D U
S E C T E U R
P U B L I C
Approche multi-compte
Développeur
Sandbox
Dév Pré-Prod
Sécurité
Comptes principaux
Services
partagés
Réseau
Archivage Prod
Services
partagés
Comptes
Développeur
Centre de données
Orgs : Gestion de compte
Archivage : registre de sécurité
Sécurité : outils de sécurité, règles de
configuration AWS
Services partagés : répertoire, veille des
limites
Réseau : Direct Connect
Dév Sandbox : Expériences,
apprentissage
Dév : Développement
Pré-production : activation des données
Prod : Production
Équipe SS : Équipe Services partagés, Lac
de données
Chemin réseau

S O M M E T D U
S E C T E U R
P U B L I C
Prochaines étapes
Définir la stratégie de balisage
Définir la stratégie d'automatisation
Créer un compte principal
Créer un compte Archivage
Créer un compte de sécurité
Créer un compte Services partagés
Créer un compte Développeur Sandbox

S O M M E T D U
S E C T E U R
P U B L I C
Plan d’action
Créer un compte principal
• Créer un compartiment s3 temporaire pour les
registres CloudTrail
• Activer CloudTrail localement
• Activer la fonctionnalité complète
Créer un compte Archivage
• Créer un ou plusieurs compartiments pour les
registres de sécurité (CloudTrail, AWS Config)
• Activer la suppression MFA
• Activer la gestion des versions
• Définir la stratégie du compartiment à accès
limité
• Ajouter SCP pour empêcher la suppression du s3
• Backfill: Activer CloudTrail dans le compte principal
pour envoyer les registres à un compte Archivage
• Backfill: Copier les registres CloudTrail pour les
actions qui se sont produites entre la création du
compte principal et l’archivage.
Créer un compte Sécurité
• Backfill : Rôles transversaux de confiance vers le compte
Sécurité pour les comptes principaux et l’archivage
• Rôle de la lecture seule
• Rôle de la lecture/écriture (moins d’autorisations pour
l'hypothèse)
• <Liste de vérification>
• Créer des outils de sécurité/fonctions Lambda pour les
contrôles de sécurité
Créer un compte Services partagés
• Connexion par DX/VPN à DC via DX/VPN
• Lancer des services communs
• Services de bottin
• Surveillance des limites
Créer un compte Réseau AWS
• Commandez votre Direct Connect

S O M M E T D U
S E C T E U R
P U B L I C
Liste de vérification
• Accréditations Secure Root MFA
• OTP
• U2F pourrait faciliter leur gestion
• https://aws.amazon.com/blogs/Sécurité/how-
to-create-and-manage-users-within-aws-sso/
• Mot de passe complexe
• Établir une politique de rotation
• Lien vers le compte principal de si vous n'êtes pas
déjà membre
• Utiliser l'adresse électronique ou le numéro de
téléphone du groupe comme coordonnées de
contact
• Activer CloudTrail dans toutes les régions,
envoyer au compte Archivage
• Activez GuardDuty dans toutes les régions
• Compte Sécurité en tant que GuardDuty master
• Opérationnaliser les résultats
• Activer AWS Config, envoyer au compte d'archivage
• Activer les règles de configuration AWS appropriées
• Chiffrement du compartiment s3
• s3 monde lecture/écriture
• cryptage ebs etc...
• Créer un rôle de sécurité en lecture seule pour les
comptes croisés
• Créer un rôle de sécurité inter-comptes en
lecture/écriture
• Créer un VPC (espace IP sans chevauchement)
• Permettre la fédération des comptes
• http://federationworkshopreinvent2016.s3-
website-us-east-1.amazonaws.com/
• Définir les rôles et les politiques d'accès
• Peer/Privatelink VPC avec Services partagés
• Ajout d'une politique pour les conditions
d’identification des préfixes à chaque compte - Par
exemple, refuser l'accès aux fonctions Lambda qui
commencent par "Sécurité*"
• Examiner l'analyse comparative des fondations de
CIS et en tirer parti au besoin

S O M M E T D U
S E C T E U R
P U B L I C
LA solution AWS Landing Zone
Une solution facile à déployer qui automatise la configuration de
nouveaux environnements AWS multi-comptes
Basé sur les
meilleures pratiques
et recommandations
AWS
Contrôles initiaux de
sécurité et de
gouvernance
Comptes de base et
distributeurs
automatiques de
comptes
Déploiement
automatisé

S O M M E T D U
S E C T E U R
P U B L I C
Structure de base de AWS Landing Zone
Compte AWS Organizations
Compte Services partagés Archivage Sécurité
Compte AWS
Organizations
• Compte
d’approvisionnement
• Compre Accès (SSO)Compte Services partagés
• Bottin
• Registre des analyses
Compte Archivage
• Registre Sécurité
Compte Sécurité
• Audit / Break-glass
Magasin
de
paramètre
s

S O M M E T D U
S E C T E U R
P U B L I C
Distributeur automatique de comptes
Catalogue de
services AWS
Distributeur automatique de comptes (Catalogue
des services AWS)
• Système de création de compte
• Interface utilisateur pour créer de
nouveaux comptes
• Version de l'état de configuration du
compte
• Contraintes de lancement
Crée/met à jour un compte AWS
Appliquer les ensembles de base des comptes
Créer une base de référence pour le réseau
Appliquer la politique de contrôle de la sécurité
du compte
Distributeur
automatique de
comptes
AWS
Organizations
Compte Sécurité
AWS
Compte
Archivage
AWS
Compte
Services
partagés
AWS
AWS
Compte New AWS

S O M M E T D U
S E C T E U R
P U B L I C
Conclusion

Merci!
S O M M E T D U
S E C T E U R
P U B L I C
Ryan Jaeger James Juniper Michel Crichton

Créer une architecture de sécurité et de gouvernance pour votre AWS Landing Zone

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Créer une architecture de sécurité et de gouvernance pour votre AWS Landing Zone

Similaire à Créer une architecture de sécurité et de gouvernance pour votre AWS Landing Zone (20)

Plus de Amazon Web Services

Plus de Amazon Web Services (20)

Créer une architecture de sécurité et de gouvernance pour votre AWS Landing Zone