"La formation « AWS Security » permet d’aider les candidats à réussir leur examen AWS Security et de monter en compétence sur les thématiques en lien avec la sécurité informatique dans le cloud AWS. Les points forts de la formation La formation couvre les 5 domaines de la certification « AWS Security » d’une manière synthétique. Elle est un mélange de la théorie consolidée avec des exercices de pratiques. Le contenu est enrichi également avec l’expérience professionnelle du formateur. Contenu de la formation La formation est constituée de 5 domaines principaux de la formation avec un domaine de préparation et de rappel général sur le cloud AWS. Les 5 domaines de la certification sont les suivants : • Gestion des identités et des accès (20% de l’examen) • Surveillance et journalisation (20% de l’examen) • Protection des données (22% de l’examen) • Sécurité de l’infrastructure (26% de l’examen) • Réponse aux incidents (12% de l’examen) Résultats attendus À la suite de cette formation, le candidat devrait avoir des connaissances approfondies sur le fonctionnement des services AWS en lien avec la sécurité dans le cloud. Certification La formation est destinée pour préparer la certification « AWS Security Specialty »."

1. Formation
AWS Certified Security
Specialty
Une formation
Hassen NASRI

2. Rappel

3. Une formation
Introduction
1. Sécurité dans AWS
2. Gestion des identités et des accès IAM
3. Journalisation et surveillance
4. Protection des données
5. Sécurité de l’infrastructure
6. Réponse aux incidents
Conclusion
Plan de la formation

4. Une formation
Professionnel de la sécurité informatique
Curieux ayant envie de découvrir la sécurité
dans le cloud Amazon
Les architectes des solutions cloud
Public concerné

5. Une formation
Connaissances requises
Expérience en sécurité informatique
Connaissance dans le domaine de conception
et implémentation des solutions de sécurité
Connaissances des services AWS
Connaissance du modèle de responsabilité
partagée

7. Présentation du projet
Une formation
Hassen NASRI

8. Une formation
Plan
Création d’un compte racine sur le portail AWS
Création d’un utilisateur IAM
Configuration des alertes de facturation
Configuration de l’interface de ligne de
commande

9. Une formation
Présentation des outils
Portail AWS
Interface ligne de commande CLI
PuTTY
NotePad++

10. Une formation
URL d’accès au portail AWS
URL: https://aws.amazon.com
Exemple: Société GAMMA
Une agence de location de voiture
avec un portefeuille client important

11. Une formation
Installation du CLI AWS
URL de téléchargement
https://aws.amazon.com/fr/cli/

12. Rappel des services de base
AWS
Une formation
Hassen NASRI

13. Une formation
Revue d’un exemple d’architecture AWS
Rappel des services de base
Plan

14. Services de bases

15. Une formation
Scenario
Société GAMMA
Une agence de location de voiture avec un
portefeuille client important
GAMMA met à disposition un site web de
réservation de voiture

16. Démo
Site de réservation
Application
Base de donnée

17. Architecture Cible
Web Web Web
App App App
DB-P DB-S
RDS
ELB
ELB
VPC
AZ1 AZ2 AZ3
DB-Standby

18. Découvrir les fondations
de la sécurité
Une formation
Hassen NASRI

19. Une formation
Triade CID/ CIA
Modèle AAA
Recommandations d’hygiène ANSSI
Plan

20. CID/ CIA
Expérience
utilisateur
Confidentialité
Intégrité Disponibilité
Risques
Coûts

21. Modèle AAA
AAA
Authentification
Autorisations
Auditabilité

22. Une formation
Chantiers d’hygiène
Sensibiliser et former
Cartographier le SI
Authentifier et contrôler les accès
Sécuriser les postes
Sécuriser le réseau
Sécuriser l’administration
Gérer le nomadisme
Superviser, auditer et réagir

23. Découvrir la sécurité
du cloud AWS
Une formation
Hassen NASRI

24. Une formation
Infrastructure du cloud AWS
Mesures de sécurité du cloud AWS
Plan

25. Infrastructure du cloud AWS

27. AZ
AZ AZ
AZ
AZ
AZ
AZ
Région Région
Points de présence
Caches périphériques régionaux

28. Cloud AWS en chiffres
26 régions lancées
84 zones de
disponibilité
Plus de 310 points
de présence
17 Caches
périphériques
régionaux

29. Une formation
Mesures de sécurité du cloud AWS
Exemples
Sécurité physique et environnementale,
Sécurité des réseaux,
Plan de continuité d’activité;

30. Conformité du cloud AWS

31. Découvrir le modèle
de responsabilité partagée
Une formation
Hassen NASRI

32. Une formation
Revue du modèle de responsabilité
partagée
Contrôles sur AWS
Plan

33. Revue du modèle de responsabilité partagée

34. Plus en détails
Stockage
Réseaux
Serveur
Virtualisation
Système
exploitation
Base de données
Intégration SOA
Runtime
Applications
IaaS PaaS SaaS
En local
Applications
Runtime
Intégration SOA
Base de données
Système
exploitation
Virtualisation
Serveur
Stockage
Réseaux
Applications Applications
Runtime Runtime
Intégration SOA Intégration SOA
Base de données Base de données
Système
exploitation
Système
exploitation
Virtualisation Virtualisation
Serveur Serveur
Stockage Stockage
Réseaux Réseaux

35. Exemples
IaaS
PaaS
SaaS
EC2, VPC, S3, Glacier, etc
Aurora, RDS, Dynamo DB, Lambda etc
SNS, Cloudwatch, CloudTrail, AWS
GuarDuty, etc

36. Une formation
Contrôles sur AWS
Visibilité, avec AWS Config par exemple
Traçabilité, avec AWS CloudTrail par exemple
Sécurisation des données, avec AWS KMS ou
CloudHSM
Agilité
Automatisation
Mise à l’échelle

37. Présenter IAM
Une formation
Hassen NASRI

38. Une formation
Introduction générale
Exemple de mise en place d’un outil IAM
Terminologie
Lab
Plan

39. Introduction générale
Gestion des identités et des accès
Identification
Identifiant unique
Cycle de vie des identités
arrivée, départ, désactivation temporaire,
suspension, etc
Processus et procédures
Mécanisme d’authentification
Droits ou profils d’accès
Modélisation des droits (RBAC, ABAC, DAC, etc.)
Revue régulière des droits d’accès

40. Exemple de mise en place d’un outil IAM
Référentiel
RH
Outil IAM
Application
Systèmes cibles
Reporting BI Revue/ re-certification

41. Terminologie
Utilisateurs
Rôles
Groupes
Politiques

42. Liens entre les concepts IAM
Autoriser
Attribuer
Hériter
Politique
Utilisateur
Groupe
d’utilisateur
Ressource Rôle
Utilisateur Utilisateur

43. Une formation
Actions
Créer des utilisateurs
Créer des groupes d’utilisateurs
Distinguer les stratégies gérées et les
stratégies en ligne
Créer un rôle

44. Sécuriser un compte racine
root
Une formation
Hassen NASRI

45. Une formation
Définition d’un compte à privilèges
Recommandations
Sécuriser le compte root AWS
Lab
Plan

46. Une formation
Définition
Selon l’ANSSI, un compte à privilèges est un
compte disposant de droits élevés sur le
système d’information comme un compte
d’administrateur

47. Une formation
Recommandations
Utiliser l’authentification à double facteur (MFA)
Imposer un délai d’expiration sur les mots de passe
Mettre en place une solution PAM
Revoir et vérifier régulièrement les comptes à
privilèges
Surveiller et contrôler les actions d’un compte à
privilèges

48. Une formation
Sécuriser le compte root AWS
Créer un nouveau mot de passe
Supprimer l’ancienne authentification multi facteur
et créer une nouvelle
Supprimer les clés d’accès pour le compte root
Revoir les différents comptes et vérifier leurs
légitimités

49. Une formation
Actions
Modifier le mot de passe du compte root
Vérifier la politique de mot de passe et la modifier
Activer l’expiration des mots de passe
Activer l’authentification multi facteur
Générer un rapport des comptes créés

50. Connaitre les politiques
IAM
Une formation
Hassen NASRI

51. Une formation
Types des politiques IAM
Lab
Visualisation d’une politique IAM en JSON
Plan

52. Une formation
Types des politiques IAM
Politiques gérées AWS
Politiques spécifiques
Politiques en ligne

53. Une formation
Actions
Créer un utilisateur
Créer un groupe d’utilisateur
Affecter une politique à ce groupe
Vérifier la politique créée
Tester et confirmer les permissions attribuées à
l'utilisateur
Noter les messages de succès ou d’erreur remontés
par AWS

54. Visualisation d’une politique en JSON

55. Maitriser les stratégies d’un
compartiment S3
Une formation
Hassen NASRI

56. Une formation
Cas d’usage des stratégies S3
Lab
Plan

57. Une formation
Cas d’usage des stratégies S3
Gérer les accès au niveau de l’environnement S3 et
non pas avec des politiques IAM
Méthode facile pour permettre à d’autres comptes
AWS d’accéder à un compartiment sans utiliser des
rôles IAM

58. Une formation
Actions
Créer un compartiment S3
Vérifier les paramètres d’un compartiment S3
Créer une stratégie correspondante
Générer un conflit entre une politique IAM et une
stratégie S3

59. Découvrir les ACL de S3
Une formation
Hassen NASRI

60. Une formation
Les ACL en quelques mots
Cas d’usage
Extrait d’une ACL S3
Permissions
Lab
Gestion des conflits
Plan

61. Une formation
Les ACL en quelques mots
Une ACL permet de gérer les accès à deux niveaux
d’un compartiment S3
et d’un objet dans un compartiment
Une ACL par défaut pour tout compartiment S3
créée
AWS recommande l’utilisation des politiques IAM et
des stratégies S3

62. Cas d’usage
Besoin d’autorisations précises sur un
objet S3
Gestion granulaire d’accès
Taille limite d’une stratégie d’accès
atteinte

63. Extrait d’une ACL S3

64. Permissions

65. Une formation
Etapes
Créer un compartiment
Consulter les paramètres par défaut d’une ACL au
niveau d’un compartiment
Ajouter un fichier dans un compartiment
Permettre un accès publique à ce fichier
Générer une situation de conflit avec une politique
IAM

66. Gestion des conflits
Par défaut : DENY
Evaluer les politiques IAM,
les stratégies et les ACL
Si un « Allow » explicite est
paramétré  Accès permis
Si un « DENY explicite » est
appliqué  Accès refusé
Si non, l’accès est refusé
par défaut

67. Gérer l’accès à un compartiment
S3 avec ClouFront
Une formation
Hassen NASRI

68. AWS CloudFront

69. Une formation
Fonctions du service AWS CloudFront
Faible latence
Fiabilité
Disponibilité
Sécurité
Surveillance et journalisation

70. Une formation
Sécurité avec CloudFront
Protection contre les attaques des couches
réseaux et application
Chiffrement SSL/TLS
Contrôle d’accès
Fonctionnalité OAI
Restriction géographique
URL et cookies signés

71. Surveillance et journalisation
Contenu
Web
Logs
Un utilisateur Site web avec CloudFront Point de présence Amazon S3
Un utilisateur
Site web avec CloudFront Point de présence
Journalisation standard
Journalisation à temps réel
Contenu
Web
Amazon S3

72. Une formation
Etapes
Créer un compartiment S3
Créer une distribution CloudFront
Restreindre l’accès à l’objet S3 via
CloudFront

73. Gérer l’accès avec une URL
signée
Une formation
Hassen NASRI

74. Une formation
Cas d’usage
Pour permettre de partager des objets
dans un compartiment S3 avec des
utilisateurs n’ayant pas des permissions
ou accès AWS

75. Une formation
Caractéristiques de l’URL pré-signée
Associée à une action spécifique et caractérisé
par un délai d’expiration
L’utilisateur de l’URL hérite des autorisations du
créateur
Des conditions de restriction peuvent être
appliquées

76. Une formation
Etapes
Créer d’une instance EC2
Créer un rôle IAM pour faire appels aux API S3
Créer un compartiment et un fichier avec le CLI
Générer une URL pré-signée
Vérifier et conclure

77. Définir la fédération
d’identité et le SSO
Une formation
Hassen NASRI

78. Une formation
Fédération
Authentifier des utilisateurs à travers des
divers domaines
Déléguer l’authentification d’un utilisateur à
un partenaire de confiance

79. Single Sign-On
CRM
Appli RH
Autres
SSO
Utilisateur
Authentification

80. AWS Cognito
Amazon Cognito
Pool
utilisateurs
Pool
d’identités
Autres ressources AWS
2
Jetons JWT

81. Une formation
Etapes
Créer un pool d’utilisateurs
Configurer une application
Consulter et échanger les paramètres
Configurer un nom de domaine
Conclure

82. Etude de cas : Fédération avec ADFS
AD corp ADFS
AWS
Sign-In
Console
AWS
STS
1
2
3
4
5
6

83. Présenter le STS
Security Token Service
Une formation
Hassen NASRI

84. Une formation
Présentation du service STS
Lab
Plan

85. Une formation
STS Security Token
AWS Security Token Service (AWS STS)
permet de demander des informations
d'identification temporaires à privilèges
limités pour les utilisateurs IAM ou fédérés

86. Une formation
Etapes
Créer un utilisateur IAM
Créer un rôle IAM
Modifier l’entité de confiance du rôle IAM
Permettre à l’utilisateur IAM d’assumer le rôle IAM
Générer un jeton STS
Tester et conclure

87. Gérer le verrouillage
du coffre sur S3 Glacier
Une formation
Hassen NASRI

88. Rappel des services de stockages
S3 Standard
S3 One Zone-IA
HI S3
Glacier
S3 Standard -IA
Glacier DA

89. Verrouillage du coffre-fort
Conformité WORM
Archivage

90. Une formation
Etapes
Créer un coffre Glacier
Consulter les paramètres à disposition
Ecrire une politique de verrouillage du coffre-
fort
Vérifier et conclure

91. Maitriser les organisations AWS
et politiques de contrôles de services
Une formation
Hassen NASRI

92. Une formation
AWS Organizations
Gérer et contrôler d’une manière centralisée
l’environnement Cloud
Centraliser la gestion de plusieurs comptes
Créer une facture unique
Définir des politiques centralisées de contrôle de
service
Partager des ressources entre plusieurs comptes
Simplifier l’audit et les vérifications de conformité

93. Exemple
P
D1 D2
P
R
Compte principal
Production
Recettes
Développement
Compte DEV 1 Compte DEV 2
Compte Recettes
Compte production

94. Une formation
Etapes
Créer une organisation
Attacher un compte secondaire au compte
principale
Créer une politique de contrôle
Faire des tests avec la politique
Vérifier et conclure

95. Générer un rapport sur
les informations d’identification
Une formation
Hassen NASRI

96. Une formation
Contexte
Lab
Analyse des rapports
Plan

97. Une formation
Contexte
Une mission d’audit
Une campagne de revue/ re-certification
interne entreprise
Exigences réglementaires
Analyses Post-Incident

98. Une formation
Lab
Générer le rapport sur les informations
d’identification
Depuis l’interface
Avec l’interface ligne de commandes
aws iam generate-credential-report
aws iam get-credential-report
aws iam get-credential-report --output text --query
Content | base64 -D

99. Découvrir AWS CloudTrail
Une formation
Hassen NASRI

100. Une formation
Rappel du service CloudTrail
Fonctionnalités
Plan

101. Une formation
Rappel
AWS CloudTrail contrôle et enregistre
l'activité du compte sur l'ensemble de notre
infrastructure AWS afin de nous donner le
contrôle sur le stockage, l'analyse et les
actions correctives
CloudTrail est activé par défaut

102. Fonctionnalités
Chiffrement des
fichiers de logs
Envoi des
évènements pour
stockage et
surveillance
Multi-Régions
Multi-Comptes
CloudTrail Insights
CloudTrail Lake

103. Une formation
Cas d’usage
Investigation Post incident
Traçabilité des actions sur un compte AWS
Détection d’une action malveillante

104. Une formation
Etapes
Créer un journal de suivi CloudTrail
Créer un nouveau compartiment pour
stocker les évènements CloudTrail
Déclencher des appels API
Vérifier et conclure

105. Découvrir la protection
des fichiers de journalisation
Une formation
Hassen NASRI

106. Une formation
Les informations dans les logs
Métadonnées des appels API
L’identité de l’appelant API (API Caller)
La date et l’heure exactes
Des adresses IP
Les paramètres de requêtes
La réponse fournie par le service

107. Une formation
Donnée à caractère personnel
C'est toute information relative à une personne
physique susceptible d'être identifiée, directement
ou indirectement
Par exemple
un nom, une adresse postale, une adresse mail,
un numéro de téléphone, un numéro de sécurité
sociale, un matricule interne, une adresse IP, un
identifiant de connexion informatique, etc

108. Protection des fichiers journalisations
Politiques IAM et
groupes de sécurité
Notifications SNS
Chiffrement des
données
Stratégies S3 et « S3
MFA Delete »
Rétention des
données

109. Pour récapituler
Cloud AWS
Couche de
surveillance Autres services
Appel API
ObjectCreate
Appel à Lambda
SNS
AWS Lambda S3
Envoi effectué chaque 5
minutes avec un délai de
15 minutes de délai

110. Découvrir AWS CloudWatch
Une formation
Hassen NASRI

111. Une formation
Rappel
Un service de surveillance et d'observabilité à
temps réel, fournit des données et des
informations exploitables pour surveiller les
applications, faire face aux modifications de
performances à l'échelle du système et
optimiser l'utilisation des ressources

112. Composants du CloudWatch
CloudWatch
Evènements
CloudWatch
Journaux
CloudWatch

113. Evénements CloudWatch
Cloud AWS
Couche de
surveillance
Autres services
Appel API
ObjectCreate
SNS S3 Envoi effectué chaque 5 minutes
avec un délai de 15 minutes de délai
Création d’une base RDS

114. Une formation
Exemples d’événements CloudWatch Events
Etat d’une instance EC2
Running, Shutting-down, stopped, stopping et
terminated
Evènements AWS TrustedAdvisor
Instances EC2 sous-exploitées, clés d’accès exposés, etc.
Pour plus d’information
Exemples d'événements CloudWatch Events provenant de
services pris en charge - Amazon CloudWatch Events

115. Découvrir AWS Config
Une formation
Hassen NASRI

116. Une formation
AWS Config
AWS Config est un service qui permet de
déterminer, de contrôler et d'évaluer les
configurations des ressources AWS

117. Une formation
Fonctionnalités
Analyse des risques de sécurité
Suivi des ressources
Snapshots de configuration
Enregistrement des changements de
configuration des ressources AWS
Conformité automatisée

118. Terminologies
Règles
Pack de
conformité
Agrégateurs

119. Découvrir AWS Inspector
et AWS Trusted Advisor
Une formation
Hassen NASRI

120. Comparaison entre les deux services
AWS Inspector AWS Trusted Advisor
Basé sur agent Sans agent
Sans impact sur la performance Meilleure performance
Offre gratuite Support Premium
Configuration EC2 Comptes AWS
Pas de recommandation budgétaire Meilleure gestion budgétaire
Planifiée Recommandations à temps réel

121. Rappel du Virtual Private
Cloud VPC
Une formation
Hassen NASRI

122. Architecture réseaux
Table de
routage
N
A
C
L
Table de
routage
EC2
EC2
Groupe de
sécurité
Groupe de
sécurité
Région
VPC
Sous-réseau publique
Sous-réseau privé
N
A
C
L

123. Notion d’appairage
VPC 1 VPC 2
Apparaige entre des VPC
Du même compte
Dans la même région
Des différentes régions
Des différents comptes

124. Une formation
Actions
Créer un VPC
Créer des sous-réseaux
Créer une passerelle internet
Créer des instances
Vérifier les différents paramètres et
récapituler

125. Connaître les passerelles NAT
et instances NAT
Une formation
Hassen NASRI

126. Une formation
Actions
Créer une instance NAT
Créer une passerelle NAT
Vérifier et récapituler

127. Récapitulatif

128. Paramétrer les groupes
de sécurité et NACL
Une formation
Hassen NASRI

129. Rappel
Table de
routage
N
A
C
L
Table de
routage
EC2
EC2
Groupe de
sécurité
Groupe de
sécurité
Région
VPC
Sous-réseau publique
Sous-réseau privé
N
A
C
L

130. Découvrir les répartiteurs
de charges
Une formation
Hassen NASRI

131. Une formation
Définition
Un équilibreur de charge constitue le point
de contact unique pour les clients
L'équilibreur de charge distribue le trafic
applicatif entrant sur différentes cibles,
telles que des instances EC2, dans plusieurs
zones de disponibilité

132. Répartiteur de
charge
Serveurs d’application
Base de donnée
Règles
d’acheminement
Rappel

133. Découvrir les Journaux
de flux VPC
Une formation
Hassen NASRI

134. Flux VPC
Journaux de flux VPC
CloudWatch
Compartiment S3
Un outil SIEM

135. Rappel

136. Une formation
Point d’attention
Trafic pour réactiver une License Windows
Trafic DHCP
Requêtes DNS si utilisation d’un serveur DNS
Amazon
Trafic vers l’adresse IP réservée par défaut au
routeur VPC

137. Découvrir Amazon DNS
Une formation
Hassen NASRI

138. Une formation
Rappel des adresses réservées
Partons sur le portail AWS !
Plan

139. Rappel des adresses réservées
Pour un sous-réseau 10.0.0.0/16
Adresse IP Commentaire
10.0.0.0 Adresse du réseau
10.0.0.1 Adresse du routeur
10.0.0.2 Adresse du serveur DNS
10.0.0.3 Pour un usage futur
10.0.0.255 Adresse du Broadcast

140. Découvrir le gestionnaire
de session
Une formation
Hassen NASRI

141. Une formation
Présentation du service AWS System
Manager
Présentation du service
« Gestionnaire de session »
Lab
Plan

142. Présentation du service AWS System Manager
Gestion des opérations
Gestion des
modifications
Gestion de nœuds
Gestion d’applications
Explorer
OpsCenter
Incident manager
App manager
AppConfig
Paraméter Store
Fleet Manager
Session Manager
Gestionnaire de correctifs
Automatisation
Change manager
Maintenance

143. Une formation
Service « Gestionnaire de session »
Basé sur le navigateur
A la fois pour des instances Linux et Windows
Pas besoin des clés SSH ou des ouvertures de ports
Gérer les instances à partir de la même interface
Des accès gérés par des rôles IAM

144. Une formation
Actions
Créer un rôle IAM pour faire appel au service
« AWS System manager »
Créer une instance
Créer un puit de logs « CloudWatch »
Utiliser le service « AWS Session manager »
Vérifier et récapituler

145. Apercevoir KMS
avec une clé gérée par AWS
Une formation
Hassen NASRI

146. Apercevoir KMS
avec une clé créée hors AWS
Une formation
Hassen NASRI

147. Gérer la rotation KMS
et sécuriser les clés
Une formation
Hassen NASRI

148. Une formation
Présentation de la rotation des clés
Autres méthodes pour sécuriser les
clés
Conclusion
Plan

149. La rotation selon le scénario adopté
Clé KMS gérée par AWS
Clé KMS géré par le client
depuis le cloud AWS
Clé KMS géré par le client
en dehors du cloud AWS
Création Créé par AWS Créé avec KMS par le
client
Créé par le client et
importé dans AWS
Fréquence de rotation Automatiquement chaque
3 années
Automatiquement
Chaque 365 jours
(désactivé par défaut)
Pas de rotation
automatique
Le client gère la
rotation
manuellement
Stratégie d’accès KMS Gérée par AWS Gérée par le client Gérée par le client
Suppression Ne peut pas être
supprimée
Peut être supprimée Peut être supprimée

150. Autres méthodes pour sécuriser les clés
Stratégie de clé et conditions (Via Service)
Mécanisme d’octroi (KMS Grants)

151. Voir l’initialisation du service
AWS CloudHSM
Une formation
Hassen NASRI

152. Présentation et comparatif avec KMS
CloudHSM KMS
Accès (Tenancy) Accès à client unique Accès à plusieurs clients
Montée en charge et
redondance
Gestion par AWS Gestion par AWS
Contrôle des clés Le client AWS et le client
Conformité FIPS 140-2 et EAL-4 Bonne
Prix $$$ $

153. Une formation
Actions
Créer un VPC
Créer un sous-réseau privé
Créer un cluster HSM
Initialiser le cluster HSM

154. Créer une clé avec AWS
CloudHSM
Une formation
Hassen NASRI

155. Une formation
Actions
Paramétrer une instance EC2 pour gérer le
cluster HSM
Client HSM
Configurer les utilisateurs à disposition sur un
HSM
Générer des clés sur le cluster HSM

156. Profils utilisateurs sur HSM
Responsable de
chiffrement CO
Utilisateur de
l'Appliance AU
Responsable du pré-
chiffrement PRECO
Utilisateur de
chiffrement CU

157. Présenter AWS Certificate
Manager
Une formation
Hassen NASRI

158. Une formation
Introduction générale
Lab
Plan

159. Introduction générale
ELB
CloudFront
AWS API
Gateway
Certificats
publiques
Certificats
privés

160. Une formation
Actions
Créer un nom de domaine avec Route53
Demander un certificat SSL depuis AWS
Certificate Manager

161. Présenter AWS Secrets
Manager
Une formation
Hassen NASRI

162. Introduction générale
Ressources à gérer !
Compartiments
S3
Utilisateurs
VPC ACL
Instances EC2 Volume EBS
Répartiteurs
de charge
Bases de
données

163. Présentation du service Secrets manager
Mots de passe
Clés SSH
Clés API
Token Oauth
Stockage sécurisé
Chiffrement en transit et en repos avec KMS
Renouvellement automatique
Réplication automatique
Vérification et surveillance
Possible rotation spécifique avec Lambda
Contrôle d’accès avec IAM ou des labels (Tag)
API call pour récupérer un secret

164. Une formation
Actions
Créer une base de donnée RDS
Configurer AWS secrets manager

165. Découvrir AWS Macie
Une formation
Hassen NASRI

166. Introduction générale
Exemple
Site Web d’une agence de location
Compartiment S3 contenant
les informations des clients

167. Une formation
PII ou IPI
PII : Personal Identifiable Information
IPI : Information personnellement identifiables
Prénom
Nom de famille
Adresse de facturation
Adresse du domicile
Numéro de sécurité sociale
Informations sur le passeport (ou une image de celui-ci)
Numéro de permis de conduire (ou une image de celui-ci)
Données de la carte de crédit (numéro, CVV, date d'expiration)
Date de naissance
Numéro de téléphone
Données d'authentification (nom d'utilisateur et mot de passe)

168. PII sensibles et non sensibles
Non sensible
Sensible VS

169. Une formation
Présentation de Macie
Amazon Macie est un service de sécurité et de
confidentialité des données qui utilise le machine
learning et la correspondance de modèles pour
identifier et protéger nos données sensibles dans AWS
L’intelligence artificielle pour définir si les objets S3
contiennent des données sensibles
Tableau de bord, rapports et alertes
En lien direct avec les données stockées dans S3
Capacité d’analyser les fichiers de journalisation
CloudTrail

170. Découvrir AWS WAF
Une formation
Hassen NASRI

171. Introduction générale
Service Objectif
AWS Network firewall Protection couche 3
Définir des règles pour contrôler le trafic réseau
AWS WAF Protection couche 7
AWS Firewall Manager Simplification des tâches d’administration et maintenance de pare-
feu dans une organisation
Gestion centralisée des règles de sécurité sur les différents
comptes AWS
Périmètre
AWS WAF, AWS Shield et les groupes de sécurité VPC

172. OWASP 10
Référence: owasp.org

173. Fonctionnement
WAF
ALB API
Distribution
CloudFront
HTTP ou HTTPS
CloudWatch
Liste de contrôle d’accès
WEB
Métriques

174. Traitement des faux positifs

175. Découvrir AWS Shield
Une formation
Hassen NASRI

176. Présentation du service AWS Shield
AWS Shield Version
Standard
AWS Shield Version
avancée

177. Exemples d’attaque DDoS

178. SYN Flood
Hacker Cible
SYN
SYN-ACK
ACK
X

179. UDP Flood
Hacker
Zombie
Zombie
Zombie
Zombie
Utilisateur légitime

180. Une formation
Recommandations pour une
meilleure résilience
Une protection périphérique avec l’utilisation de
CloudFront et Route53
« Auto-scaling » pour les instances, les bases de
données, etc
Dimensionnement des instances
Utilisation d’un répartiteur de charge ALB
Réduction des surfaces d’attaques

181. Apercevoir les micro-services
et conteneurs AWS
Une formation
Hassen NASRI

182. Terminologie
Micro-services
Conteneurs
« Monolithique »
Docker

183. Terminologie
OS
Docker
Kernel
Librairies
Code
Kernel
Librairies
Code
Kernel
Librairies
Code
Conteneur Conteneur Conteneur

184. Conteneurs dans AWS
ECS EKS
VS

185. Une formation
Recommandations pour une
meilleure sécurité
Ne pas stocker les mots de passe dans les
conteneurs ou dans le code
Utiliser un rôle IAM pour gérer et accéder aux
conteneurs
Utiliser un micro-service par conteneur

186. Découvrir AWS GuardDuty
Une formation
Hassen NASRI

187. Définition
GuardDuty
DNS logs
CloudTrail
VPC Flow
Logs
Surveillance

188. Fonctionnalités
Surveillance
Classification
des menaces
Détection
Automatisation
des réponses

189. Classification des menaces
Score de sévérité de 0.1 à 8.9
Les scores 0 et 9-10 sont réservés
Elevé Faible
Moyen
Ressource compromise
Ressource utilisé par un
utilisateur non autorisé
 Prendre action
immédiatement
Activité suspicieuse
Possible compromission d’une
ressource
 Investiguer
Activité suspicieuse bloquée
 Vérifier mais pas d’action
immédiate

190. Une formation
Recommandations pour une
meilleure posture
Utiliser AWS Organizations pour détecter les menaces sur
un environnement à multiples comptes
Nominer un seul compte membre comme un
administrateur GuardDuty
Ne pas définir le compte « master » ou parent de
l’organisation comme un administrateur GuardDuty
« Principe de moindre privilège » et « Séparation de
pouvoir »

191. Découvrir AWS Run
Command et Parameter Store
Une formation
Hassen NASRI

192. Découvrir AWS Run Command
Gérer et surveiller des nœuds
à distance
Automatiser des tâches
d’administration et de
configuration
Administration centralisée
Administration moins couteuse
Amélioration du niveau de sécurité

193. Découvrir AWS Parameter Store
Stocker des données de
configurations et des secrets
Permettre un référencement
sécurisé des codes et paramètres
dans les traitements
Service sécurisé et évolutif
Amélioration du niveau de sécurité
Contrôle d’accès et audit granulaire
Stockage résilient

194. Maitriser la politique d’AWS
en matière d’utilisation
Une formation
Hassen NASRI

195. Une formation
Introduction générale
AWS AUP
Détection des abus
Causes fréquentes d’activités abusives
Plan

196. Une formation
Introduction générale
Votre compte peut être une porte
d’entrée d’un incident de sécurité !

197. Une formation
AWS AUP
Utilisation et pratiques interdites avec les
services AWS
Signalisation des violations des politiques
Surveillance et mise en vigueur

198. Détection des abus
Surveillance des
évènements en interne
Plaintes d’abus sur
internet
Renseignement de
sécurité externe contre
le réseau AWS
1
2
3

199. Une formation
Causes fréquentes d’activités abusives
Des ressources compromises
Abus intentionnel
utilisation agressive des bots (Web Crawlers)
Abus secondaire
par un utilisateur d’une application
Faux positifs
activité légitime identifié comme un abus

200. Découvrir la gestion
d’un incident de sécurité
Une formation
Hassen NASRI

201. Une formation
Introduction générale
Gestion d’incident
Détection d’un incident sur AWS
De la réponse à la remédiation
Exemples d’incidents et des réponses
Plan

202. Introduction générale
Incident
Gravité
Interne vs
Externe
Accident ou
intentionnel

203. Gestion d’incident
Détection
Réponse
Mitigation
Reporting
Rétablissement
Remédiation
Leçons tirées

204. Une formation
Détection d’un incident sur AWS
Logs, évènements CloudWatch, métriques CloudWatch
Changement au niveau de la facturation
Outils
Trusted Advisor, Inspector, WAF, Shield Advanced, Antivirus
Outils de détection de menaces
GuardDuty et Macie
Outils de partenaires
Des notifications d’abus
Security Hub
des alertes de sécurité et de conformité

205. Une formation
De la réponse à la remédiation
Etablir des procédures de réponse à un incident
Répondre sur un environnement Cloud
Préserver les évidences
fichiers de journalisations, capture du trafic réseau, mémoire
volatile, etc
Redéployer les ressources avec les configurations nécessaires
Automatiser les procédures de réponses
Améliorer d’une manière continue les procédures de réponses

206. Un premier exemple d’un incident
Un compartiment S3 rendu public
Capturer les métadonnées du compartiment
Consulter l’historique des configurations
Consulter les différents fichiers de journalisation
Remédier

207. Capturer les métadonnées de l’instance
Protéger et isoler l’instance
Snapshots des volumes EBS
Ajouter un Tag à l’instance
Investigation
Un deuxième exemple d’un incident
Une instance EC2 compromise

208. Modifier les clés d’accès
Supprimer les ressources non reconnues
Supprimer tout utilisateur IAM non reconnu
Modifier les mots de passes
Activer le MFA
Obtenir de l’aide !
Un troisième exemple d’un incident
Compte AWS compromis
https://pages.awscloud.com/contact-us-account-support.html

209. Conclusion
Une formation
Hassen NASRI

210. Une formation
Sécurité dans AWS
Gestion des identités et des accès IAM
Journalisation et surveillance
Protection des données
Sécurité de l’infrastructure
Réponse aux incidents
Bilan