"La formation « AWS Security » permet d’aider les candidats à réussir leur examen AWS Security et de monter en compétence sur les thématiques en lien avec la sécurité informatique dans le cloud AWS.
Les points forts de la formation
La formation couvre les 5 domaines de la certification « AWS Security » d’une manière synthétique.
Elle est un mélange de la théorie consolidée avec des exercices de pratiques.
Le contenu est enrichi également avec l’expérience professionnelle du formateur.
Contenu de la formation
La formation est constituée de 5 domaines principaux de la formation avec un domaine de préparation et de rappel général sur le cloud AWS.
Les 5 domaines de la certification sont les suivants :
• Gestion des identités et des accès (20% de l’examen)
• Surveillance et journalisation (20% de l’examen)
• Protection des données (22% de l’examen)
• Sécurité de l’infrastructure (26% de l’examen)
• Réponse aux incidents (12% de l’examen)
Résultats attendus
À la suite de cette formation, le candidat devrait avoir des connaissances approfondies sur le fonctionnement des services AWS en lien avec la sécurité dans le cloud.
Certification
La formation est destinée pour préparer la certification « AWS Security Specialty »."
3. Une formation
Introduction
1. Sécurité dans AWS
2. Gestion des identités et des accès IAM
3. Journalisation et surveillance
4. Protection des données
5. Sécurité de l’infrastructure
6. Réponse aux incidents
Conclusion
Plan de la formation
4. Une formation
Professionnel de la sécurité informatique
Curieux ayant envie de découvrir la sécurité
dans le cloud Amazon
Les architectes des solutions cloud
Public concerné
5. Une formation
Connaissances requises
Expérience en sécurité informatique
Connaissance dans le domaine de conception
et implémentation des solutions de sécurité
Connaissances des services AWS
Connaissance du modèle de responsabilité
partagée
8. Une formation
Plan
Création d’un compte racine sur le portail AWS
Création d’un utilisateur IAM
Configuration des alertes de facturation
Configuration de l’interface de ligne de
commande
10. Une formation
URL d’accès au portail AWS
URL: https://aws.amazon.com
Exemple: Société GAMMA
Une agence de location de voiture
avec un portefeuille client important
15. Une formation
Scenario
Société GAMMA
Une agence de location de voiture avec un
portefeuille client important
GAMMA met à disposition un site web de
réservation de voiture
22. Une formation
Chantiers d’hygiène
Sensibiliser et former
Cartographier le SI
Authentifier et contrôler les accès
Sécuriser les postes
Sécuriser le réseau
Sécuriser l’administration
Gérer le nomadisme
Superviser, auditer et réagir
28. Cloud AWS en chiffres
26 régions lancées
84 zones de
disponibilité
Plus de 310 points
de présence
17 Caches
périphériques
régionaux
29. Une formation
Mesures de sécurité du cloud AWS
Exemples
Sécurité physique et environnementale,
Sécurité des réseaux,
Plan de continuité d’activité;
34. Plus en détails
Stockage
Réseaux
Serveur
Virtualisation
Système
exploitation
Base de données
Intégration SOA
Runtime
Applications
IaaS PaaS SaaS
En local
Applications
Runtime
Intégration SOA
Base de données
Système
exploitation
Virtualisation
Serveur
Stockage
Réseaux
Applications Applications
Runtime Runtime
Intégration SOA Intégration SOA
Base de données Base de données
Système
exploitation
Système
exploitation
Virtualisation Virtualisation
Serveur Serveur
Stockage Stockage
Réseaux Réseaux
36. Une formation
Contrôles sur AWS
Visibilité, avec AWS Config par exemple
Traçabilité, avec AWS CloudTrail par exemple
Sécurisation des données, avec AWS KMS ou
CloudHSM
Agilité
Automatisation
Mise à l’échelle
39. Introduction générale
Gestion des identités et des accès
Identification
Identifiant unique
Cycle de vie des identités
arrivée, départ, désactivation temporaire,
suspension, etc
Processus et procédures
Mécanisme d’authentification
Droits ou profils d’accès
Modélisation des droits (RBAC, ABAC, DAC, etc.)
Revue régulière des droits d’accès
40. Exemple de mise en place d’un outil IAM
Référentiel
RH
Outil IAM
Application
Systèmes cibles
Reporting BI Revue/ re-certification
42. Liens entre les concepts IAM
Autoriser
Attribuer
Hériter
Politique
Utilisateur
Groupe
d’utilisateur
Ressource Rôle
Utilisateur Utilisateur
43. Une formation
Actions
Créer des utilisateurs
Créer des groupes d’utilisateurs
Distinguer les stratégies gérées et les
stratégies en ligne
Créer un rôle
46. Une formation
Définition
Selon l’ANSSI, un compte à privilèges est un
compte disposant de droits élevés sur le
système d’information comme un compte
d’administrateur
47. Une formation
Recommandations
Utiliser l’authentification à double facteur (MFA)
Imposer un délai d’expiration sur les mots de passe
Mettre en place une solution PAM
Revoir et vérifier régulièrement les comptes à
privilèges
Surveiller et contrôler les actions d’un compte à
privilèges
48. Une formation
Sécuriser le compte root AWS
Créer un nouveau mot de passe
Supprimer l’ancienne authentification multi facteur
et créer une nouvelle
Supprimer les clés d’accès pour le compte root
Revoir les différents comptes et vérifier leurs
légitimités
49. Une formation
Actions
Modifier le mot de passe du compte root
Vérifier la politique de mot de passe et la modifier
Activer l’expiration des mots de passe
Activer l’authentification multi facteur
Générer un rapport des comptes créés
52. Une formation
Types des politiques IAM
Politiques gérées AWS
Politiques spécifiques
Politiques en ligne
53. Une formation
Actions
Créer un utilisateur
Créer un groupe d’utilisateur
Affecter une politique à ce groupe
Vérifier la politique créée
Tester et confirmer les permissions attribuées à
l'utilisateur
Noter les messages de succès ou d’erreur remontés
par AWS
57. Une formation
Cas d’usage des stratégies S3
Gérer les accès au niveau de l’environnement S3 et
non pas avec des politiques IAM
Méthode facile pour permettre à d’autres comptes
AWS d’accéder à un compartiment sans utiliser des
rôles IAM
58. Une formation
Actions
Créer un compartiment S3
Vérifier les paramètres d’un compartiment S3
Créer une stratégie correspondante
Générer un conflit entre une politique IAM et une
stratégie S3
60. Une formation
Les ACL en quelques mots
Cas d’usage
Extrait d’une ACL S3
Permissions
Lab
Gestion des conflits
Plan
61. Une formation
Les ACL en quelques mots
Une ACL permet de gérer les accès à deux niveaux
d’un compartiment S3
et d’un objet dans un compartiment
Une ACL par défaut pour tout compartiment S3
créée
AWS recommande l’utilisation des politiques IAM et
des stratégies S3
65. Une formation
Etapes
Créer un compartiment
Consulter les paramètres par défaut d’une ACL au
niveau d’un compartiment
Ajouter un fichier dans un compartiment
Permettre un accès publique à ce fichier
Générer une situation de conflit avec une politique
IAM
66. Gestion des conflits
Par défaut : DENY
Evaluer les politiques IAM,
les stratégies et les ACL
Si un « Allow » explicite est
paramétré Accès permis
Si un « DENY explicite » est
appliqué Accès refusé
Si non, l’accès est refusé
par défaut
67. Gérer l’accès à un compartiment
S3 avec ClouFront
Une formation
Hassen NASRI
69. Une formation
Fonctions du service AWS CloudFront
Faible latence
Fiabilité
Disponibilité
Sécurité
Surveillance et journalisation
70. Une formation
Sécurité avec CloudFront
Protection contre les attaques des couches
réseaux et application
Chiffrement SSL/TLS
Contrôle d’accès
Fonctionnalité OAI
Restriction géographique
URL et cookies signés
71. Surveillance et journalisation
Contenu
Web
Logs
Un utilisateur Site web avec CloudFront Point de présence Amazon S3
Un utilisateur
Site web avec CloudFront Point de présence
Journalisation standard
Journalisation à temps réel
Contenu
Web
Amazon S3
72. Une formation
Etapes
Créer un compartiment S3
Créer une distribution CloudFront
Restreindre l’accès à l’objet S3 via
CloudFront
74. Une formation
Cas d’usage
Pour permettre de partager des objets
dans un compartiment S3 avec des
utilisateurs n’ayant pas des permissions
ou accès AWS
75. Une formation
Caractéristiques de l’URL pré-signée
Associée à une action spécifique et caractérisé
par un délai d’expiration
L’utilisateur de l’URL hérite des autorisations du
créateur
Des conditions de restriction peuvent être
appliquées
76. Une formation
Etapes
Créer d’une instance EC2
Créer un rôle IAM pour faire appels aux API S3
Créer un compartiment et un fichier avec le CLI
Générer une URL pré-signée
Vérifier et conclure
81. Une formation
Etapes
Créer un pool d’utilisateurs
Configurer une application
Consulter et échanger les paramètres
Configurer un nom de domaine
Conclure
82. Etude de cas : Fédération avec ADFS
AD corp ADFS
AWS
Sign-In
Console
AWS
STS
1
2
3
4
5
6
85. Une formation
STS Security Token
AWS Security Token Service (AWS STS)
permet de demander des informations
d'identification temporaires à privilèges
limités pour les utilisateurs IAM ou fédérés
86. Une formation
Etapes
Créer un utilisateur IAM
Créer un rôle IAM
Modifier l’entité de confiance du rôle IAM
Permettre à l’utilisateur IAM d’assumer le rôle IAM
Générer un jeton STS
Tester et conclure
90. Une formation
Etapes
Créer un coffre Glacier
Consulter les paramètres à disposition
Ecrire une politique de verrouillage du coffre-
fort
Vérifier et conclure
92. Une formation
AWS Organizations
Gérer et contrôler d’une manière centralisée
l’environnement Cloud
Centraliser la gestion de plusieurs comptes
Créer une facture unique
Définir des politiques centralisées de contrôle de
service
Partager des ressources entre plusieurs comptes
Simplifier l’audit et les vérifications de conformité
94. Une formation
Etapes
Créer une organisation
Attacher un compte secondaire au compte
principale
Créer une politique de contrôle
Faire des tests avec la politique
Vérifier et conclure
95. Générer un rapport sur
les informations d’identification
Une formation
Hassen NASRI
97. Une formation
Contexte
Une mission d’audit
Une campagne de revue/ re-certification
interne entreprise
Exigences réglementaires
Analyses Post-Incident
98. Une formation
Lab
Générer le rapport sur les informations
d’identification
Depuis l’interface
Avec l’interface ligne de commandes
aws iam generate-credential-report
aws iam get-credential-report
aws iam get-credential-report --output text --query
Content | base64 -D
101. Une formation
Rappel
AWS CloudTrail contrôle et enregistre
l'activité du compte sur l'ensemble de notre
infrastructure AWS afin de nous donner le
contrôle sur le stockage, l'analyse et les
actions correctives
CloudTrail est activé par défaut
104. Une formation
Etapes
Créer un journal de suivi CloudTrail
Créer un nouveau compartiment pour
stocker les évènements CloudTrail
Déclencher des appels API
Vérifier et conclure
106. Une formation
Les informations dans les logs
Métadonnées des appels API
L’identité de l’appelant API (API Caller)
La date et l’heure exactes
Des adresses IP
Les paramètres de requêtes
La réponse fournie par le service
107. Une formation
Donnée à caractère personnel
C'est toute information relative à une personne
physique susceptible d'être identifiée, directement
ou indirectement
Par exemple
un nom, une adresse postale, une adresse mail,
un numéro de téléphone, un numéro de sécurité
sociale, un matricule interne, une adresse IP, un
identifiant de connexion informatique, etc
108. Protection des fichiers journalisations
Politiques IAM et
groupes de sécurité
Notifications SNS
Chiffrement des
données
Stratégies S3 et « S3
MFA Delete »
Rétention des
données
109. Pour récapituler
Cloud AWS
Couche de
surveillance Autres services
Appel API
ObjectCreate
Appel à Lambda
SNS
AWS Lambda S3
Envoi effectué chaque 5
minutes avec un délai de
15 minutes de délai
111. Une formation
Rappel
Un service de surveillance et d'observabilité à
temps réel, fournit des données et des
informations exploitables pour surveiller les
applications, faire face aux modifications de
performances à l'échelle du système et
optimiser l'utilisation des ressources
113. Evénements CloudWatch
Cloud AWS
Couche de
surveillance
Autres services
Appel API
ObjectCreate
SNS S3 Envoi effectué chaque 5 minutes
avec un délai de 15 minutes de délai
Création d’une base RDS
114. Une formation
Exemples d’événements CloudWatch Events
Etat d’une instance EC2
Running, Shutting-down, stopped, stopping et
terminated
Evènements AWS TrustedAdvisor
Instances EC2 sous-exploitées, clés d’accès exposés, etc.
Pour plus d’information
Exemples d'événements CloudWatch Events provenant de
services pris en charge - Amazon CloudWatch Events
116. Une formation
AWS Config
AWS Config est un service qui permet de
déterminer, de contrôler et d'évaluer les
configurations des ressources AWS
117. Une formation
Fonctionnalités
Analyse des risques de sécurité
Suivi des ressources
Snapshots de configuration
Enregistrement des changements de
configuration des ressources AWS
Conformité automatisée
120. Comparaison entre les deux services
AWS Inspector AWS Trusted Advisor
Basé sur agent Sans agent
Sans impact sur la performance Meilleure performance
Offre gratuite Support Premium
Configuration EC2 Comptes AWS
Pas de recommandation budgétaire Meilleure gestion budgétaire
Planifiée Recommandations à temps réel
123. Notion d’appairage
VPC 1 VPC 2
Apparaige entre des VPC
Du même compte
Dans la même région
Des différentes régions
Des différents comptes
124. Une formation
Actions
Créer un VPC
Créer des sous-réseaux
Créer une passerelle internet
Créer des instances
Vérifier les différents paramètres et
récapituler
131. Une formation
Définition
Un équilibreur de charge constitue le point
de contact unique pour les clients
L'équilibreur de charge distribue le trafic
applicatif entrant sur différentes cibles,
telles que des instances EC2, dans plusieurs
zones de disponibilité
136. Une formation
Point d’attention
Trafic pour réactiver une License Windows
Trafic DHCP
Requêtes DNS si utilisation d’un serveur DNS
Amazon
Trafic vers l’adresse IP réservée par défaut au
routeur VPC
139. Rappel des adresses réservées
Pour un sous-réseau 10.0.0.0/16
Adresse IP Commentaire
10.0.0.0 Adresse du réseau
10.0.0.1 Adresse du routeur
10.0.0.2 Adresse du serveur DNS
10.0.0.3 Pour un usage futur
10.0.0.255 Adresse du Broadcast
141. Une formation
Présentation du service AWS System
Manager
Présentation du service
« Gestionnaire de session »
Lab
Plan
142. Présentation du service AWS System Manager
Gestion des opérations
Gestion des
modifications
Gestion de nœuds
Gestion d’applications
Explorer
OpsCenter
Incident manager
App manager
AppConfig
Paraméter Store
Fleet Manager
Session Manager
Gestionnaire de correctifs
Automatisation
Change manager
Maintenance
143. Une formation
Service « Gestionnaire de session »
Basé sur le navigateur
A la fois pour des instances Linux et Windows
Pas besoin des clés SSH ou des ouvertures de ports
Gérer les instances à partir de la même interface
Des accès gérés par des rôles IAM
144. Une formation
Actions
Créer un rôle IAM pour faire appel au service
« AWS System manager »
Créer une instance
Créer un puit de logs « CloudWatch »
Utiliser le service « AWS Session manager »
Vérifier et récapituler
149. La rotation selon le scénario adopté
Clé KMS gérée par AWS
Clé KMS géré par le client
depuis le cloud AWS
Clé KMS géré par le client
en dehors du cloud AWS
Création Créé par AWS Créé avec KMS par le
client
Créé par le client et
importé dans AWS
Fréquence de rotation Automatiquement chaque
3 années
Automatiquement
Chaque 365 jours
(désactivé par défaut)
Pas de rotation
automatique
Le client gère la
rotation
manuellement
Stratégie d’accès KMS Gérée par AWS Gérée par le client Gérée par le client
Suppression Ne peut pas être
supprimée
Peut être supprimée Peut être supprimée
150. Autres méthodes pour sécuriser les clés
Stratégie de clé et conditions (Via Service)
Mécanisme d’octroi (KMS Grants)
152. Présentation et comparatif avec KMS
CloudHSM KMS
Accès (Tenancy) Accès à client unique Accès à plusieurs clients
Montée en charge et
redondance
Gestion par AWS Gestion par AWS
Contrôle des clés Le client AWS et le client
Conformité FIPS 140-2 et EAL-4 Bonne
Prix $$$ $
154. Créer une clé avec AWS
CloudHSM
Une formation
Hassen NASRI
155. Une formation
Actions
Paramétrer une instance EC2 pour gérer le
cluster HSM
Client HSM
Configurer les utilisateurs à disposition sur un
HSM
Générer des clés sur le cluster HSM
156. Profils utilisateurs sur HSM
Responsable de
chiffrement CO
Utilisateur de
l'Appliance AU
Responsable du pré-
chiffrement PRECO
Utilisateur de
chiffrement CU
162. Introduction générale
Ressources à gérer !
Compartiments
S3
Utilisateurs
VPC ACL
Instances EC2 Volume EBS
Répartiteurs
de charge
Bases de
données
163. Présentation du service Secrets manager
Mots de passe
Clés SSH
Clés API
Token Oauth
Stockage sécurisé
Chiffrement en transit et en repos avec KMS
Renouvellement automatique
Réplication automatique
Vérification et surveillance
Possible rotation spécifique avec Lambda
Contrôle d’accès avec IAM ou des labels (Tag)
API call pour récupérer un secret
167. Une formation
PII ou IPI
PII : Personal Identifiable Information
IPI : Information personnellement identifiables
Prénom
Nom de famille
Adresse de facturation
Adresse du domicile
Numéro de sécurité sociale
Informations sur le passeport (ou une image de celui-ci)
Numéro de permis de conduire (ou une image de celui-ci)
Données de la carte de crédit (numéro, CVV, date d'expiration)
Date de naissance
Numéro de téléphone
Données d'authentification (nom d'utilisateur et mot de passe)
169. Une formation
Présentation de Macie
Amazon Macie est un service de sécurité et de
confidentialité des données qui utilise le machine
learning et la correspondance de modèles pour
identifier et protéger nos données sensibles dans AWS
L’intelligence artificielle pour définir si les objets S3
contiennent des données sensibles
Tableau de bord, rapports et alertes
En lien direct avec les données stockées dans S3
Capacité d’analyser les fichiers de journalisation
CloudTrail
171. Introduction générale
Service Objectif
AWS Network firewall Protection couche 3
Définir des règles pour contrôler le trafic réseau
AWS WAF Protection couche 7
AWS Firewall Manager Simplification des tâches d’administration et maintenance de pare-
feu dans une organisation
Gestion centralisée des règles de sécurité sur les différents
comptes AWS
Périmètre
AWS WAF, AWS Shield et les groupes de sécurité VPC
180. Une formation
Recommandations pour une
meilleure résilience
Une protection périphérique avec l’utilisation de
CloudFront et Route53
« Auto-scaling » pour les instances, les bases de
données, etc
Dimensionnement des instances
Utilisation d’un répartiteur de charge ALB
Réduction des surfaces d’attaques
185. Une formation
Recommandations pour une
meilleure sécurité
Ne pas stocker les mots de passe dans les
conteneurs ou dans le code
Utiliser un rôle IAM pour gérer et accéder aux
conteneurs
Utiliser un micro-service par conteneur
189. Classification des menaces
Score de sévérité de 0.1 à 8.9
Les scores 0 et 9-10 sont réservés
Elevé Faible
Moyen
Ressource compromise
Ressource utilisé par un
utilisateur non autorisé
Prendre action
immédiatement
Activité suspicieuse
Possible compromission d’une
ressource
Investiguer
Activité suspicieuse bloquée
Vérifier mais pas d’action
immédiate
190. Une formation
Recommandations pour une
meilleure posture
Utiliser AWS Organizations pour détecter les menaces sur
un environnement à multiples comptes
Nominer un seul compte membre comme un
administrateur GuardDuty
Ne pas définir le compte « master » ou parent de
l’organisation comme un administrateur GuardDuty
« Principe de moindre privilège » et « Séparation de
pouvoir »
192. Découvrir AWS Run Command
Gérer et surveiller des nœuds
à distance
Automatiser des tâches
d’administration et de
configuration
Administration centralisée
Administration moins couteuse
Amélioration du niveau de sécurité
193. Découvrir AWS Parameter Store
Stocker des données de
configurations et des secrets
Permettre un référencement
sécurisé des codes et paramètres
dans les traitements
Service sécurisé et évolutif
Amélioration du niveau de sécurité
Contrôle d’accès et audit granulaire
Stockage résilient
197. Une formation
AWS AUP
Utilisation et pratiques interdites avec les
services AWS
Signalisation des violations des politiques
Surveillance et mise en vigueur
198. Détection des abus
Surveillance des
évènements en interne
Plaintes d’abus sur
internet
Renseignement de
sécurité externe contre
le réseau AWS
1
2
3
199. Une formation
Causes fréquentes d’activités abusives
Des ressources compromises
Abus intentionnel
utilisation agressive des bots (Web Crawlers)
Abus secondaire
par un utilisateur d’une application
Faux positifs
activité légitime identifié comme un abus
204. Une formation
Détection d’un incident sur AWS
Logs, évènements CloudWatch, métriques CloudWatch
Changement au niveau de la facturation
Outils
Trusted Advisor, Inspector, WAF, Shield Advanced, Antivirus
Outils de détection de menaces
GuardDuty et Macie
Outils de partenaires
Des notifications d’abus
Security Hub
des alertes de sécurité et de conformité
205. Une formation
De la réponse à la remédiation
Etablir des procédures de réponse à un incident
Répondre sur un environnement Cloud
Préserver les évidences
fichiers de journalisations, capture du trafic réseau, mémoire
volatile, etc
Redéployer les ressources avec les configurations nécessaires
Automatiser les procédures de réponses
Améliorer d’une manière continue les procédures de réponses
206. Un premier exemple d’un incident
Un compartiment S3 rendu public
Capturer les métadonnées du compartiment
Consulter l’historique des configurations
Consulter les différents fichiers de journalisation
Remédier
207. Capturer les métadonnées de l’instance
Protéger et isoler l’instance
Snapshots des volumes EBS
Ajouter un Tag à l’instance
Investigation
Un deuxième exemple d’un incident
Une instance EC2 compromise
208. Modifier les clés d’accès
Supprimer les ressources non reconnues
Supprimer tout utilisateur IAM non reconnu
Modifier les mots de passes
Activer le MFA
Obtenir de l’aide !
Un troisième exemple d’un incident
Compte AWS compromis
https://pages.awscloud.com/contact-us-account-support.html
210. Une formation
Sécurité dans AWS
Gestion des identités et des accès IAM
Journalisation et surveillance
Protection des données
Sécurité de l’infrastructure
Réponse aux incidents
Bilan