Le document présente les meilleures pratiques de sécurité pour AWS, en détaillant des techniques de prévention essentielles comme le contrôle d'accès, la segmentation réseau et la gestion des clés. Secludit, éditeur spécialisé dans la sécurité des infrastructures informatiques, encourage l'utilisation de services AWS pour optimiser la sécurité des données et infrastructures. Il souligne également l'importance de former les utilisateurs aux risques de sécurité dans un environnement cloud.

1. TOP10 des meilleures pratiques
de sécurité pour AWS
Donnat Frédéric – Dir. Technique et CoFondateur de SecludIT
08/06/2017

2. SecludIT - Copyright et confidentiel - 2017
Notre mission
• SecludIT est un Editeur français qui aide les entreprises,
les hébergeurs ou infogéreurs à sécuriser leurs infrastructures
informatiques.
• Notre objectif est de démocratiser les meilleures techniques
préventives de sécurité informatique.
• SecludIT : acteur reconnu de l’industrie!
• Partenariats avec les acteurs majeurs du cloud et de la virtualisation tel
qu’Amazon Web Services, Azure, OpenStack, CloudStack, VMware

3. SecludIT - Copyright et confidentiel - 2017
Sécurité AWS : Partage de responsabilité
Infrastructure globale
Services de base
Applications et contenu client
Gestion de plateforme, d’applications, d’identité et d’accès
Configuration du système d’exploitation, du réseau et du pare-feu
Chiffrement des
données côté client
Chiffrement des
données côté serveur
Protection du trafic
réseau
Emplacements
périphériques
Zone de
disponibilité
Régions
Calcul Stockage
Base de
données
Mise en réseau
Client
Responsable de la
sécurité « dans » le
cloud
AWS
Responsable de la
sécurité « du » cloud

4. SecludIT - Copyright et confidentiel - 2017
1 - Contrôle d’accès
• Segmenter le compte AWS pour les utilisateurs
• Opération, Administration, Auditeur
• Utilisation de AWS IAM :
• Identification, Authentification et Autorisation
• Rôles et Permissions
• Principe des « Moindres Privilèges » (IAM Policy simulator)
• Authentification à facteur multiple :
• Protection du compte « root »
• MFA device (Google Authenticator, …)

5. SecludIT - Copyright et confidentiel - 2017
2 – Segmentation réseau
• Identifier ses environnements :
• Production, Préproduction, Développement, Test
• Utilisation de AWS VPC :
• Cloisonnement réseau par « Zone » (Security Group, NACLs, …)
• Connection par « Jump Box / Bastion »
• « PAS » de configuration par défaut
• « PAS » de SSH / RDP ouvert sur internet (0.0.0.0/0)

6. SecludIT - Copyright et confidentiel - 2017
3 – Visibilité par inventaire permanent
• Maintenir à jour l’inventaire des services et ressources AWS utilisées :
• Utiliser AWS Config : 20 règles actuellement
• Identifier les ressources des partenaires :
• Eviter le problème de « shadow IT »
• Utiliser les « Tags » AWS

7. SecludIT - Copyright et confidentiel - 2017
4 – Logger les accès AWS
• Mettre en place des logs :
• Logs d’accès avec AWS CloudTrail
• Logs d’utilisation des ressources et application avec AWS CloudWatch
• Logs d’accès réseau avec Flow Logs dans les sous-réseaux VPC
• Mettre en place un SIEM :
• Rediriger les logs dans un SIEM
• Contrôle externe de visibilité :
• Utilisation des APIs AWS

8. SecludIT - Copyright et confidentiel - 2017
5 – Images et Instances
• Gérer les Images ou AMIs sur AWS :
• Maintenir ses Images à jour
• Problème du partage d’Image, volume, snapshot
• Durcir ses Images
• Nettoyer les instances avant d’en faire des Images
• Utiliser les « Tags » AWS
• Gérer les vulnérabilités des Instances
• Détection préventive des vulnérabilités
• « PAS » de configuration par défaut
• Intégrité des fichiers
• Utiliser AWS Inspector : Problème d’agent et peu de tests actuellement

9. SecludIT - Copyright et confidentiel - 2017
6 – Gestion des clés
• Gérer les clés d’API :
• Rotation des clés, Supprimer les anciennes clés
• Gestionnaire de clés
• « PAS » de partage de clés d’APIs :
• Délégation par rôle IAM
• Utilisateur dédié
• Gérer les clés SSH d’accès aux instances
• Gérer les clés de chiffrement :
• AWS CloudHSM
• AWS Key Management Service

10. SecludIT - Copyright et confidentiel - 2017
7 – Chiffrement de bout-en-bout
• Chiffrement des données :
• Stockage persistant S3 ou volume EBS
• Transport par canal sécurisé:
• confidentialité, intégrité, chiffrement, non-répudiation
• Interconnexion réseau local et Cloud AWS : « Chiffrer » la couche
transport
• Protection des données :
• Sauvegarder et tester la restauration régulièrement
• Versionner les données
• Eviter la suppression des données sur suppression des instances

11. SecludIT - Copyright et confidentiel - 2017
8 – Certificat SSL/TLS
• Transport par canal sécurisé par SSL/TLS :
• Utiliser des certificats SSL/TLS
• Gérer les certificats SSL/TLS et les listes de révocations
• Utiliser la dernière version du protocole TLS
• Utiliser des suites de chiffrements fortes
• Gérer les certificats SSL /TLS :
• AWS Certificate Manager

12. SecludIT - Copyright et confidentiel - 2017
9 – Auditer et Configurer des alertes
• Auditer régulièrement la configuration des services AWS :
• CIS Amazon Web Services Foundations
• CIS Amazon Web Service Three-Tier-Web
• Mettre en place la surveillance continue :
• Auditer la accès : AWS IAM
• Auditer la configuration réseau : AWS VPC
• SecurityGroup, Subnet, NACLs, …
• Auditer les services déployé sur AWS :
• Instances EC2
• Accès au Stockage (S3, EBS, …)

13. SecludIT - Copyright et confidentiel - 2017
10 – Eduquer les utilisateurs
• Mettre en place des procédures d’utilisation :
• Nouveau mode de consommation « Cloud »
• Décrire le fonctionnement AWS
• « Former » et « Responsabiliser » les utilisateurs :
• Expliquer comment utiliser AWS
• Expliquer les risques de sécurité
• Donner les raisons des mécanismes de sécurité mis en place
https://aws.amazon.com/fr/security/
https://secludit.com/blog/
https://elastic-workload-protector.secludit.com/

14. SecludIT - Copyright et confidentiel - 2017
QUESTIONS ?
Essayez et Adoptez Elastic Workload Protector !
Réduisez vos risques et vos coûts.