Regles or Securite Cloud Aws

7/25/2019 Regles or Securite Cloud Aws

1/7

Cinq rgles d'or pour la scurit dans

le cloud AWS (Amazon Web Services)

Par Stephan Hadinger

Date de publication : 20 dcembre 2014

Cet article a t rdig par Stephan Hadinger, Sr Manager Solutions Architecture AmazonWeb Services.

Vous pouvez ragir par rapport cet article sur le forum : Commentez
http://www.developpez.net/forums/showthread.php?t=1489465http://www.developpez.com/


2/7

Cinq rgles d'or pour la scurit dans le cloud AWS (Amazon Web Services) par Stephan Hadinger

- 2 -Copyright 2014 Stephan Hadinger. Aucune reproduction, mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents,

images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.

http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/

I - Cinq rgles d'or pour la scurit dans le cloud AWS.............................................................................................3I-A - Utilisez des comptes IAM adapts................................................................................................................ 3I-B - Activez le MFA sur le compte racine.............................................................................................................4I-C - Activez le service AWS CloudTrail................................................................................................................5I-D - Activez le Versioning sur Amazon S3........................................................................................................... 5I-E - Utilisez des rles Amazon EC2 IAM adapts................................................................................................6

II - Conclusion..............................................................................................................................................................7
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/http://www.developpez.com/


3/7





I - Cinq rgles d'or pour la scurit dans le cloud AWS

La perspective d'une migration de l'infrastructure informatique vers le cloud est de plus en plus sduisante pour denombreuses entreprises, encore faut-il pouvoir le faire en toute scurit. Il est donc essentiel de connaitre et mettreen place les bonnes pratiques de la scurit afin de russir sa migration dans le cloud.

Le cloud d'AWS apporte aujourd'hui de nombreux bnfices comme une flexibilit la minute, une capacit sanslimites, des services hautement disponibles, des cots toujours plus bas, et un niveau de scurit trs lev intgrantdes certifications majeures comme ISO-27001, SOC-1/2/3 ou encore PCI DSS niveau 1.

Le modle de scurit d'Amazon Web Services est un modle de responsabilit partage, c'est--dire qu'AWSassure la scurisation des couches basses (btiments, hyperviseurs, filtrage rseau) et les clients assurent lascurit de leurs applications, donnes et OS. Les clients ont les droits administrateurs sur leurs machines virtuellesainsi qu'un contrle total et permanent des configurations de leurs ressources AWS : mots de passe utilisateurs etadministrateurs, droits d'accs associs, rgles de filtrage rseau - pour n'en citer que quelques-uns

Les clients ont pour ainsi dire les clefs de leur datacenters virtuels . Il est donc important de confier la gestion de

ces clefs des administrateurs de confiance, tout en auditant rgulirement leur utilisation. C'est pour cela que lemodle gnralement retenu par les clients AWS est celui du droit minimal et de la sparation des tches .En clair : les administrateurs ont seulement les droits dont ils ont besoin et les oprations sensibles ncessitent desdroits rpartis entre plusieurs personnes.

Pour aller plus loin dans la scurisation des donnes, nous vous prsentons aujourd'hui cinq rgles d'or, simples etapplicables en moins de cinq minutes chacune, pour la scurit de votre compte AWS.

I-A - Utilisez des comptes IAM adapts

La cration d'un nouveau compte AWS se fait avec un login / mot de passe initial. Ce mot de passe donne accsau compte dit racine qui a tous les droits sur le compte, y compris celui de le clore dfinitivement. L'utilisationdu compte racine doit donc rester exceptionnelle afin d'viter les manipulations hasardeuses qui peuvent impactertous les accs lis ce compte.

Pour crer des accs utilisateurs nominatifs pour l'ensemble de vos administrateurs, il est donc fortement conseilld'utiliser AWS IAM (Identity and Access Management). Ce service permet de dlivrer chaque administrateur sespropres identifiants, mots de passe et clefs d'accs aux API AWS, et donc de pouvoir conditionner les diffrents accs.

IAM propose un langage riche pour autoriser certaines actions sur certaines ressources particulires. Pour faciliterla prise en main, il existe des rles prts l'emploi comme Administrateur ou Power User .


4/7





Il est aussi essentiel de mettre en place un processus de gestion des cls en interne et de s'assurer qu'elles sont biengardes en lieu sr. Il est enfin conseill d'utiliser des cls diffrentes en fonction des applications, de les changerrgulirement et de supprimer les cls qui ne sont plus utilises.

I-B - Activez le MFA sur le compte racine

Une fois les comptes AWS IAM crs, il est fortement conseill d'activer le mode MFA (Multi-Factor Authentication)sur le compte racine. Il s'agit d'ajouter une tape dans l'authentification. En effet, pour s'y connecter, elle ncessitera,en plus du login/mot de passe, un second mot de passe usage unique (OTP) - celui-ci est gnr soit par un tokenphysique Gemalto, soit par une application sur Smartphone. Ainsi, seul le possesseur du token ou du smartphone

pourra se connecter au compte racine.

Les tokens physiques Gemalto peuvent tre commands en ligne.

Cette opration est trs simple :

1 Se connecter au compte AWS avec le compte racine ;2 Choisir le service AWS IAM ;3 Cliquer sur Manage MFA Device ;4 Choisir Virtual MFA Device ;5 Scanner le QR code avec votre smartphone, puis saisir deux codes successifs dlivrs par l'application ;

6 Option : vous pouvez galement imprimer le QR code et garder la page au coffre. Elle permettra de rgnrerl'application smartphone en cas d'effacement accidentel de l'application du smartphone ;7 Dsormais la connexion au compte racine ncessitera un second mot de passe OTP.
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/http://onlinenoram.gemalto.com/http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/http://www.developpez.com/


5/7





Le mode MFA pourra galement tre activ sur chaque accs de vos administrateurs.

I-C - Activez le service AWS CloudTrail

AWS CloudTrail est un service gratuit qui dpose dans votre rceptacle Amazon S3 (bucket) les journaux d'accsaux API AWS - ces accs aux API proviennent de la console AWS ou d'appels directs aux API. Ces journaux sontau format JSON et sont dlivrs environ toutes les cinq minutes.

En effet, en cas d'opration douteuse sur votre compte AWS, il est important de pouvoir consulter les journauxd'accs. Il est donc essentiel d'activer au pralable ces journaux via le service AWS CloudTrail. Ce dernier est activindpendamment pour chaque rgion AWS (AWS CloudTrail est aujourd'hui disponible dans huit rgions).

L'activation se fait simplement via la console en slectionnant le service.

I-D - Activez le Versioning sur Amazon S3

Protgez durablement vos donnes : Amazon S3 est conu pour une durabilit de 99,999999999%. Cela signifieque si vous stockez 10.000 objets dans Amazon S3, vous pourriez perdre en moyenne 1 objet toutes les 10 millionsd'annes. Cette durabilit est assure par un fort niveau de redondance des donnes dans des btiments spars. ct de cette durabilit technique, le plus grand risque de perte de donnes est dsormais l'erreur humaine :l'effacement accidentel d'une donne par un utilisateur ou un administrateur.

Heureusement, ce risque est prvu par Amazon S3 avec le service de versioning. Cette fonctionnalit peut treactive indpendamment pour chaque bucket Amazon S3. Une fois active, Amazon S3 conservera tout l'historiquedes objets stocks, qu'ils aient t modifis ou supprims. Cela permet de revenir facilement en arrire en cas d'erreur.

Le seul impact du versioning est que la facturation inclura le stockage de l'ensemble des versions antrieures desobjets, y compris les objets supprims. Pour modrer cet impact, il est possible de combiner le versioning avec leLifecycle Management. Ainsi pour chaque bucket Amazon S3 vous pouvez dcider d'archiver et/ou de supprimerautomatiquement les anciennes versions des objets au bout d'un certain nombre de jours.


6/7





Exemple de paramtrage :

Versioning activ sur le bucket Amazon S3 ; les versions courantes des objets sont stockes au cot Amazon S3 (soit $0,03/Go/mois en Europe) ;

les versions prcdentes des objets et les objets supprims :

sont stocks au cot Amazon S3 pendant 10 jours, puis sont archivs dans Amazon Glacier (rduction de 60% des cots de stockage), enfin sont supprims au bout de 120 jours.

I-E - Utilisez des rles Amazon EC2 IAM adapts

De nombreux dveloppeurs aiment partager sur Internet les scripts qu'ils ont dvelopps - par exemple surGithub. Dans certains cas, ces dveloppeurs publient accidentellement leurs clefs d'API AWS et donnent un accsinvolontaire leur compte AWS. AWS scrute en permanence ces sites de partage de code afin de prvenir cesdveloppeurs de leur publication accidentelle et leur donner les procdures suivre.

Afin de rduire ce risque, il est important de ne jamais mettre des clefs d'accs AWS en dur dans des scriptsou des applications. Pour les scripts et applications s'excutant dans Amazon EC2, il existe un moyen simple degnrer automatiquement des clefs d'accs aux API AWS sans jamais mettre de clefs en dur dans les scripts :

il s'agit des rles EC2 .

Le service AWS IAM permet de dfinir une notion de rle c'est--dire de droits d'accs aux API AWS pour uneapplication. Au lancement d'une instance Amazon EC2, on peut choisir quel rle associer cette instance. Ainsi AWSIAM va gnrer automatiquement des clefs ayant les droits correspondant ce rle, ces clefs tant diffrentes pourchaque instance Amazon EC2. Ces clefs ont une dure de vie limite et leur rotation a lieu plusieurs fois par jour.Les SDK fournis par AWS utilisent automatiquement et de manire transparente ces clefs temporaires.

Exemples d'utilisation :

autoriser l'application lire/crire dans Amazon DynamoDB - base de donnes NoSQL opre par AWS ; autoriser l'application lire un bucket Amazon S3 pour rcuprer les dernires mises jour ;

autoriser l'application faire des snapshots de ces volumes disques EBS - c'est particulirement utile pour lesbases de donnes afin de raliser les snapshots quand les disques sont dans un tat cohrent ;


7/7





autoriser l'application publier des mtriques applicatives dans AWS CloudWatch.

Les clefs associes au rle EC2 sont obtenues via le serveur de mta-donnes de l'instance

(http://169.254.169.254), il est important de ne pas associer de rle sur des serveurs partags

par plusieurs utilisateurs, car chaque utilisateur aura potentiellement accs ces clefs.

Par extension, il est recommand de penser crer des rles IAM et des accs temporaires si :

vous disposez d'une application ou des scripts CLI sur Amazon EC2 ; vous devez accorder l'accs inter-comptes ; vous avez une application mobile ; vous souhaitez faire une fdration d'identit avec un annuaire d'entreprise comme Microsoft Active Directory

via le protocole SAML v2 ; votre organisation dispose d'un systme d'authentification sur site.

II - Conclusion

La scurit est une priorit de tous les instants, les rgles vues ci-dessus sont utiles et faciles mettre en uvre. Ilexiste de nombreuses autres bonnes pratiques mettre en place - certaines sont propres au cloud mais la plupartsont communes avec l'informatique sur site. Dans tous les cas, n'hsitez pas contacter les quipes AWS pour plusd'informations ou des conseils personnaliss.

Vous pouvez ragir par rapport cet article sur le forum : Commentez
http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/http://www.developpez.net/forums/showthread.php?t=1489465http://cloud-computing.developpez.com/articles/regle-or-securite-cloud-amazon-web-services/http://www.developpez.com/

Documents

Regles or Securite Cloud Aws