Une société de pointe dans le domaine des technologies de marketing normalise ses dispositifs de sécurité AWS en instaurant des contrôles de surveillance de niveau 2 du CIS et des contrôles de détection pour valider l'intégrité des fichiers.
Avec plusieurs acquisitions à son actif, cette société, qui œuvre dans le domaine des technologies de marketing, a cherché à appliquer des normes de sécurité AWS à tous ses comptes, pour veiller à se conformer aux pratiques exemplaires du Center for Internet Security (CIS) tout en réduisant les coûts et le temps de commercialisation.
La solution Build Cloud Foundations de NTT DATA a intégré les pratiques exemplaires de sécurité dans les comptes AWS de l'entreprise, ce qui a permis d'accroître l'uniformité, l'évolutivité et la facilité de gestion. La surveillance de l'intégrité des fichiers a donné lieu à un contrôle de détection pour s'assurer que les journaux d'audit répondent aux exigences réglementaires et légales.
En collaborant avec les plus grandes marques du secteur des services financiers, de la vente au détail et des voyages pour répondre à leurs besoins en matière de martech, une société de martech s'efforce de fournir à ses clients les outils nécessaires pour renforcer et développer la valeur de leurs relations avec ses clients. En conséquence, la société se développe rapidement et a récemment acquis plusieurs entreprises.
Au fur et à mesure de l'intégration des technologies des organisations acquises, l'équipe de sécurité de la société a rapidement constaté des disparités dans les normes de sécurité utilisées. Bien que les entreprises acquises hébergeaient chacune leur technologie dans un environnement AWS, il n'y avait malheureusement aucune uniformité entre eux. Lorsque l'équipe de sécurité a soumis les services récemment acquis aux tests du CIS (Center for Internet Security), elle a constaté qu'ils n'y satisfaisaient pas. Cherchant à faire respecter la normalisation et à déployer des mesures de sécurité pour améliorer les pratiques exemplaires en matière de sécurité, la société a fait appel à l'équipe de NTT DATA.
Fondé sur des centaines d'engagements de clients, le service Build Cloud Foundations a été la solution idéale, car elle rationalise les nombreuses décisions prises pour créer une base infonuagique sécurisée et cohérente, ce qui permet d'éviter les erreurs pouvant entraîner des risques de sécurité. Le processus d'amélioration de l'environnement AWS de l'entreprise de technologies de marketing pour la sécurité, le renforcement, la conformité et l'évolutivité des comptes a été divisé en deux phases : l'évaluation et la livraison.
Pendant la phase d'évaluation de la mission, des experts-conseils AWS de NTT DATA ont travaillé avec le client pour examiner l'état actuel de l'environnement de sécurité. Ils ont analysé, de manière approfondie, les lacunes entre son état de sécurité actuel et l'état souhaité, en examinant tout les paramètres, de la journalisation au réseautage et la gestion des accès. À partir de cette analyse, les consultants ont élaboré une feuille de route détaillée et personnalisée qui comprenait une conception architecturale mutuellement convenue et une liste hiérarchisée décrivant en détail les principales décisions technologiques concernant une zone d'accueil sécurisée, le contrôle de la conformité, les alertes et, dans certains cas personnalisés, la remédiation automatique.
À l'aide de la feuille de route créée au cours de l'évaluation, l'équipe d'experts-conseils AWS de NTT DATA a commencé le travail visant à créer une posture de sécurité standard dans tous les environnements AWS, tout en fournissant des artefacts qui peuvent aider l'équipe à reproduire le processus d'acquisitions futures. En utilisant une méthodologie Agile, NTT DATA a commencé à s'assurer que toutes les règles du CIS applicables étaient appliquées de manière cohérente aux comptes AWS. En commençant par les fondations, ils ont construit une architecture de comptes dotée d'une zone d'accueil AWS, y compris la mise en place de Jenkins avec des bibliothèques propriétaires qui établissent une base pour l'automatisation de DevOps. NTT DATA a également appliqué des identificateurs de compte qui garantissent l'application du principe du moindre privilège, de sorte que seul le personnel autorisé peut effectuer des modifications.
Le client voulait s'assurer que les comptes AWS existants étaient constamment renforcés selon les mêmes normes CIS et appliquaient les mêmes pratiques exemplaires de sécurité AWS. Le processus de renforcement des comptes implique la mise en œuvre de plusieurs bonnes pratiques et modifications de configuration pour différents services AWS. AWS CloudFormation Les modèles ont automatisé le durcissement des comptes AWS ; le principal modèle AWS CloudFormation pour le durcissement fait son travail en invoquant d'autres modèles qui, à leur tour, exécutent différents changements de configuration dans le compte. Grâce à ces modèles AWS CloudFormation imbriqués, elle a pu renforcer l'automatisation et la maintenir comme suit :
Pour automatiser davantage le processus, les équipes ont collaboré pour créer une tâche de pipeline optimisée par Jenkin qui exécute différentes tâches par étape pour renforcer un compte. Jenkins assure la création et la distribution sécurisées des Amazon Machine Images (AMI) sur divers comptes AWS, en fournissant les données requises pour lancer des instances sécurisées. Elle crée également des seaux S3 pour DevOps et l'audit, applique les règles de référence de la CIS Foundation et active Amazon GuardDuty pour la détection des menaces.
LogRhythm, un outil de gestion de l'information et des événements, est intégré dans le cadre du renforcement du compte, de sorte que tout compte AWS nouveau ou existant est systématiquement créé pour permettre à LogRhythm d'accéder aux journaux de ce compte.
Grâce à un processus de sécurité entièrement automatisé, l'entreprise a normalisé le renforcement du CIS de niveau 2 sur l'ensemble de ses comptes AWS, mis en œuvre avec un tableau de bord de conformité CIS pour un contrôle facile et une gestion continue.
L'entreprise, spécialisée dans les technologies de marketing, a également cherché à renforcer son infrastructure Amazon à l'aide du surveillance de l'intégrité des fichiers. Dans le cadre d'un régime de sécurité conforme aux pratiques exemplaires recommandées par CIS Critical Security Control 3.5, la surveillance de l'intégrité des fichiers permet d'identifier et d'expliquer les changements du système, signalant ainsi les changements imprévus à des fins de suivi. De cette manière, les organisations peuvent maintenir leurs systèmes dans un état de bonne réputation tout en créant une piste d'audit à des fins de conformité.
L'équipe de conseil AWS de NTT DATA a commencé cette partie du projet avec des compartiments Amazon Simple Storage Service (S3), le stockage cloud public du fournisseur de cloud. Chaque fois qu'une opération est effectuée sur un objet S3, elle crée un événement de données. Des informations détaillées, comme qui, quand, quoi et où, peuvent accompagner ces événements de données. Pour capturer et consigner les événements de données S3, NTT DATA a activé la journalisation au niveau des objets S3 qui fonctionne en tandem avec AWS CloudTrail.
Optimisé par un historique d'événements consigné, AWS CloudTrail est le service d'Amazon pour les audits de conformité et le signalement d'activités inhabituelles dans les comptes AWS. La solution enregistre les événements de données S3, tels que GetObject, DeleteObject et PutObject, dans un journal de compte AWS CloudTrail Audit pour une visibilité accrue et pour fournir un historique des rapports de conformité. Cela permet à l'équipe de sécurité d'effectuer une journalisation au niveau de l'objet S3 dans le cadre de ses travaux de renforcement des comptes afin de s'assurer que tous les seaux S3 créés précédemment ont les mesures de sécurité nécessaires en place.
Bien que l'enregistrement d'événements dans les journaux AWS CloudTrail soit une première étape requise, pour garantir l'intégrité des journaux, la surveillance de l'intégrité des fichiers est nécessaire. Et la validation de l'intégrité des fichiers AWS CloudTrail fournit des fichiers journaux probants. Grâce à l'intégrité des fichiers journaux validés et à la conformité assurée, l'entreprise dispose d'un contrôle de détection qui répond aux exigences légales et d'audit.
Afin de garantir l'évolutivité du système de sécurité, l'équipe de consultants a utilisé un système automatisé qui valide chaque semaine l'intégrité des fichiers journaux des bacs S3. Cela permet à l'équipe de sécurité de fournir des rapports, s'il y a lieu. De plus, les notifications de défaillance de l'intégrité sont automatiquement transmises par l'intermédiaire de SNS à un groupe Active Directory, l'équipe SecOps, pour une étude plus approfondie – et pour éviter les alertes bruyantes. Enfin, une liste de preuves des automatisations a été créée, prouvant que le travail de validation de l'intégrité lui-même s'est déroulé, offrant à l'équipe SecOps un enregistrement de l'historique du travail de validation.
Les efforts proactifs de normalisation du contrôle de sécurité de la société de technologies du marketing l'ont aidé à renforcer ses systèmes et comptes AWS. De plus, la validation de l'intégrité des fichiers AWS CloudTrail a permis d'obtenir des journaux de qualité probante qui répondent aux exigences légales et réglementaires. De cette façon, la société peut concilier les changements de niveau de ses objets S3, en signalant rapidement les événements inattendus à l'équipe de sécurité pour une enquête plus approfondie, et en y remédiant s'il y a lieu.
En outre, l'entreprise occupe désormais une position établie et solode en matière de sécurité dans son environnement AWS, avec un cadre de pratiques exemplaires en la matière, étayés par les références de niveau 2 du CIS. Cette posture de sécurité standardisée permet à l'entreprise d'adopter en toute sécurité de de futures acquisitions tout en rationalisant l'auditabilité. De plus, avec des mesures de sécurité et de correction automatiques personnalisées, l'équipe de développement peut innover à la vitesse du marché, sachant qu'elle obtiendra toujours sur la sécurité AWS.