Augmentation de la sécurité AWS grâce à la normalisation

Évaluer les besoins

Pendant la phase d'évaluation de la mission, des experts-conseils AWS de NTT DATA ont travaillé avec le client pour examiner l'état actuel de l'environnement de sécurité. Ils ont analysé, de manière approfondie, les lacunes entre son état de sécurité actuel et l'état souhaité, en examinant tout les paramètres, de la journalisation au réseautage et la gestion des accès. À partir de cette analyse, les consultants ont élaboré une feuille de route détaillée et personnalisée qui comprenait une conception architecturale mutuellement convenue et une liste hiérarchisée décrivant en détail les principales décisions technologiques concernant une zone d'accueil sécurisée, le contrôle de la conformité, les alertes et, dans certains cas personnalisés, la remédiation automatique.

Offrir la bonne solution

À l'aide de la feuille de route créée au cours de l'évaluation, l'équipe d'experts-conseils AWS de NTT DATA a commencé le travail visant à créer une posture de sécurité standard dans tous les environnements AWS, tout en fournissant des artefacts qui peuvent aider l'équipe à reproduire le processus d'acquisitions futures. En utilisant une méthodologie Agile, NTT DATA a commencé à s'assurer que toutes les règles du CIS applicables étaient appliquées de manière cohérente aux comptes AWS. En commençant par les fondations, ils ont construit une architecture de comptes dotée d'une zone d'accueil AWS, y compris la mise en place de Jenkins avec des bibliothèques propriétaires qui établissent une base pour l'automatisation de DevOps. NTT DATA a également appliqué des identificateurs de compte qui garantissent l'application du principe du moindre privilège, de sorte que seul le personnel autorisé peut effectuer des modifications.

Renforcement de l'automatisation des comptes

Le client voulait s'assurer que les comptes AWS existants étaient constamment renforcés selon les mêmes normes CIS et appliquaient les mêmes pratiques exemplaires de sécurité AWS. Le processus de renforcement des comptes implique la mise en œuvre de plusieurs bonnes pratiques et modifications de configuration pour différents services AWS. AWS CloudFormation Les modèles ont automatisé le durcissement des comptes AWS ; le principal modèle AWS CloudFormation pour le durcissement fait son travail en invoquant d'autres modèles qui, à leur tour, exécutent différents changements de configuration dans le compte. Grâce à ces modèles AWS CloudFormation imbriqués, elle a pu renforcer l'automatisation et la maintenir comme suit :

• Les enregistreurs de configuration d'AWS Config ont été activés, permettant au service de saisir les modifications apportées aux configurations du système, en les enregistrant comme éléments de configuration (IC). AWS Config permet également à l'équipe du client de créer et de stocker l'état de configuration souhaité et les règles associées. AWS Config est intégré à une base de données de gestion des configurations ServiceNow qui stocke tous les CI des ressources AWS.
• Groupes et règles sur mesure de gestion des identités et de l’accès pour des rôles tels que développeur, intervention en cas d'incident, DevOps, et plus encore. Ces rôles personnalisés garantissent que l'on accorde l'accès minimal.
• Les nuages privés virtuels par défaut ont été supprimés et remplacés par des nuages privés virtuels dotés de contrôles de sécurité et d'audit appropriés.
• La politique de mots de passe a été renforcée, garantissant la mise en place et l'application de politiques de mots de passe strictes.
• AWS CloudTrail fournit un audit des comptes AWS par l'entremise d'un historique d'événements stocké qui facilite l'audit de la conformité au CIS tout en détectant l'activité inattendue du compte. Dans toutes les régions, AWS CloudTrail pousse automatiquement son journal d'événements vers un seau d'audit et les journaux CloudWatch. Les consultants de NTT DATA ont également créé une alerte SNS pour les alarmes CloudWatch, qui informe le client lorsqu'un compte diffère de sa configuration attendue.
• Un modèle CIS de niveau 2 qui assure la configuration sécurisée des images renforcées.

Pour automatiser davantage le processus, les équipes ont collaboré pour créer une tâche de pipeline optimisée par Jenkin qui exécute différentes tâches par étape pour renforcer un compte. Jenkins assure la création et la distribution sécurisées des Amazon Machine Images (AMI) sur divers comptes AWS, en fournissant les données requises pour lancer des instances sécurisées. Elle crée également des seaux S3 pour DevOps et l'audit, applique les règles de référence de la CIS Foundation et active Amazon GuardDuty pour la détection des menaces.

LogRhythm, un outil de gestion de l'information et des événements, est intégré dans le cadre du renforcement du compte, de sorte que tout compte AWS nouveau ou existant est systématiquement créé pour permettre à LogRhythm d'accéder aux journaux de ce compte.

Grâce à un processus de sécurité entièrement automatisé, l'entreprise a normalisé le renforcement du CIS de niveau 2 sur l'ensemble de ses comptes AWS, mis en œuvre avec un tableau de bord de conformité CIS pour un contrôle facile et une gestion continue.

Amélioration de la surveillance de l'intégrité des fichiers

L'entreprise, spécialisée dans les technologies de marketing, a également cherché à renforcer son infrastructure Amazon à l'aide du surveillance de l'intégrité des fichiers. Dans le cadre d'un régime de sécurité conforme aux pratiques exemplaires recommandées par CIS Critical Security Control 3.5, la surveillance de l'intégrité des fichiers permet d'identifier et d'expliquer les changements du système, signalant ainsi les changements imprévus à des fins de suivi. De cette manière, les organisations peuvent maintenir leurs systèmes dans un état de bonne réputation tout en créant une piste d'audit à des fins de conformité.

Repenser le stockage avec les seaux Amazon S3

L'équipe de conseil AWS de NTT DATA a commencé cette partie du projet avec des compartiments Amazon Simple Storage Service (S3), le stockage cloud public du fournisseur de cloud. Chaque fois qu'une opération est effectuée sur un objet S3, elle crée un événement de données. Des informations détaillées, comme qui, quand, quoi et où, peuvent accompagner ces événements de données. Pour capturer et consigner les événements de données S3, NTT DATA a activé la journalisation au niveau des objets S3 qui fonctionne en tandem avec AWS CloudTrail.

Maintenir la conformité à AWS CloudTrail

Optimisé par un historique d'événements consigné, AWS CloudTrail est le service d'Amazon pour les audits de conformité et le signalement d'activités inhabituelles dans les comptes AWS. La solution enregistre les événements de données S3, tels que GetObject, DeleteObject et PutObject, dans un journal de compte AWS CloudTrail Audit pour une visibilité accrue et pour fournir un historique des rapports de conformité. Cela permet à l'équipe de sécurité d'effectuer une journalisation au niveau de l'objet S3 dans le cadre de ses travaux de renforcement des comptes afin de s'assurer que tous les seaux S3 créés précédemment ont les mesures de sécurité nécessaires en place.

Validation de l'intégrité du fichier journal

Bien que l'enregistrement d'événements dans les journaux AWS CloudTrail soit une première étape requise, pour garantir l'intégrité des journaux, la surveillance de l'intégrité des fichiers est nécessaire. Et la validation de l'intégrité des fichiers AWS CloudTrail fournit des fichiers journaux probants. Grâce à l'intégrité des fichiers journaux validés et à la conformité assurée, l'entreprise dispose d'un contrôle de détection qui répond aux exigences légales et d'audit.

Une sécurité évolutive

Afin de garantir l'évolutivité du système de sécurité, l'équipe de consultants a utilisé un système automatisé qui valide chaque semaine l'intégrité des fichiers journaux des bacs S3. Cela permet à l'équipe de sécurité de fournir des rapports, s'il y a lieu. De plus, les notifications de défaillance de l'intégrité sont automatiquement transmises par l'intermédiaire de SNS à un groupe Active Directory, l'équipe SecOps, pour une étude plus approfondie – et pour éviter les alertes bruyantes. Enfin, une liste de preuves des automatisations a été créée, prouvant que le travail de validation de l'intégrité lui-même s'est déroulé, offrant à l'équipe SecOps un enregistrement de l'historique du travail de validation.

Jetez les bases des avantages de l'infonuagique

Les efforts proactifs de normalisation du contrôle de sécurité de la société de technologies du marketing l'ont aidé à renforcer ses systèmes et comptes AWS. De plus, la validation de l'intégrité des fichiers AWS CloudTrail a permis d'obtenir des journaux de qualité probante qui répondent aux exigences légales et réglementaires. De cette façon, la société peut concilier les changements de niveau de ses objets S3, en signalant rapidement les événements inattendus à l'équipe de sécurité pour une enquête plus approfondie, et en y remédiant s'il y a lieu.

En outre, l'entreprise occupe désormais une position établie et solode en matière de sécurité dans son environnement AWS, avec un cadre de pratiques exemplaires en la matière, étayés par les références de niveau 2 du CIS. Cette posture de sécurité standardisée permet à l'entreprise d'adopter en toute sécurité de de futures acquisitions tout en rationalisant l'auditabilité. De plus, avec des mesures de sécurité et de correction automatiques personnalisées, l'équipe de développement peut innover à la vitesse du marché, sachant qu'elle obtiendra toujours sur la sécurité AWS.