Les services gérés AWS rationalisent l'innovation sécurisée

Commencer par des bases sécuritaires

Avec la gestion centralisée des comptes AWS de Woven Planet, les deux équipes ont commencé le projet par la rationalisation du compte de gestion et par l'intégration des meilleures pratiques de sécurité. Plus précisément, les deux équipes ont renforcé la sécurité qui touche les rôles AWS et les utilisateurs d'IAM. En suivant le principe du moindre privilège, les équipes se sont assurées que seuls les accès et autorisations nécessaires au compte de gestion étaient accordés. Dans le cadre de ce processus, les autorisations escaladées ont également été considérablement réduites.

De plus, dans le but de contrer les risques potentiels de compromissions du système à l'interne par l'assurance que les ressources soient livrées en toute sécurité dans le compte de gestion, les équipes ont utilisé le pipeline de code AWS pour construire une structure CI/CD hautement sécuritaire pour suivre un modèle de menace tissé défini.

Redéfinir les unités organisationnelles pour une sécurité accrue

En plus des approches technologiques à la sécurité, l'équipe de sécurité de Woven Planet a proposé et mis en place une nouvelle structure organisationnelle qui renforce la séparation entre les environnements de production, de développement et d'attente de déploiement. Cela a permis de fournir des divisions logiques supplémentaires sur la façon dont les comptes AWS sont dispersés au sein de l'organisation.

Les équipes ont implémenté des règles de contrôle de service AWS (SCP) : des règles d'organisation qui aident à gérer les autorisations, créant ainsi une sécurité de niveau limite. La nouvelle structure organisationnelle tire également parti des fonctionnalités d'AWS Organisations à même des services, tels que AWS CloudTrail, AWS Config, AWS CloudFormation StackSets et bien d'autres.

Ces fonctionnalités agissent comme un catalyseur pour automatiser et déployer des contrôles centralisés avec des coûts de production moindres puisqu'elles fournissent un cadre simple, sécurisé et efficace. Cela permet ensuite aux ingénieurs de l'équipe de se connecter aux différents pipelines d'automatisation. Par exemple, l'équipe peut désormais déployer des ensembles de paramètres au sein de l'organisation ou à un sous-ensemble de l'unité organisationnelle en utilisant le service de modèle de modèle de déploiement géré d'AWS CloudFormation comme partie intégrante de son ensemble de fonctionnalité entrepreneuriale.

Assurer une conformité continue

Une fois les meilleures pratiques établies, la phase suivante du projet consiste à définir et à développer des pipelines CI/CD sécurisés, notamment :

• Un pipeline de compte de gestion pour le déploiement de l'infrastructure en tant que code (IaC) pour le compte de gestion AWS.
• Les pipelines SCP pour déployer des SCP d'AWS vers le compte de gestion : l'équipe a également développé un pipeline SCP pour la livraison et les tests des SCP avant leur déploiement à l'aide d'un outil de simulation fourni par AWS nommé simulateur de stratégie IAM AWS.
• Les pipelines StackSets qui déploient IaC des ensembles de paramètres au compte de gestion. L'équipe fournit des solutions internes sécurisées sous forme d'ensembles de paramètres utilisant un pipeline StackSets. StackSets est un service basé sur la structure infonuagique d'AWS qui permet de déployer des ensembles sur plusieurs comptes et unités organisationnelles de front pour certaines régions définies. Par exemple, l'équipe livre un système qui assure que tous les compartiments Amazon Simple Storage Service (Amazon S3) au sein de l'organisation sont protégés à l'aide des paramètres d'accès aux blocs publics Amazon S3. Ce système garantit que les paramètres d'accès aux blocs publics d'Amazon S3 sont conformes à la norme de l'organisation, ce qui réduit la probabilité d'une faille de sécurité des compartiments Amazon S3.

Avec la création de pipelines, les équipes ont mis l'emphase sur le maintien d'une conformité continue avec les SCP et les lots de conformité déployés en tant que StackSets. (Un lot de conformité est un ensemble de règles de configuration AWS et d'actions correctives, déployables en tant qu'entité unique dans un compte ou dans les organisations AWS.)

Avec des centaines de comptes AWS, il est important de garantir la sécurité des ressources déployées dans les organisations AWS. Pour ce faire, les équipes ont défini des normes de sécurité à l'aide d'AWS Config qui permet à Woven Planet de définir les règles spécifiques. Selon ces règles, les équipes peuvent identifier les ressources conformes ou non conformes. En utilisant les lots de conformité AWS Config, NTT DATA a aidé à déployer plusieurs règles de configuration, qui doivent être suivies pour la conformité, dans le but de garantir que les ressources déployées dans les comptes répondent bien aux objectifs opérationnels et de sécurité de Woven Planet.

Pour s'assurer que Woven Planet dispose d'un cadre qui permet de déployer ces contrôles de conformité en matière de sécurité, l'équipe a créé un modèle de déploiement des lots de conformité dans lequel les règles de configuration sont déployées sous forme de lots de conformité. Ces lots couvrent la conformité de différents domaines, notamment le réseau, le cryptage, l'identification et les accès, en plus des publications non sécuritaires.

S'il est difficile de corriger les ressources manuellement, de nombreuses règles de configuration déployées à l'aide des lots de conformité prennent également en charge la correction automatique. L'équipe a écrit des fonctions Lambda AWS pour effectuer des mesures correctives automatiques et envoyer des notifications chaque fois qu'une ressource est identifiée comme non conforme selon les règles de configuration déployées. La fonction de remédiation renforce la confiance au sein des employés, car de nombreux comportements critiques de non-conformité sont ainsi corrigés automatiquement par le système, permettant également de surveiller et de contrôler le taux de non-conformité.

Surveillance et Gestion de la conformité avec CloudTrail AWS

Un journal de tous les événements sur tous les comptes de l'organisation est activé dans le compte de gestion qui déploie les paramètres standard de CloudTrail AWS. De cette façon, lorsqu'un nouveau compte est créé, l'équipe n'a pas besoin d'activer CloudTrail AWS séparément. De plus, l'équipe utilise la fonctionnalité Organisations AWS pour s'assurer que la trace de l'entreprise est activée automatiquement à la création de chaque compte des nouveaux membres. Cela permet de garantir la cohérence des paramètres CloudTrail AWS sur tous les comptes. Toutes les entrées de journal CloudTrails AWS sont gérées de manière centralisée dans un compartiment Amazon S3 dans un compte d'audit distinct.

Pour garantir, la conformité des accès publics Amazon S3, l'équipe a déployé un verrou d'accès public Amazon S3 strict à l'aide de la structure de livraison CloudFormation AWS StackSet. Désormais, une solution Lambda AWS est déployée sur tout compte ajouté à l'organisation, ce qui désactive les paramètres d'accès public Amazon S3 directement au niveau du compte. Cela permet de refuser l'accès public aux compartiments Amazon S3, en répondant de manière proactive à un domaine de préoccupation majeure des enjeux de sécurité.

Finalement, les équipes ont travaillé ensemble pour intégrer un contrôle de conformité budgétaire. La solution fait le suivi des dépenses de toutes les unités organisationnelles et alerte lorsqu'un compte d'environnement de développement dépasse un certain seuil, ce qui permet à Woven Planet d'assurer une conformité continue en matière de contraintes budgétaires. Aussi, les équipes ont mis en place un système de notification qui envoie une alerte Slack personnalisée aux propriétaires des comptes lorsqu'un seuil budgétaire est franchi. En plus d'assurer que l'innovation n'est pas interrompue, cela augment le sentiment de conscience et de discipline.

Avantages

Woven Planet peut désormais livrer en toute sécurité à chacun de ses comptes AWS, tout en sachant qu'ils sont bien protégés et conformes aux objectifs de l'entreprise et de sécurité de Woven Planet. De plus, la conformité continue aide Woven Planet à assurer une standardisation au sein des organisations AWS, donnant ainsi à l'entreprise un contrôle central sur les meilleures pratiques de sécurité infonuagique. Woven Planet peut atteindre tous ces objectifs en offrant aux employés un libre-service qui leur permet de déployer les comptes selon les besoins, leur permettant d'innover au rythme du marché.