20 contrôles de sécurité pour protéger votre infrastructure AWS contre les balles.

Voici la liste des 20 principaux contrôles de sécurité qui doivent être effectués régulièrement pour protéger votre infrastructure AWS :

1.les groupes de sécurité

Un groupe de sécurité agit comme un pare-feu virtuel qui contrôle le trafic entrant et sortant d'une ou plusieurs instances. Vous associez un groupe de sécurité au lancement de chaque instance. Comme les données peuvent avoir un port IP ouvert ou être accessibles au public, il existe des risques de violation des données. Afin d'éviter l'exposition à des failles de sécurité, nous recommandons que seuls les ports associés aux groupes IP et de sécurité pertinents restent ouverts.

2.Audit IAM MFA

Pour ajouter une couche supplémentaire de sécurité à votre compte AWS, il est recommandé d'activer l'authentification multi-facteur pour les utilisateurs IAM afin de protéger vos données critiques des pirates en ligne.

3. journal d'accès ELB

Si vous n'avez pas activé AWS ELB Access pour les équilibreurs de charge Elastic, vos données sont exposées à certaines menaces. Nous vous recommandons d'activer le journal ELB Access pour une sécurité renforcée.

4.Protection de la terminaison

Si la protection contre la résiliation de l'API n'est pas activée pour les instances AWS EC2, cela peut entraîner la résiliation accidentelle des machines par un processus automatisé. Il est recommandé d'activer la protection contre la résiliation pour toutes les instances EC2 critiques fonctionnant dans votre compte cloud AWS.

5. audit de sécurité de l'écouteur ELB

Si un équilibreur de charge n'a pas d'auditeur qui utilise un protocole sécurisé (HTTPS ou SSL), il constitue une menace pour vos données. Configurez un ou plusieurs écouteurs sécurisés pour votre équilibreur de charge. Vous devez créer des auditeurs HTTPS ou SSL pour les ELB à interface publique.

6. clés d'accès IAM non utilisées

Si vous n'avez pas utilisé certaines clés d'accès IAM au cours des 30 derniers jours ou depuis leur création, nous vous recommandons vivement de les supprimer pour une meilleure sécurité et pour éviter de compromettre les clés. 

7. audit de sécurité RDS (pour VPC SG et pour la liste des ports)

Pour les instances AWS RDS dont le port DB est ouvert au public ou à une série d'IP, nous recommandons d'ouvrir le port uniquement pour les IP et les groupes de sécurité requis.

8.Clé d'accès au compte racine

L'une des meilleures façons de protéger votre compte est de ne pas avoir de clé d'accès pour votre compte racine. Créez un ou plusieurs utilisateurs AWS Identity and Access Management (IAM), donnez-leur les autorisations nécessaires.

9.Audit des rôles d'administrateur IAM

Il est risqué d'avoir un seul administrateur IAM pour votre compte AWS. Au lieu de cela, ayez un ou plusieurs utilisateurs IAM AWS, donnez-leur les autorisations, et utilisez ces IAM pour l'interaction quotidienne avec AWS. Essayez également d'utiliser des informations d'identification de sécurité temporaires (rôles IAM) plutôt que des clés d'accès à long terme.

10.Politique de mot de passe IAM

Lorsque vous définissez une politique de mot de passe pour votre compte AWS, n'oubliez jamais de spécifier les exigences de complexité et la régénération obligatoire du mot de passe à l'expiration du mot de passe de l'IAM. Ce faisant, vous vous assurez que les informations d'identification de votre compte sont entre de meilleures mains !

11. politique IAM (pour les politiques gérées)

Si vous avez accordé le contrôle complet de votre compte AWS à un seul IAM, il y a une possibilité de violation de données car l'utilisateur IAM peut accéder à n'importe quelle ressource à tout moment. Vous pouvez également exclure tout utilisateur IAM qui, selon vous, ne doit pas bénéficier d'un accès complet à l'avenir.

12.CloudTrail

Pas de Cloudtrail = risques de sécurité !

AWS CloudTrail est un service Web qui enregistre les appels d'API effectués sur votre compte et transmet les fichiers journaux à votre seau Amazon S3. Les clients qui souhaitent suivre les modifications apportées aux ressources, répondre à des questions simples sur l'activité des utilisateurs, démontrer la conformité, dépanner ou effectuer des analyses de sécurité devraient activer CloudTrail.

13. nombre d'administrateurs IAM

Nombre total de comptes administrateurs. S'il y a trop de comptes administrateurs IAM, cela peut entraîner des problèmes de sécurité. Il est recommandé de ne pas avoir beaucoup d'utilisateurs IAM avec des droits d'administration.

14.Expiration du SSL

Si vous avez téléchargé des certificats SSL sur Amazon Web Services pour ELB (Elastic Load Balancing) ou CloudFront (CDN), vous devez garder un œil sur les dates d'expiration et renouveler les certificats à temps pour garantir un service ininterrompu.

15.Compte racine MFA

N'oubliez jamais d'activer le MFA pour votre compte root. La meilleure option serait de donner un accès limité aux seuls IAM privilégiés.

16.Groupe de sécurité non utilisé

Si certains groupes de sécurité ne sont pas utilisés ou attachés à des instances, il est recommandé de supprimer ces groupes de sécurité.

17.Cryptage RDS

Le cryptage de votre RDS est une bonne pratique. Si les instances RDS ne sont pas cryptées au niveau du stockage de la base de données, vous pouvez utiliser le cryptage Amazon RDS pour renforcer la protection des données de vos applications déployées dans le nuage et pour répondre à toute exigence de conformité en matière de cryptage des données au repos.

18.Anciennes clés d'accès IAM

En tant qu'administrateur, nous vous recommandons de modifier régulièrement les clés d'accès des utilisateurs IAM de votre compte. Si vous avez donné aux utilisateurs les autorisations nécessaires, ils peuvent alors faire tourner leurs propres clés d'accès. En attendant, changez les clés d'accès qui ont plus de 60 jours pour renforcer la sécurité de vos comptes AWS.

19.Permissions du godet S3

Par défaut, toutes les autorisations de seau S3 sont privées et vous devez donner des autorisations d'accès en lecture/écriture aux autres en rédigeant une politique d'accès. Les autorisations de godet qui accordent l'accès à la liste à tout le monde peuvent entraîner des frais plus élevés que prévu si les objets du godet sont listés par des utilisateurs non intentionnels à une fréquence élevée. Assurez-vous que vous accordez des autorisations d'accès limité.

20.Expiration du journal de service 

Il est conseillé d'activer l'expiration des journaux de service pour chacun des compartiments de journalisation afin de s'assurer que vous ne manquez pas les dates d'expiration.

Pour savoir comment La vente rationnelle peut vous aider à mettre en place et à sécuriser votre infrastructure en nuage : Visitez-nous www.Rationalselling.com ou écrivez-nous à info@rationalselling.com

Suivez-nous : Twitter, Facebook & LinkedIn

 

Tag :, , , ,

Avatar de l'utilisateur
Julio Salgado

Vous aimerez aussi

8-corporate-trends.
Tendances de la formation en entreprise pour 2020
3 février 2020
IP Telephone and Network switch 24 port gigabit and 4 port module with Power over Ethernet (PoE) function on port for high speed network in data center room
Solutions Avaya (matériel et logiciel) - Une étude de cas
7 août, 2019
shutterstock_301999868
Les experts en recrutement du nouvel âge!
11 septembre, 2017
FR
FR EN DE