Ce retour d’expérience de mission s’inscrit dans un contexte de projet de gouvernance, gestion des risques, conformité et securité Cloud avec utilisation des services Amazon Web Services.
Quels sont les principaux enjeux en termes de sécurisation des ressources ?
En tant qu’Ingénieur Cloud & DevOps, j’ai travaillé au sein de ma mission sur la mise en œuvre des contrôles de conformité et de sécurité pour surveiller le bon usage des ressources hébergées sur les plateformes Cloud AWS.
Les dispositifs de surveillance ont pour but d’assurer que les systèmes hébergés sur ces plateformes soient en conformité avec les différentes politiques IT.
Il fallait donc, dans un premier temps, protéger tous les comptes dits « sensibles » et mettre en place une architecture de sécurité associée pour le client.
Mon expérience en tant qu’ingénieur DevOps a été un réel atout pour faire le lien entre les équipes DevOps et Sécurité. Au cours de ce projet je suis intervenu sur les différentes étapes liées à la sécurité telles que :
- La réalisation d’un audit de l’infrastructure en collaboration avec plusieurs équipes au sein de l’entreprise. Cet audit a permis de mesurer l’écart entre l’existant et l’ensemble des procédures à mettre en place
- La mise en place des processus et procédures de surveillance, de contrôle et d’évaluation de la sécurité à l’aide des services proposés par AWS
- Le maintien et l’amélioration continue de la sécurité, l’évaluation des menaces et risques pour assurer la conformité et la sécurité des ressources dans le temps.
Plusieurs services AWS ont été mobilisés sur ce projet :
– AWSConfig : j’ai proposé d’utiliser cet outil pour plusieurs raisons :
- Il permet de déterminer, de contrôler et d’évaluer les configurations des ressources AWS à l’aide d’implémentation des règles définies par défaut, ou bien par des règles dites « custom » qu’on peut créer selon le besoin.
- D’examiner l’évolution des configurations et des relations entre les ressources AWS
- De simplifier l’audit de la conformité, l’analyse de la sécurité, la gestion des modifications et le diagnostic des défaillances opérationnelles.
- De récupérer les historiques de configuration d’une ou plusieurs ressources,
- Et enfin de recevoir une notification chaque fois qu’une ressource est créée, modifiée ou supprimée.
AWS Config surveille en permanence les changements de configuration de nos ressources. Si une ressource va à l’encontre d’une règle, AWS Config la signale et la définie comme étant non conforme.
– GuardDuty : Ce service de sécurité AWS permet de détecter les vulnérabilités ou bien les tentatives d’attaque sur chacun des comptes
– CloudTrail : Ce service donne l’historique des actions effectuées sur le compte concerné (par exemple, il peut donner l’historique des connexions)
– SecurityHub : c’est un service que j’ai proposé d’utiliser sur ma mission car SecurityHub est un service sécurisé qui regroupe tous les résultats des autres services de sécurité AWS dans l’infrastructure mise en place.
Ce service apporte donc une vision “de bout en bout” de toutes les informations liées à la sécurité.
De plus, le service en question donne la possibilité de mettre en place des règles et des contrôles de sécurité qui viennent en renfort des règles AWSConfig.
– IAM : Identity and Access Management, c’est un service web qui contrôle l’accès de manière sécurisée au service AWS. Il permet de gérer de façon centralisée les utilisateurs, l’identification et l’information sécurité telles que les clés d’accès par exemple ou les autorisations.
– TrustAdvisor : C’est un outil qui nous fournit des conseils en temps réel pour nous aider à mettre en service nos ressources en suivant les bonnes pratiques AWS.
Quels autres outils et/ou services ont été mis en place pour le projet ?
Je suis en train de m’auto-former sur un SIEM qui s’appelle Splunk. C’est un service similaire à ElasticSearch et Kibana qui permet d’avoir une visibilité de bout en bout sur AWS à l’aide d’un sous-service qui fait la liaison entre AWS et Splunk.
Il offre un ensemble complet de tableaux de bord et des rapports prédéfinis pour analyser et visualiser les données à partir de nombreux services AWS, notamment AWS Config et AWS Config Rules.
Des résultats visibles
Sur le plan personnel, travailler sur des sujets sécurité était un challenge pour moi car mon expérience était basée initialement sur du SysOps et du DevOps.
Après une année assez intense, je maîtrise parfaitement les services AWS et je suis en mesure de déterminer lesquels sont les plus à même d’être utilisés sur un contexte donné. Les résultats obtenus sur ma mission répondent parfaitement aux enjeux du client.
Je possède donc une véritable expertise sur les sujets liés à la sécurité du Cloud AWS.
Désormais, après avoir obtenu la certification AWS SysOps Associate et AWS DevOps Professional, je compte bien obtenir la AWS Security Specialty !