Je suis particulièrement impressionné par les outils de sécurité informatique disponibles sur AWS, et je partage cette sentiment avec de nombreux collègues, dont des spécialistes de sécurité informatique qui travaillent aujourd’hui dans les équipes d’AWS en France. On va faire un petit quizz, juste pour vous permettre de vous rendre compte.
Avez-vous une cartographie exhaustive cohérente, mise à jour en temps quasi-réelle de toute votre configuration réseau/sécurité/serveur/stockage sur l’ensemble de vos environnements ?
Tracez-vous et enregistrez-vous, toute action de création, de modification, de reboot, de suppression d’un quelconque élément de vos environnements (réseau/règle de filtrage/serveur/stockage/…) ?
Avez-vous mis en place des outils d’analyse automatique de ces logs et de réaction automatique en cas de détection ?
Chiffrez-vous toutes les données personnelles et sensibles au repos, en base de données, dans vos entrepôts de données ?
Avez-vous mis en place des mécanismes pour supprimer toute possibilité d’accès direct par vos administrateurs systèmes aux données sensibles en production ?
Ajoutez-vous un niveau de protection contre les erreurs en imposant une authentification multi-factorielle pour les opérations les plus sensibles sur les environnements de production ?
Testez vous régulièrement vos plans de continuité et de reprise d’activité ?
Avez-vous en place une protection efficace contre les attaques en déni de service sur l’ensemble des ressources exposées à Internet ?
En cas de départ d’une personne de votre équipe et de révocation de ses droits, êtes vous assuré qu’il n’a pas gardé de droits d’accès à des ressources sur vos infrastructures ?
Assurez-vous une rotation fréquente et régulière des clés d’authentification sur les serveurs ?
Si vous avez moins de 10 réponses positives, vous devriez regarder ce qu’AWS peut apporter. Jetez par exemple un coup d’oeil au recueil des bonnes pratiques sur la sécurité chez AWS !
Dans toute ma carrière, si la préoccupation de la sécurité informatique a toujours été présente, elle était toujours accompagnée de forts éléments de contrainte :
- complexité: la plupart du temps, les différents composants reposent sur des paradigmes et des outils de sécurité très différents, qui nécessitent, pour un minimum d’exploitabilité, une intégration longue et fastidieuse; c’est le cas de la gestion des droits d’accès, du chiffrement, des outils d’inventaire, …
- coûts: beaucoup de matériels et de logiciels spécialisés sont coûteux (je pense notamment aux infrastructures à gestion de clés, aux matériels protection anti DDoS sur le réseau)
- performance: la latence induite par le chiffrement à la volée, par l’initialisation des connexions sécurisées, pouvait être impactante sur l’utilisateur.
Et c’est certainement pour ces raisons que mon résultat à ce quiz, dans plusieurs environnements professionnels précédents, aurait été plus proche de 0 que de 10.
Fondamentalement, le cloud AWS permet de mettre en oeuvre des pratiques de sécurité très exigeantes, avec plusieurs atouts majeurs : facilité de mise en oeuvre, faible coût, performance préservée. Par exemple, mettre en place du chiffrement au repos (sur disque) pour protéger des données stockées en base (et par exemple, éviter que vos propres administrateurs de votre système puissent en extraire des données) se met en oeuvre en quelques clics, gratuitement, sans perte de performance.
Ce que cela signifie aussi, c’est que ce niveau de protection des données a vocation à devenir le nouveau standard notamment pour les autorités de régulation, alors que c’est un défi complexe à mettre en oeuvre avec des moyens limités dans son propre datacenter; bon courage pour ceux qui s’y lancent hors cloud !