Amazon Web Services : Présentation des procédures de sécurité Mai 2011

Transcription

1 Amazon Web Services : Présentation des procédures de sécurité Mai 2011 (Pour accéder à la dernière version de ce document, veuillez consulter la page 1

2 Les services AWS (Amazon Web Services) délivrent une plate-forme d'informatique en nuage ajustable avec un haut niveau de disponibilité et de sécurité de fonctionnement, offrant une flexibilité qui permet à nos clients de créer une vaste gamme d'applications. Il est de la plus haute importance pour AWS de protéger la confidentialité, l'intégrité et la disponibilité des systèmes et des données de ses clients, mais aussi de garder leur confiance. Ce document a pour but de répondre à des questions telles que «Comment les services AWS m'aident-ils à protéger mes données?». Plus spécifiquement, les procédures de sécurité physique et opérationnelle d'aws sont décrites pour les infrastructures réseau et serveur gérées par AWS, ainsi que les applications de sécurité spécifiques d'un service. Ce document donne un aperçu de la sécurité par rapport à l'utilisation des services AWS dans les domaines suivants : Environnement à responsabilité partagée Environnement de commande : Récapitulatif Principes d'une conception sécurisée Sauvegarde Surveillance Information et communication Cycle de vie des employés Sécurité physique Mécanismes de protection de l'environnement Gestion de la configuration Gestion de la continuité de l'activité Sauvegardes Isolement des anomalies Fonctions de sécurité des comptes Amazon Sécurité du réseau Sécurité spécifique au service AWS Sécurité d'amazon Elastic Compute Cloud (Amazon EC2) Amazon Virtual Private Cloud (Amazon VPC) Sécurité d'amazon Simple Storage Service (Amazon S3) Sécurité d'amazon SimpleDB Sécurité d'amazon Relational Database Service (Amazon RDS) Sécurité d'amazon Simple Queue Service (Amazon SQS) Sécurité d'amazon Simple Notification Service (SNS) Sécurité d'amazon CloudWatch Sécurité d'auto Scaling Sécurité d'amazon CloudFront Sécurité d'amazon Elastic MapReduce 2

3 Environnement à responsabilité partagée Lorsqu'un client décide de migrer son infrastructure informatique vers AWS, cela crée un modèle à responsabilité partagée entre le client et AWS. Ce modèle atténue la charge opérationnelle qui pèse sur le client car les services AWS exploitent, gèrent et commandent les composants depuis le système d'exploitation hôte jusqu'à la sécurité physique des installations dans lesquelles les services sont exploités, en passant par la couche de virtualisation. Le client assume notamment la responsabilité et la gestion, mais sans s'y limiter, du système d'exploitation «invité» (notamment les mises à jour et les correctifs de sécurité), d'autres logiciels d'application connexes, de même que la configuration du pare-feu du groupe de sécurité fourni par AWS. Les clients doivent choisir avec soin leurs services car leurs responsabilités varient en fonction des services utilisés, de l'intégration de ces services dans leur environnement informatique, ainsi que de la législation et de la réglementation applicables. Les clients ont la possibilité de renforcer la sécurité et/ou de satisfaire à des exigences de conformité plus strictes en exploitant des technologies telles que les pare-feux basés sur l'hôte, la détection/prévention des intrusions sur l'hôte, le cryptage et la gestion de clés. La nature de cette responsabilité partagée offre, en outre, une flexibilité et un contrôle client permettant le déploiement de solutions qui remplissent les exigences de certification spécifiques du secteur. Environnement de commande : Récapitulatif Les services AWS gèrent un environnement de commande complet qui inclut les règles, procédures et activités de commande nécessaires pour la fourniture de chacune des offres de services Web. L'environnement de commande collectif englobe les ressources humaines, les procédures et la technologie nécessaires pour maintenir un environnement assurant l'efficacité des mesures de contrôle spécifiques et des cadres de commande pour lesquels les services AWS sont certifiés et/ou auxquels ils sont conformes. Les services AWS sont conformes à diverses certifications et attestations tierces, parmi celles-ci : SAS 70 Type II. Ce rapport inclut les mesures de contrôle détaillées mises en place par AWS, ainsi que l'avis d'un vérificateur indépendant quant à l'application effective de celles-ci. PCI DSS Niveau 1. Les services AWS ont été jugés par des instances indépendantes conformes à la norme relative à la sécurité des données PCI en tant que fournisseur de services sur hôte partagé. ISO Les services AWS ont décroché la certification ISO pour son Système de Management de la Sécurité de l'information (SMSI) couvrant l'infrastructure, les centres de données et les services. FISMA. Les services AWS permettent aux clients des agences gouvernementales américaines d'agir en conformité avec le Federal Information Security Management Act (FISMA). Les services AWS ont reçu l'autorisation d'agir au niveau FISMA-Low. Toutefois, les services AWS ont terminé la mise en œuvre du contrôle et réussi les tests de sécurité indépendants ainsi que l'évaluation requise pour opérer au niveau FISMA-Moderate. Il a donc été demandé aux agences gouvernementales l'autorisation pour les services AWS d'intervenir au niveau FISMA-Moderate. Par ailleurs, nos clients ont construit des applications pour le secteur de la santé qui sont conformes aux règles de confidentialité et de sécurité HIPAA sur AWS. Vous trouverez de plus amples informations concernant ces certifications et attestations tierces dans le livre blanc relatif aux risques et à la conformité que vous pouvez consulter sur la page : Principes d'une conception sécurisée Le processus de développement d'aws se plie aux pratiques d'excellence en matière de développement de logiciels sûrs, qui incluent des révisions conceptuelles en bonne et due forme par l'équipe en charge de la sécurité des services AWS, la modélisation des menaces et l'évaluation des risques. Des outils d'analyse statique sont utilisés dans le cadre du processus de construction standard, et tous les logiciels déployés sont soumis à des tests d'intrusion réalisés 3

4 régulièrement par des spécialistes triés sur le volet. Nos examens d'évaluation des risques de sécurité débutent lors de la phase de conception mais notre participation perdure du lancement jusqu'aux opérations courantes. Surveillance Les services AWS utilisent des systèmes de surveillance automatiques pour fournir un niveau d'exécution et de disponibilité des services exceptionnel. Divers outils en ligne, à usage aussi bien interne qu'externe, assurent une surveillance proactive. Les systèmes au sein des services AWS sont équipés d'une large panoplie de dispositifs permettant de surveiller les principales métriques opérationnelles. Des alarmes sont configurées pour avertir le personnel en charge des opérations et de la gestion dès le franchissement des seuils d'alerte précoce liés aux principales métriques opérationnelles. Un planning de garde est utilisé de telle sorte qu'il y ait toujours du personnel disponible pour répondre aux problèmes opérationnels. Cela comprend un système de bippeur permettant d'informer le personnel opérationnel de manière rapide et fiable des alarmes qui se sont déclenchées. Une documentation est tenue à jour afin d'aider et d'informer le personnel opérationnel dans la gestion des incidents ou problèmes rencontrés. Si la résolution d'un problème devait nécessiter une collaboration, un système de conférence prenant en charge des fonctions de communication et de journalisation sera utilisé. Des guides de téléconférence formés facilitent la communication et la résolution des problèmes opérationnels gérés par collaboration. Des analyses post-mortem sont réalisées après tout problème opérationnel majeur, indépendamment des répercussions extérieures, et des documents COE (Cause of Error) sont rédigés afin de déterminer la cause profonde. Par la suite, des mesures préventives sont prises. L'implémentation des mesures préventives fait l'objet d'un suivi lors de réunions opérationnelles hebdomadaires. Information et communication AWS a mis en œuvre diverses méthodes de communication interne au niveau mondial afin d'aider ses employés à comprendre les rôles et responsabilités qui incombent à chacun, et à communiquer sur les événements importants en temps opportun. Ces méthodes incluent des programmes d'orientation professionnelle et de formation pour les nouveaux collaborateurs, des réunions de gestion régulières pour informer de l'évolution de l'activité et d'autres sujets. Des moyens électroniques comme la visioconférence, la messagerie électronique et la publication d'informations via l'intranet Amazon sont utilisés. AWS a également mis en place diverses méthodes de communication externe pour apporter son assistance à sa clientèle et à la communauté de partenaires. Des mécanismes ont été instaurés afin d'avertir l'équipe d'assistance clientèle des problèmes opérationnels perturbant les utilisateurs. Un tableau de bord «Service Health Dashboard» est notamment disponible. Il est tenu à jour par l'équipe d'assistance clientèle afin d'avertir les clients des éventuels problèmes pouvant avoir des répercussions majeures. Un Centre de sécurité et de conformité est également à disposition. Il procure aux clients un point unique où obtenir des précisions en ce qui concerne la sécurité et la conformité s'agissant d'aws. Les clients peuvent souscrire à des offres Premium Support qui prévoient une communication directe avec l'équipe d'assistance clientèle et des alertes proactives en réponse à tout problème ayant des répercussions au niveau des clients. Cycle de vie des employés AWS a instauré des règles et des procédures en bonne et due forme afin de définir les normes minimales pour l'accès logique aux hôtes d'infrastructure et de plate-forme AWS. AWS exige que les antécédents de tout membre du personnel susceptible d'accéder aux données des clients fassent l'objet d'une vérification poussée (dans les limites prévues par la loi), en adéquation avec leur poste et leur niveau d'accès. Les règles définissent également les responsabilités fonctionnelles relatives à l'administration de l'accès logique et de la sécurité. 4

5 Provisionnement des comptes Les responsables de service, ainsi que les personnes en charge des ressources humaines et des activités de la société se partagent la responsabilité de l'octroi des accès aux employés et aux sous-traitants. Un compte employé ou sous-traitant désactivé standard, avec des privilèges minimum, est fourni lorsqu'un recruteur remet son approbation. Le compte est automatiquement activé lorsque le dossier de l'employé est validé dans le système de gestion des ressources humaines d'amazon. L'accès aux autres ressources (services, hôtes, périphériques réseau, groupes Windows et UNIX, etc.) doit être explicitement approuvé dans le système de gestion des privilèges propriétaire d'amazon par le responsable ou le supérieur approprié. Tous les changements apportés dans l'outil de gestion des autorisations sont capturés dans un audit. Si un employé vient à changer de poste, l'accès aux ressources doit être explicitement reconduit ou il sera automatiquement révoqué. Révision des comptes Toutes les autorisations d'accès sont revues tous les 90 jours. Une reconduction explicite est nécessaire, faute de quoi l'accès aux ressources sera automatiquement révoqué. Retrait des accès Tout accès est automatiquement révoqué lorsqu'il est mis fin au dossier de l'employé correspondant dans le système de gestion des ressources humaines d'amazon. Les comptes Windows et UNIX sont désactivés et le système de gestion des autorisations d'amazon supprime l'utilisateur de tous les systèmes. Politique relative aux mots de passe L'accès et l'administration de la sécurité logique d'amazon sont basés sur des noms d'utilisateur, des mots de passe et le protocole Kerberos pour authentifier les utilisateurs auprès des services, des ressources et des dispositifs, ainsi que pour octroyer le niveau d'accès approprié aux utilisateurs. Le service AWS de sécurité a instauré une politique en matière de mots de passe avec des configurations obligatoires et des délais d'expiration. Sécurité physique Amazon compte de nombreuses années d'expérience dans la conception, le développement et la gestion de centres de données à grande échelle. Cette expérience a été mise à profit pour l'élaboration de la plate-forme et de l'infrastructure d'aws. Les centres de données AWS sont hébergés au sein d'installations sans descripteur. L'accès physique est strictement contrôlé à la fois dans l'enceinte et aux points d'accès du bâtiment par des professionnels de la sécurité utilisant la vidéosurveillance, des systèmes de détection d'intrusion et d'autres moyens électroniques. Le personnel autorisé doit passer avec succès au moins deux authentifications bifactorielles pour pouvoir accéder aux étages des centres de données. Tous les visiteurs et sous-traitants sont tenus de présenter une pièce d'identité et sont enregistrés à leur arrivée, puis escortés en permanence par le personnel habilité. AWS n'autorise l'accès aux centres de données et la diffusion d'informations en la matière qu'au personnel et aux soustraitants en ayant légitimement besoin dans le cadre de leurs activités professionnelles. Lorsqu'un employé n'a plus besoin de tels privilèges pour remplir ses fonctions, son accès est immédiatement révoqué, même s'il fait toujours partie d'amazon ou d'amazon Web Services. L'accès physique aux centres de données par le personnel d'aws est consigné et audité systématiquement. 5

6 Mécanismes de protection de l'environnement Les centres de données d'amazon sont à la pointe de la technologie : ils utilisent des approches architecturales et techniques novatrices. Détection et extinction des incendies Un équipement de détection et d'extinction automatique des incendies a été installé afin de réduire les risques. Le système de détection des incendies utilise des détecteurs de fumée dans tous les centres de données, les sites abritant l'infrastructure mécanique et électrique, les salles de refroidissement et les pièces renfermant les générateurs. Ces zones sont protégées par des installations automatiques d'extinction par eau, des installations sous air de préaction à double verrouillage ou des extincteurs automatiques à gaz. Alimentation Les systèmes d'alimentation en électricité des centres de données sont conçus de manière à être totalement redondants et à ce que leur maintenance puisse être faite sans nuire à l'activité, 7 j/7 et 24 h/24. Des systèmes d'alimentation sans coupure fournissent une alimentation de secours en cas de défaillance électrique pour les charges critiques et essentielles dans les installations. Les centres de données utilisent des générateurs pour assurer une alimentation de secours pour l'ensemble des installations. Climat et température Un système de conditionnement de l'air est nécessaire pour maintenir une température de service constante pour les serveurs et autres matériels, ce qui empêche leur échauffement et réduit les risques d'interruption de service. Les centres de données sont conçus de sorte que les conditions atmosphériques soient maintenues à des niveaux optimaux. La température et l'humidité sont surveillées et régulées à des niveaux appropriés par le personnel et divers systèmes. Gestion AWS surveille les systèmes et les équipements électriques, mécaniques et de survie afin de repérer immédiatement les éventuels problèmes. Une maintenance préventive est effectuée pour garantir l'efficacité opérationnelle continue des équipements. Gestion de la configuration Les changements de configuration apportés à l'infrastructure AWS existante, notamment ceux réalisés en urgence et non programmés, sont autorisés, consignés, testés, approuvés et documentés conformément aux normes sectorielles portant sur des systèmes similaires. Les mises à jour de l'infrastructure d'aws sont effectuées de manière à en limiter l'impact éventuel sur le client et les services qu'il utilise. AWS informera les clients, soit par , soit par le biais de l'aws Service Health Dashboard ( d'une possible perturbation du service. Logiciels AWS applique une approche systématique de la gestion des changements de telle sorte que tout changement apporté aux services et ayant un impact pour les clients soit dûment examiné, testé, approuvé et signalé. La procédure de gestion des modifications d'aws vise à éviter les interruptions imprévues du service et à préserver l'intégrité des services destinés aux clients. Les changements mis en œuvre dans les environnements de production sont : Examinés : évaluations par des pairs des aspects techniques d'un changement. Testés : une fois appliqués, ils se comporteront comme prévu et n'auront aucune incidence négative sur les performances. Approuvés : en donnant un aperçu approprié qui permet d'en comprendre l'impact sur l'activité. 6

7 Les changements sont généralement appliqués à l'environnement de production dans le cadre d'un déploiement par étapes, en commençant par les domaines où l'impact reste mineur. Les déploiements sont testés sur un seul système et surveillés de près afin d'en évaluer l'impact. Les responsables de service disposent de plusieurs paramètres configurables permettant de mesurer l'état de santé des composants dépendants en amont du service. Ces paramètres sont étroitement surveillés grâce à la mise en place de seuils et de systèmes d'alerte. Des procédures de retour en arrière sont documentées dans le ticket CM (Change Management). Lorsque cela est possible, les changements sont programmés pour intervenir dans des fenêtres de changement normales. Les changements apportés en urgence aux systèmes de production et nécessitant de s'écarter des procédures standard de gestion des changements sont associés à un incident et sont dûment consignés et approuvés. AWS effectue régulièrement des vérifications automatiques des changements apportés aux services critiques, afin d'en contrôler la qualité, de maintenir un niveau élevé d'exigences et de contribuer à l'amélioration continue du processus de gestion des changements. Les éventuelles exceptions sont analysées en vue d'en déterminer la cause profonde. Les mesures appropriées sont également appliquées pour mettre le changement en conformité ou, au besoin, l'annuler. Par la suite, des actions sont prises pour traiter le problème et y remédier, que celui-ci soit dû à un élément du processus ou à un facteur humain. Infrastructure L'équipe Amazon en charge des applications d'entreprise développe et gère des logiciels pour automatiser les processus informatiques pour des hôtes UNIX/Linux dans les domaines de la fourniture de logiciels tiers, des logiciels développés en interne et de la gestion de la configuration. L'équipe Infrastructure tient à jour et exploite un cadre de gestion de la configuration UNIX/Linux pour traiter l'évolutivité du matériel, la disponibilité, l'audit, ainsi que la gestion de la sécurité. En centralisant la gestion des hôtes par l'intermédiaire de processus automatisés qui prennent en charge les changements, la société peut atteindre ses objectifs : haute disponibilité, répétabilité, évolutivité, sécurité robuste et reprise sur sinistre. Des ingénieurs système et réseau surveillent quotidiennement l'état de ces outils automatisés : ils passent en revue les rapports pour réagir en cas d'incapacité des hôtes à obtenir ou à actualiser leur configuration et leurs logiciels. Un logiciel de gestion de la configuration développé en interne est installé en cas de mise à disposition d'un nouveau matériel. Ces outils sont exécutés sur tous les hôtes UNIX pour valider leur configuration et le fait que le logiciel installé est conforme aux normes déterminées par le rôle attribué à l'hôte en question. Ce logiciel de gestion de la configuration permet également d'actualiser régulièrement les progiciels déjà installés sur l'hôte. Seul le personnel agréé, habilité par le service d'autorisations, peut se connecter aux serveurs centraux de gestion de la configuration. Gestion de la continuité de l'activité L'infrastructure d'amazon présente une haute disponibilité et fournit aux clients les fonctionnalités nécessaires pour déployer une architecture informatique à tolérance de pannes. Les systèmes d'aws ont été conçus pour tolérer les pannes système ou matérielle avec un impact minimum pour le client. La gestion de la continuité de l'activité des centres de données d'aws est supervisée par le groupe en charge de l'infrastructure Amazon. Disponibilité Les centres de données sont construits sous forme de clusters dans diverses régions du monde. Tous les centres de données sont en ligne et desservent des clients ; aucun n'est inactif. En cas de panne, le trafic des données client est automatiquement réacheminé. Les applications de base sont déployées selon une configuration N+1 de manière à ce que, en cas de défaillance d'un centre de données, la capacité soit suffisante pour permettre un équilibrage de charge du trafic vers les autres sites. 7

8 AWS offre à ses clients la flexibilité de placer des instances et de stocker des données dans plusieurs régions, mais aussi parmi plusieurs zones de disponibilité dans chaque région. Chaque zone de disponibilité est conçue sous la forme d'une zone de défaillance indépendante. En d'autres termes, les zones de disponibilité sont physiquement séparées au sein d'une région métropolitaine classique et se trouvent dans des zones à très faible risque d'inondation (les catégories de zones inondables spécifiques varient d'une région à l'autre). Outre des systèmes d'alimentation sans coupure discrets et des générateurs de réserve sur place, chacune est alimentée par des réseaux électriques distincts à partir de services indépendants afin de limiter les points de défaillance uniques. Les zones de disponibilité sont toutes reliées de manière redondante à plusieurs fournisseurs de transit de niveau 1. Les clients doivent structurer leur utilisation d'aws pour profiter des multiples régions et zones de disponibilité. La répartition des applications entre plusieurs zones de disponibilité permet de se prémunir contre la plupart des domaines de défaillance, notamment les catastrophes naturelles et les défaillances système. Réaction aux incidents L'équipe de gestion des incidents d'amazon utilise des procédures de diagnostic conformes aux normes du secteur pour résoudre les problèmes lors d'événements ayant un impact sur l'activité. Des opérateurs assurent une couverture 24 h/24, 7 j/7 et 365 jours par an pour détecter les incidents et gérer leurs répercussions et leur résolution. Analyse par les cadres à l'échelle de l'entreprise Le groupe d'audit interne d'amazon a récemment examiné les plans de résilience des services AWS, qui sont aussi régulièrement analysés par les membres de l'équipe de direction et le comité d'audit du conseil d'administration. Le 21 avril 2011, les clients d'ec2 ont été frappés par une interruption de service dans la région USA Est. Vous trouverez plus de précisions dans l'article de synthèse sur cette interruption de service concernant Amazon EC2 et Amazon RDS dans la région USA Est ( Sauvegardes Les données stockées dans Amazon S3, Amazon SimpleDB ou Amazon Elastic Block Store (EBS) sont stockées de manière redondante sur plusieurs emplacements physiques dans le cadre de l'exécution normale de ces services et sans frais supplémentaires. Amazon S3 et Amazon SimpleDB assurent la durabilité des objets en stockant plusieurs fois les objets sur plusieurs zones de disponibilité lors de leur enregistrement initial, puis en les répliquant activement en cas d'indisponibilité d'un périphérique ou de détection d'une corruption binaire. Les objets répliqués par Amazon EBS sont stockés dans la même zone de disponibilité, et non sur plusieurs zones. Il est donc vivement conseillé aux clients d'effectuer régulièrement des copies instantanées sur Amazon S3 afin de garantir la durabilité à long terme de leurs données. Il est recommandé aux clients, dont les bases de données transactionnelles complexes et structurées utilisent EBS, d'effectuer des sauvegardes sur Amazon S3 par le biais du système de gestion de base de données afin de permettre de jalonner de points de reprise les journaux et les transactions réparties. AWS ne sauvegarde pas les données conservées sur des disques virtuels associés à des instances en cours d'exécution sur Amazon EC2. Mise hors service des dispositifs de stockage Lorsqu'un dispositif de stockage est arrivé au terme de sa vie utile, les procédures d'aws prévoient notamment une mise hors service visant à empêcher l'exposition des données des clients à la vue de personnes non autorisées. AWS utilise les techniques détaillées dans le manuel édité par le département américain de la défense, DoD M («National Industrial Security Program Operating Manual»), ou les recommandations NIST («Guidelines for Media Sanitization») pour détruire les données dans le cadre de la mise hors service. Si un matériel ne pouvait être mis hors service à l'aide de ces procédures, il sera démagnétisé ou physiquement détruit conformément aux pratiques en vigueur dans le secteur. 8

9 Isolement des anomalies AWS offre à ses clients la possibilité de placer des instances et de stocker des données dans plusieurs régions géographiques. Chaque région constitue un ensemble indépendant de ressources AWS dans une zone géographique déterminée. Les services AWS sont actuellement disponibles dans cinq régions : USA Est (Virginie du Nord), USA Ouest (Californie du Nord), UE (Irlande), Asie-Pacifique (Singapour) et Asie-Pacifique (Tokyo). La région standard américaine d'amazon S3 inclut les infrastructures USA Est (Virginie du Nord) et celles de la partie occidentale de l'état de Washington. Le choix d'une région au sein d'une juridiction géographique acceptable pour le client offre de solides garanties de remplir les obligations de confidentialité et de conformité liées au lieu, comme celles édictées par la Directive européenne relative à la protection des données. Les données ne sont pas répliquées d'une région à l'autre, sauf si le client y procède de manière proactive, permettant ainsi aux clients ayant de telles contraintes de placement des données et de confidentialité de créer des environnements conformes. Il convient de noter que toutes les communications entre les régions passent par une infrastructure Internet publique. Des méthodes de cryptage appropriées doivent être utilisées pour protéger les données sensibles. Dans une région donnée, Amazon EC2, Amazon EBS et Amazon Relational Database Service (RDS) permettent aux clients de placer des instances et de stocker des données au sein de plusieurs zones de disponibilité. Pour en savoir plus à propos de la disponibilité, consultez la section «Gestion de la continuité de l'activité». Amazon S3, Amazon SimpleDB, Amazon Simple Notification Service (SNS) et Amazon Simple Queue Service (SQS) n'offrent pas le concept de zones de disponibilité aux clients. Avec ces services, les données sont automatiquement stockées sur plusieurs périphériques parmi plusieurs installations au sein d'une même région. Le schéma ci-dessous représente les régions et les zones de disponibilité dans chaque région pour Amazon EC2, Amazon EBS et Amazon RDS. 9

10 Région USA Est (Virginie du Nord) Région UE (Irlande) Zone de disponibilité A Zone de disponibilité B Zone de disponibilité A Zone de disponibilité B Zone de disponibilité C Région USA Ouest (Californie du Nord) Région APAC (Singapour) Région APAC (Tokyo) Zone de disponibilité A Zone de disponibilité B Zone de disponibilité A Zone de disponibilité B Zone de disponibilité A Zone de disponibilité B Fonctions de sécurité des comptes Amazon AWS offre à ses clients divers modes d'identification et d'accès sécurisé à leur compte AWS. Vous trouverez une liste complète des informations d'identification prises en charge par AWS à la page Identifiants de sécurité sous Mon compte. Nous fournissons aussi des options de sécurité additionnelles qui vous permettent de mieux protéger votre compte AWS et d'en contrôler les accès : AWS Identity and Access Management (AWS IAM), AWS Multi-Factor Authentication (AWS MFA) et rotation des clés d'accès. AWS Identity and Access Management (AWS IAM) AWS Identity and Access Management (AWS IAM) vous permet de créer des utilisateurs multiples et d'en gérer les autorisations associées au sein du compte AWS correspondant. Un utilisateur est une identité (au sein d'un compte AWS client) dotée d'identifiants de sécurité uniques qui peuvent être utilisés pour accéder aux services AWS. AWS IAM élimine la nécessité de partager des mots de passe ou des clés d'accès, et facilite l'activation ou la désactivation de l'accès d'un utilisateur selon les besoins. AWS IAM permet aux clients d'implémenter des pratiques d'excellence en matière de sécurité, comme un droit d'accès minimal, en octroyant des identifiants uniques à chaque utilisateur au sein du compte AWS associé et en accordant uniquement le droit d'accéder aux services AWS et aux ressources nécessaires aux utilisateurs pour l'exécution de leur travail. AWS IAM est un service sécurisé par défaut ; les nouveaux utilisateurs n'ont pas accès à AWS tant que les autorisations ne sont pas explicitement accordées. 10

11 AWS IAM permet aux clients de limiter l'utilisation de leurs informations d'identification au compte AWS. Toutes les interactions avec les services et ressources AWS doivent, à la place, se faire avec des identifiants de sécurité utilisateur AWS IAM. Vous trouverez plus d'informations à propos d'aws Identity and Access Management (AWS IAM) sur le site d'aws : AWS Multi-Factor Authentication (AWS MFA) AWS Multi-Factor Authentication (AWS MFA) est une couche supplémentaire de sécurité qui offre un contrôle renforcé sur vos paramètres de compte AWS, ainsi que sur les services et ressources AWS auxquels votre compte est inscrit. Lorsque les clients activent cette fonctionnalité d'inclusion, ils doivent fournir un code à usage unique à six chiffres en plus de leur nom d'utilisateur et de leur mot de passe standard pour pouvoir accéder aux paramètres de leur compte AWS ou aux services et ressources AWS. Ce code à usage unique est obtenu auprès d'un système d'authentification que vous gardez (physiquement) en votre possession. C'est ce que l'on appelle l'authentification multi-facteurs : en effet, deux facteurs sont vérifiés avant que l'accès ne soit octroyé. Les clients doivent fournir leur nom d'utilisateur ( Amazon dans le cas du compte AWS) et leur mot de passe (le premier «facteur» : élément connu de vous), mais aussi le code précis fourni par leur dispositif d'authentification (le deuxième «facteur» : élément en votre possession). Les clients ont la possibilité d'activer des dispositifs d'authentification multi-facteurs pour leur compte AWS, ainsi que pour les utilisateurs qu'ils ont créés sous leur compte AWS avec AWS IAM. Il est facile d'obtenir un tel dispositif d'authentification auprès d'un fournisseur tiers, puis de l'installer via le site Web d'aws. Vous trouverez plus d'informations sur l'authentification multi-facteur sur le site d'aws : Rotation des clés d'accès Pour les mêmes raisons qu'il est important de changer fréquemment votre mot de passe, AWS recommande aux clients d'effectuer une rotation de leurs clés d'accès et certificats de façon régulière. Afin de le leur permettre sans impact potentiel sur la disponibilité de leurs applications, AWS prend en charge de multiples clés et certificats d'accès simultanés. Avec cette fonctionnalité, les clients peuvent effectuer une rotation des clés et certificats mis en/hors service de façon régulière, sans interruption de leur application. Ceci peut aider à minimiser le risque de perte ou de divulgation des clés ou certificats d'accès. L'API AWS IAM permet à un client d'effectuer une rotation des clés d'accès à son compte AWS, ainsi que pour les utilisateurs créés sous son compte AWS à l'aide d'aws IAM. Sécurité du réseau Le réseau AWS fournit une protection importante contre les problèmes traditionnels de sécurité du réseau et offre la possibilité aux clients de renforcer davantage cette protection. En voici quelques exemples : Attaques par saturation ou DDoS (Distributed Denial of Service) Les points de terminaison des API (Application Programming Interface) AWS sont hébergés sur une grande infrastructure Internet de niveau mondial qui bénéficie de la même expertise technique que celle qui a fait d'amazon le plus grand détaillant en ligne au monde. Des techniques propriétaires de limitation des risques DDoS sont utilisées. Les réseaux d'aws sont, en outre, multiconnectés entre plusieurs fournisseurs pour diversifier l'accès à Internet. Attaques de l'homme du milieu (HDM) ou MITM (Man In the Middle) L'ensemble des API AWS sont disponibles via des points de terminaison protégés par SSL qui permettent l'authentification du serveur. Les AMI d'amazon EC2 génèrent automatiquement de nouveaux certificats hôtes SSH lors de l'amorçage initial et les consignent dans la console de l'instance. Les clients peuvent alors utiliser les API sécurisées pour appeler la console et accéder aux certificats de l'hôte avant de se connecter pour la première fois à l'instance. Les clients sont invités à utiliser le protocole SSL pour toutes leurs interactions avec AWS. 11

12 Usurpation d'adresses IP Les instances Amazon EC2 ne peuvent pas envoyer de trafic réseau avec des adresses usurpées. L'infrastructure de parefeu sur hôte commandée par AWS ne permet pas à une instance d'envoyer du trafic avec une autre adresse MAC ou IP source que la sienne. Balayage de ports Les balayages de ports non autorisés par les clients d'amazon EC2 enfreignent la politique d'utilisation acceptable d'aws. Les infractions à cette politique sont prises au sérieux, et toute infraction signalée fera l'objet d'une enquête. Les clients peuvent signaler tout soupçon d'abus auprès des contacts indiqués sur notre site à l'adresse : Lorsqu'un balayage de ports illicite est détecté, il est arrêté et bloqué. Les balayages des ports des instances Amazon EC2 sont généralement inefficaces puisque, par défaut, tous les ports entrants sur celles-ci sont fermés et ne sont ouverts que par le client. La gestion rigoureuse par le client des groupes de sécurité peut encore atténuer la menace d'un balayage de ports. Si le client configure le groupe de sécurité afin d'autoriser le trafic depuis n'importe quelle source vers un port spécifique, ce port spécifique sera exposé aux balayages de ports. Dans une telle situation, le client doit utiliser des mesures de sécurité appropriées pour éviter que les services d'écoute qui peuvent être essentiels à son application ne soient découverts par un balayage de ports illicite. Par exemple, le port 80 (HTTP) d'un serveur Web doit être clairement ouvert sur le monde, et l'administrateur de ce serveur est responsable de la sécurité du logiciel serveur HTTP (Apache, par exemple). Les clients sont en droit de demander d'effectuer des analyses de vulnérabilité afin de satisfaire à leurs obligations de conformité spécifiques. Ces analyses doivent être limitées aux propres instances du client et ne doivent pas à aller à l'encontre de la politique d'utilisation acceptable d'aws. Il est possible d'initier une approbation avancée pour ce genre d'analyses en soumettant une demande via le site à l'adresse : Reniflage de paquets par d'autres utilisateurs Une instance virtuelle tournant en mode espion ne peut pas recevoir ou «renifler» du trafic destiné à une autre instance virtuelle. Si les clients peuvent placer leurs interfaces en mode espion ; pour autant, l'hyperviseur ne leur adressera pas de trafic qui ne leur est pas destiné. Même deux instances virtuelles appartenant au même client et chargées sur le même hôte physique ne peuvent pas écouter le trafic de l'autre. Des attaques comme celle par empoisonnement du cache ARP ne fonctionnent pas dans Amazon EC2 et Amazon VPC. Même si Amazon EC2 assure une large protection contre toute tentative par un client de voir, par mégarde ou par malveillance, les données d'un autre, les clients devraient systématiquement crypter tout trafic sensible. Sécurité d'amazon Elastic Compute Cloud (Amazon EC2) Dans Amazon EC2, la sécurité est assurée à plusieurs niveaux : le système d'exploitation (SE) du système hôte, le système d'exploitation de l'instance virtuelle ou SE «invité», un pare-feu et des appels d'api signés. Chacun de ces éléments exploite les capacités des autres. L'objectif est de se protéger contre l'interception des données contenues dans Amazon EC2 par des utilisateurs ou des systèmes non autorisés et de fournir des instances Amazon EC2 qui soient aussi sûres que possible, sans nuire à la flexibilité de la configuration exigée par les clients. Sécurité à plusieurs niveaux Système d'exploitation hôte : Les administrateurs devant, dans le cadre de leurs attributions, accéder au plan de gestion doivent utiliser une authentification multi-facteurs pour pouvoir accéder aux hôtes d'administration spécialisés. Ces hôtes d'administration sont des systèmes spécifiquement conçus, développés, configurés et renforcés pour protéger le plan de gestion du nuage. Un tel accès est consigné et vérifié. Dès lors qu'un employé n'a plus de motif professionnel d'accéder au plan de gestion, les autorisations et l'accès à ces hôtes et aux systèmes concernés sont révoqués. 12

13 Système d'exploitation de l'invité : Les instances virtuelles sont entièrement commandées par le client. Les clients disposent d'un accès à la racine ou d'un contrôle administratif complet sur les comptes, les services et les applications. AWS n'a aucun droit d'accès aux instances des clients et ne peut se connecter au SE de l'invité. AWS recommande à ses clients un ensemble élémentaire de pratiques d'excellence en matière de sécurité incluant la désactivation de l'accès par mot de passe à leurs hôtes, et l'utilisation d'une forme quelconque d'authentification multi-facteurs pour accéder à leurs instances (ou, au moins, un accès SSH, version 2, par certificat). Les clients devraient, en outre, utiliser un système d'escalade des privilèges avec connexion selon l'utilisateur. Par exemple, si le SE invité est un système Linux, après avoir renforcé la sécurité de leur instance, ils devraient utiliser un accès SSHv2 avec certificat pour l'instance virtuelle, désactiver la connexion distante à la racine, utiliser la connexion par ligne de commande et la commande «sudo» (exécuter en se substituant à l'utilisateur) pour l'escalade des privilèges. Les clients devraient générer leurs propres paires de clés afin de garantir qu'elles soient uniques, et non partagées avec d'autres clients ou avec AWS. Pare-feu : Amazon EC2 fournit une solution de pare-feu complète ; ce pare-feu obligatoire à l'entrée est configuré dans un mode «tout interdire» par défaut et les clients Amazon EC2 doivent explicitement ouvrir les ports nécessaires pour permettre le trafic entrant. Le trafic doit être limité par protocole, par port de service, ainsi que par adresse IP source (IP individuelle ou bloc CIDR (Classless Inter-Domain Routing/routage inter-domaine sans classe)). Le pare-feu peut être configuré en groupes, ce qui permet que différentes classes d'instances aient des règles distinctes. Prenons, par exemple, le cas d'une application Web traditionnelle à trois niveaux. Les ports 80 (HTTP) et/ou 443 (HTTPS) du groupe correspondant aux serveurs Web sont ouverts sur l'internet. Le port 8000 (spécifique à une application) du groupe correspondant aux serveurs d'application n'est accessible qu'au groupe de serveurs Web. Le port 3306 (MySQL) du groupe correspondant aux serveurs de base de données est uniquement ouvert au groupe de serveurs d'application. Ces trois groupes permettent un accès pour les tâches d'administration sur le port 22 (SSH), mais uniquement à partir du réseau d'entreprise du client. Ce mécanisme explicite permet de déployer des applications très sécurisées. Reportezvous au schéma ci-dessous : Le pare-feu n'est pas commandé par l'intermédiaire du SE invité, mais nécessite la clé et le certificat X.509 du client pour autoriser les changements, ajoutant ainsi une couche supplémentaire de sécurité. AWS offre la possibilité d'octroyer un accès granulaire à différentes fonctions administratives sur les instances et le pare-feu, permettant ainsi au client de renforcer la sécurité en séparant les responsabilités. Le niveau de sécurité accordé par le pare-feu dépend des ports qui 13

14 sont ouverts par le client, ainsi que de leur durée et de leur finalité. L'état par défaut consiste à interdire tout trafic entrant, et les clients doivent soigneusement planifier ce qu'ils autoriseront lors de la réalisation et de la sécurisation de leurs applications. Une gestion du trafic et une conception de la sécurité réfléchies restent nécessaires selon une approche par instance. AWS encourage, par ailleurs, ses clients à mettre en place des filtres supplémentaires par instance avec des pare-feux installés sur l'hôte, tels que IPtables ou Windows Firewall, et des réseaux privés virtuels. Cela peut limiter le trafic entrant et le trafic sortant sur chaque instance. Les appels d'api pour lancer et mettre fin aux instances, changer les paramètres du pare-feu et exécuter d'autres fonctions sont tous signés au moyen de la clé d'accès secrète Amazon du client ; celle-ci peut correspondre soit à la clé d'accès secrète du compte AWS, soit à la clé d'accès secrète d'un utilisateur créé avec AWS IAM. Sans connaître la clé d'accès secrète d'un client, il est donc impossible de lancer des appels d'api EC2 en son nom. De plus, il est possible de crypter les appels d'api avec SSL pour préserver la confidentialité. Amazon recommande de toujours utiliser des points de terminaison protégés par SSL pour les API. AWS IAM permet aussi aux clients de mieux contrôler les API qu'un utilisateur créé avec AWS IAM a la permission d'appeler. L'hyperviseur Profitant de la paravirtualisation (dans le cas d'invités Linux), Amazon EC2 utilise actuellement une version très personnalisée de l'hyperviseur Xen. Comme les invités paravirtualisés s'en remettent à l'hyperviseur pour la prise en charge d'opérations qui, normalement, exigent un accès privilégié, le SE invité ne bénéficie pas d'un niveau d'accès élevé à l'uc. L'UC offre quatre modes de privilège distincts : numérotés de 0-3, ils sont appelés «anneaux». L'anneau 0 représente le plus haut niveau de privilège et le 3, le plus bas. Le SE hôte est exécuté dans l'anneau 0. En revanche, au lieu de s'exécuter dans l'anneau 0 comme le font la plupart des systèmes d'exploitation, le SE invité s'exécute dans l'anneau 1, de moindre privilège, et les applications dans l'anneau 3, le plus bas niveau de privilège. Cette virtualisation explicite des ressources physiques débouche sur une séparation claire entre invité et hyperviseur, ce qui se traduit par un niveau supplémentaire de sécurité entre les deux. Isolation des instances Des instances différentes, exécutées sur la même machine physique, sont isolées les unes des autres par l'hyperviseur Xen. Amazon est actif dans la communauté Xen, qui attire l'attention du public sur les derniers progrès en date. De plus, le pare-feu AWS réside dans la couche de l'hyperviseur, entre l'interface réseau physique et l'interface virtuelle de l'instance. Tous les paquets doivent transiter par cette couche ; les voisins d'une instance n'ont donc pas davantage accès à celle-ci qu'un hôte sur Internet et peuvent être traités comme s'ils se trouvaient sur des hôtes physiques séparés. La RAM physique est séparée au moyen de mécanismes du même type. 14

15 Les instances du client n'ont pas accès aux disques bruts des dispositifs, mais se voient présenter à la place des disques virtualisés. La couche de virtualisation des disques propriétaire d'aws réinitialise automatiquement chaque bloc de mémoire utilisé par le client, de sorte que les données d'un client ne sont jamais involontairement exposées à un autre. AWS recommande aux clients de renforcer la protection de leurs données par des moyens appropriés. Une solution courante consiste à exécuter un système de fichiers cryptés en plus du dispositif de disque virtualisé. Sécurité d'elastic Block Storage (Amazon EBS) L'accès au volume Amazon EBS est limité au compte AWS qui a créé le volume et aux utilisateurs regroupés sous le compte AWS créés à l'aide d'aws IAM et disposant d'un accès aux opérations EBS. Il interdit ainsi à tous les autres comptes AWS et aux autres utilisateurs de consulter ce volume ou d'y accéder. Toutefois, un client peut créer des instantanés Amazon S3 de son volume Amazon EBS et permettre à d'autres comptes AWS d'utiliser ces instantanés partagés comme base pour créer leurs propres volumes. Les clients ont aussi la possibilité de mettre des instantanés d'un volume Amazon EBS à la disposition de tous les comptes AWS via un accès public. Partager des instantanés d'un volume Amazon EBS ne donne pas à d'autres comptes AWS le droit de modifier ou de supprimer l'instantané initial car ce droit est explicitement réservé au compte AWS qui a créé le volume. Un instantané EBS est une vue au niveau des blocs d'un volume EBS tout entier. Certaines données qui ne sont pas visibles via le système de fichiers sur le volume, comme les fichiers supprimés, peuvent figurer dans l'instantané EBS. Les clients qui veulent créer des instantanés partagés doivent procéder avec précaution. Si leur volume a contenu des données sensibles ou si des fichiers en ont été supprimés, ils doivent créer un nouveau volume EBS. Les données à inclure dans l'instantané partagé doivent être copiées vers un nouveau volume, et l'instantané créé à partir de ce nouveau volume. Les volumes Amazon EBS sont présentés au client sous forme de dispositifs à blocs non formatés bruts, qui ont été nettoyés avant d'être mis à disposition. Les clients dont les procédures exigent que toutes les données soient nettoyées selon une méthode spécifique, comme celles détaillées dans le document DoD M («National Industrial Security Program Operating Manual») ou dans les recommandations NIST («Guidelines for Media Sanitization»), ont la possibilité de le faire sur Amazon EBS. Pour se conformer à leurs obligations, les clients doivent effectuer une procédure de nettoyage spécialisée avant de supprimer le volume. Le cryptage des données sensibles est généralement une bonne pratique en matière de sécurité, et AWS encourage ses utilisateurs à crypter leurs données sensibles suivant un algorithme conforme aux règles de sécurité qu'ils ont définies. 15

16 Sécurité d'amazon Virtual Private Cloud (Amazon VPC) Dans Amazon Virtual Private Cloud, la sécurité commence avec la notion même de nuage privé virtuel (VPC) et couvre jusqu'aux groupes de sécurité, y compris les listes des droits d'accès (LCA) réseau, le routage et les passerelles externes. Chacun de ces éléments est complémentaire dans la création d'un réseau isolé et sécurisé, pouvant être étendu par l'activation sélective d'un accès Internet direct ou d'une connectivité privée à un autre réseau. Les multiples niveaux de sécurité dans Amazon VPC sont décrits ci-dessous. Un schéma vient ensuite mettre en évidence les corrélations entre les différents composants d'amazon VPC. Sécurité à plusieurs niveaux VPC : Chaque VPC constitue un réseau isolé distinct dans le nuage. Lors de la création de chaque VPC, une plage d'adresses IP est sélectionnée par le client. Le trafic réseau au sein d'un VPC est isolé de celui de tous les autres VPC ; plusieurs VPC peuvent donc utiliser des plages d'adresses IP se chevauchant (voire identiques), sans perte de cet isolement. Par défaut, les VPC n'ont pas de connectivité externe. Les clients peuvent créer et adjoindre une passerelle Internet, une passerelle VPN, ou les deux, pour établir une connectivité externe, sous réserve des mesures de contrôle suivantes. API : Les appels pour créer et supprimer des VPC, modifier le routage, le groupe de sécurité et les paramètres LCA réseau, et exécuter d'autres fonctions, sont tous signés par la clé d'accès secrète Amazon du client, qui peut correspondre soit à la clé d'accès secrète du compte AWS, soit à la clé d'accès secrète d'un utilisateur spécifique créé à l'aide d'aws IAM. Sans connaître la clé d'accès secrète du client, il est impossible de lancer des appels d'api Amazon VPC au nom du client. De plus, il est possible de crypter les appels d'api avec SSL pour préserver la confidentialité. Amazon recommande de toujours utiliser des points de terminaison protégés par SSL pour les API. AWS IAM permet aussi à un client de mieux contrôler les API qu'un utilisateur nouvellement créé a la permission d'appeler. Sous-réseaux : Les clients créent un ou plusieurs sous-réseaux dans chaque VPC ; chaque instance lancée dans le VPC est connectée à un sous-réseau. Les attaques de sécurité traditionnelles sur la couche 2, notamment les mystifications MAC ou ARP, sont bloquées. Tables de routage et destinations : Chaque sous-réseau dans un VPC est associé à une table de routage, et tout le trafic quittant un sous-réseau est traité par cette table de routage pour en déterminer sa destination. Passerelle VPN : Une passerelle VPN permet une connectivité privée entre le VPC et un autre réseau. Le trafic réseau à l'intérieur de chaque passerelle VPN est isolé du trafic réseau au sein de toutes les autres passerelles VPN. Les clients peuvent établir des connexions VPN à la passerelle VPN à partir de périphériques de passerelle dans les locaux du client. Chaque connexion est sécurisée par une clé pré-partagée conjointement à l'adresse IP du périphérique de passerelle du client. Passerelle Internet : Une passerelle Internet doit être adjointe à un VPC pour permettre une connectivité directe à Amazon S3, à d'autres services AWS et à Internet. Chaque instance souhaitant avoir cet accès doit soit avoir une adresse IP élastique qui lui est associée, soit acheminer le trafic par l'intermédiaire d'une instance NAT. Des chemins réseau sont, en outre, configurés (voir ci-dessus) pour diriger le trafic vers la passerelle Internet. AWS fournit des AMI NAT de référence qui peuvent être étendues par les clients pour effectuer une journalisation réseau, une analyse des paquets en profondeur, un filtrage par couche applicative ou appliquer d'autres contrôles de sécurité. Cet accès ne peut être modifié que par le déclenchement d'api Amazon VPC. AWS permet d'accorder un accès granulaire à différentes fonctions d'administration sur les instances et la passerelle Internet, permettant ainsi au client de renforcer la sécurité par la séparation des responsabilités. 16

17 Instances Amazon EC2 : Les instances Amazon EC2 s'exécutant avec un VPC Amazon offrent tous les avantages décrits plus haut relativement au système d'exploitation hôte, au système d'exploitation invité, à l'hyperviseur, à l'isolation des instances et à la protection contre le reniflage de paquets. Location : Les VPC permettent aux clients de lancer des instances Amazon EC2 qui sont physiquement isolées au niveau matériel de l'hôte ; elles sont exécutées sur un matériel à un seul utilisateur locataire. Il est possible de créer un VPC avec une location «dédiée», auquel cas toutes les instances lancées dans ce VPC utilisent cette fonctionnalité. Un VPC peut aussi être créé avec une location «par défaut», mais les clients peuvent préciser une location «dédiée» pour des instances particulières lancées dans sur ce VPC. Pare-feu (groupes de sécurité) : A l'instar d'amazon EC2, Amazon VPC prend en charge une solution de pare-feu complète permettant un filtrage du trafic entrant et sortant d'une instance. Le groupe par défaut permet une communication entrante à partir d'autres membres du même groupe et une communication sortante vers n'importe quelle destination. Le trafic peut être limité selon un protocole IP ou par port de service et par adresse IP source/destination (IP individuelle ou bloc CIDR (Classless Inter-Domain Routing/routage inter-domaine sans classe)). Le pare-feu n'est pas commandé par le SE invité ; il ne peut être modifié que par le déclenchement d'api Amazon VPC. AWS offre la possibilité d'octroyer un accès granulaire à différentes fonctions administratives sur les instances et le parefeu, permettant ainsi au client de renforcer la sécurité en séparant les responsabilités. Le niveau de sécurité accordé par le pare-feu dépend des ports qui sont ouverts par le client, ainsi que de leur durée et de leur finalité. Une gestion du trafic et une conception de la sécurité réfléchies restent nécessaires selon une approche par instance. AWS encourage, par ailleurs, ses clients à mettre en place des filtres supplémentaires par instance en installant des pare-feux, tels que IPtables ou Windows Firewall, sur les ordinateurs hôtes. Listes de contrôle d'accès réseau : Pour ajouter une couche supplémentaire de sécurité au sein d'amazon VPC, les clients peuvent configurer des LCA réseau. Il s'agit de filtres de trafic statiques qui s'appliquent à tout le trafic entrant ou sortant d'un sous-réseau au sein du VPC. Ces LCA peuvent contenir des règles ordonnancées pour autoriser ou interdire le trafic en fonction du protocole IP ou par port de service et adresse IP source/destination. Comme les groupes de sécurité, les LCA réseau sont gérées par des API Amazon VPC, ajoutant une couche supplémentaire de protection et renforçant la sécurité par la séparation des responsabilités. Sécurité des réseaux : Récapitulatif Le schéma ci-dessous décrit comment les mesures de contrôle de sécurité citées interagissent de façon à constituer des topologies de réseau flexibles, tout en garantissant un contrôle total sur les flux de trafic du réseau. 17

18 Sécurité d'amazon Simple Storage Service (Amazon S3) Quel que soit le système de stockage partagé, la question la plus courante en matière de sécurité est de savoir si les utilisateurs non autorisés peuvent accéder, accidentellement ou non, aux informations. Pour que les clients aient la possibilité de déterminer comment, quand et à qui ils souhaitent exposer les informations qu'ils stockent dans AWS, les API Amazon S3 comportent des mesures de contrôle d'accès par compartiment et par objet, avec des réglages par défaut qui permettent uniquement un accès authentifié par le créateur du compartiment et/ou de l'objet. Sauf si le client accorde un accès anonyme à ses données, avant qu'un utilisateur (c'est-à-dire, un compte AWS ou un utilisateur créé avec AWS IAM) ne puisse accéder aux données, il doit authentifier sa demande au moyen d'une signature HMAC- SHA1 en utilisant la clé privée de l'utilisateur. Un utilisateur authentifié ne peut lire un objet que s'il a reçu une autorisation de lecture dans une LCA (liste de contrôles d'accès) au niveau de l'objet. Un utilisateur authentifié ne peut énumérer les clés ou écraser des objets dans un compartiment que s'il a reçu des autorisations de lecture et d'écriture dans une LCA au niveau du compartiment ou grâce à des autorisations qui lui ont été accordées avec AWS IAM. Les LCA aux niveaux Compartiment et Objet sont indépendantes ; un objet n'hérite pas des LCA de son compartiment. Les autorisations de lecture ou de modification des LCA au niveau Compartiment ou Objet sont elles-mêmes commandées par des LCA qui, par défaut, octroient un accès réservé au créateur. Le client conserve ainsi la maîtrise totale du choix 18

19 des utilisateurs pouvant accéder à ses données. Les clients peuvent accorder l'accès à leurs données Amazon S3 à d'autres comptes AWS par ou ID de compte AWS ou ID de produit DevPay. Les clients peuvent aussi accorder l'accès à leurs données Amazon S3 à tous les comptes AWS ou à n'importe qui (en activant un accès anonyme). Gestion des données Pour une sécurité maximale, Amazon S3 est accessible par le biais de points de terminaison SSL. Les points de terminaison cryptés sont accessibles à partir d'internet et depuis Amazon EC2, de telle sorte que les données sont transférées par voie sécurisée au sein d'aws, mais aussi vers et depuis des sources extérieures à AWS. Sécuriser les données «au repos» (stockées) implique une sécurité physique et le cryptage des données. Comme détaillé dans la section «Sécurité physique», Amazon utilise plusieurs couches de mesures de sécurité physique pour protéger les données «au repos» des clients. Par exemple, l'accès physique aux centres de données d'amazon est limité à une liste vérifiée de collaborateurs Amazon. Le cryptage des données sensibles est, de manière générale, une bonne pratique en matière de sécurité, et AWS encourage ses utilisateurs à crypter leurs données sensibles avant de les charger sur Amazon S3. Lorsqu'un objet est supprimé d'amazon S3, la suppression de la correspondance entre le nom public et l'objet commence immédiatement, et son traitement est généralement réalisé sur l'ensemble du système distribué en quelques secondes. Une fois la correspondance supprimée, l'accès à distance à l'objet supprimé n'existe plus. L'emplacement mémoire sous-jacent est alors récupéré par le système pour être réutilisé. Amazon S3 est conçu pour fournir une durabilité à 99, % et une disponibilité des objets à 99,99 % au cours d'une année donnée. Les objets sont stockés de façon redondante sur plusieurs périphériques à travers plusieurs sites au sein d'une même région Amazon S3. Pour assurer la durabilité, les fonctions PUT et COPY d'amazon S3 stockent de façon synchrone vos données sur plusieurs sites avant de renvoyer la valeur SUCCESS. Une fois stockés, Amazon S3 aide à maintenir la durabilité de vos objets en détectant et réparant rapidement toute redondance perdue. Amazon S3 vérifie aussi régulièrement l'intégrité des données stockées à l'aide de totaux de contrôle. Si un élément corrompu est détecté, il est réparé avec des données redondantes. De plus, Amazon S3 calcule les totaux de contrôle sur tout le trafic du réseau pour détecter des compartiments de données endommagés lors du stockage ou de la récupération des données. Amazon S3 fournit encore plus de protection par l'intermédiaire du contrôle de version. Vous pouvez utiliser le contrôle de version pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. Le contrôle de version permet de récupérer facilement les données à la fois en cas d'actions involontaires des utilisateurs ou de défaillances applicatives. Par défaut, les demandes récupéreront la version écrite la plus récente. Les versions plus anciennes d'un objet peuvent être récupérées en indiquant une version dans la demande. Vous pouvez renforcer la protection de vos versions en utilisant la fonction de suppression MFA du contrôle de version d'amazon S3 ; une fois activée pour un compartiment S3, chaque demande de suppression d'une version doit inclure le code à six chiffres et le numéro de série de votre dispositif d'authentification multi-facteurs. Consignation des accès Un compartiment Amazon S3 peut être configuré pour consigner les accès au compartiment et aux objets qu'il contient. Le journal des accès contient des détails à propos de chaque demande d'accès, y compris le type de demande, la ressource demandée, l'ip du demandeur et l'heure et la date de la demande. Lorsque la journalisation est activée pour un compartiment, les enregistrements de consignation sont régulièrement regroupés en fichiers journaux et transférés vers le compartiment Amazon S3 spécifié. 19

20 Sécurité d'amazon Simple Data Base (SimpleDB) Les API Amazon SimpleDB offrent des mesures de contrôle au niveau du domaine qui permettent uniquement un accès authentifié par le créateur du domaine ; le client conserve ainsi la maîtrise totale du choix des utilisateurs ayant accès à ses données. L'accès Amazon SimpleDB peut être accordé sur la base d'un ID de compte AWS. Une fois authentifié, un compte AWS dispose d'un accès complet à toutes les opérations. L'accès à chaque domaine individuel est commandé par une liste de contrôles d'accès indépendante qui met en correspondance les utilisateurs authentifiés avec les domaines qui leur appartiennent. Un utilisateur créé avec AWS IAM a uniquement accès aux opérations et aux domaines pour lesquels il a reçu une autorisation dans le cadre de la politique de sécurité. Amazon SimpleDB est accessible via des points de terminaison à cryptage SSL. Les points de terminaison cryptés sont accessibles depuis Internet et Amazon EC2. Les données stockées dans Amazon SimpleDB ne sont pas cryptées par AWS ; toutefois, le client peut choisir de crypter ses données avant leur chargement sur Amazon SimpleDB. Ces attributs cryptés ne pourront être récupérés que dans le cadre d'une opération GET. Ils ne peuvent être utilisés dans le cadre d'un critère de filtrage des requêtes. Crypter les données avant de les envoyer à Amazon SimpleDB permet de protéger vos données sensibles par rapport à toute personne qui chercherait à y accéder, y compris AWS. Gestion des données Amazon SimpleDB Lorsqu'un domaine est supprimé d'amazon SimpleDB, la suppression de la correspondance du domaine commence immédiatement, et son traitement est généralement réalisé sur l'ensemble du système distribué en quelques secondes. Une fois la correspondance supprimée, il n'y a plus aucun accès à distance au domaine supprimé. Lorsque des données correspondant à des éléments et des attributs sont supprimées d'un domaine, la suppression de la correspondance à l'intérieur du domaine commence immédiatement, et son traitement est généralement réalisé en quelques secondes. Une fois la correspondance supprimée, il n'y a plus aucun accès à distance aux données supprimées. Cet emplacement mémoire est alors mis à disposition uniquement pour des opérations d'écriture et les données sont remplacées par les nouvelles données stockées. Sécurité d'amazon Relational Database Service (Amazon RDS) Amazon RDS vous permet de créer rapidement une instance de base de données relationnelle et d'adapter en souplesse les ressources informatiques associées et la capacité de stockage en fonction des besoins de l'application. Amazon RDS gère pour vous l'instance de base de données en effectuant des sauvegardes, en se chargeant du basculement et en tenant à jour le logiciel de la base de données. L'accès aux instances DB dans Amazon RDS est commandé par le client via les groupes de sécurité de base de données qui sont similaires aux groupes de sécurité d'amazon EC2, mais qui ne sont pas interchangeables. Par défaut, les groupes de sécurité de base de données utilisent le mode «Tout interdire» et les clients doivent spécifiquement autoriser l'accès au réseau. Il existe deux manières de procéder : autoriser une plage d'adresses IP réseau ou autoriser un groupe de sécurité Amazon EC2 existant. Les groupes de sécurité de base de données permettent uniquement l'accès au port du serveur de base de données (tous les autres ports sont bloqués) et peuvent être mis à jour sans redémarrer l'instance DB d'amazon RDS, ce qui permet au client de contrôler de manière transparente les accès à sa base de données. AWS IAM permet au client de renforcer le contrôle des accès à ses instances DB RDS. AWS IAM lui permet de contrôler les opérations RDS que chaque utilisateur AWS IAM est autorisé à appeler. 20

21 Amazon RDS génère un certificat SSL pour chaque instance DB, ce qui permet aux clients de crypter leurs connexions à une instance DB pour une sécurité renforcée. Une fois qu'une API de suppression d'instance DB (DeleteDBInstance) Amazon RDS est exécutée, l'instance DB est marquée en vue de sa suppression. Dès lors que l'instance ne présente plus le statut «suppression en cours», cela signifie qu'elle a été supprimée. A ce stade, l'instance n'est plus accessible et, sauf si une copie instantanée finale a été demandée, elle ne peut pas être restaurée et elle ne sera plus répertoriée par aucun outil ni aucune API. Sécurité d'amazon Simple Queue Service (Amazon SQS) Amazon SQS est un service extensible et très fiable de mise en file d'attente des messages, qui permet une communication par message asynchrone entre les différents composants distribués d'une application. Ces composants peuvent être des ordinateurs ou des instances Amazon EC2, ou une combinaison des deux. Amazon SQS vous permet d'envoyer un nombre quelconque de messages à une file d'attente Amazon SQS et ce, à tout moment et depuis n'importe quel composant. Les messages peuvent être récupérés à partir de ce même composant ou d'un autre, immédiatement ou ultérieurement (dans un délai de 4 jours). Les messages ont un haut niveau de durabilité : chaque message est, en permanence, stocké dans des files d'attente à haute disponibilité et à haute fiabilité. Plusieurs processus peuvent lire/écrire depuis/vers une file d'attente Amazon SQS simultanément sans aucune perturbation. L'accès à Amazon SQS est accordé à un compte AWS ou à un utilisateur créé avec AWS IAM. Une fois authentifié, le compte AWS dispose d'un accès complet à toutes les opérations utilisateur. Un utilisateur AWS IAM ne peut, en revanche, accéder qu'aux opérations et aux files d'attente pour lesquelles un accès lui a été accordé via la politique de sécurité. Par défaut, l'accès à une file d'attente donnée est limité au compte AWS qui l'a créée. Cependant, un client peut autoriser un autre accès à la file d'attente, en utilisant soit une politique générée par SQS, soit une politique écrite par l'utilisateur. Amazon SQS est accessible via des points de terminaison à cryptage SSL. Les points de terminaison cryptés sont accessibles depuis Internet et Amazon EC2. Les données stockées dans Amazon SQS ne sont pas cryptées par AWS ; cependant, l'utilisateur peut crypter ses données avant de les charger sur Amazon SQS, à condition que l'application utilisant la file d'attente comporte des moyens de décryptage du message récupéré. Crypter vos messages avant de les envoyer à Amazon SQS permet de protéger vos données sensibles par rapport à toute personne qui chercherait à y accéder, y compris AWS. Sécurité d'amazon Simple Notification Service (Amazon SNS) Amazon Simple Notification Service (Amazon SNS) est un service Web qui facilite la configuration, l'exploitation et l'envoi de notifications depuis le nuage. Il fournit aux développeurs une capacité hautement évolutive, flexible et économique pour publier des messages depuis une application et les envoyer immédiatement aux abonnés ou autres applications. Amazon SNS fournit une interface de services Web simple qui peut être utilisée afin de créer des sujets à propos desquels les clients souhaitent notifier des applications (ou des personnes), ou afin d'abonner des clients à ces sujets, de publier des messages et de les envoyer sur le protocole choisi par les clients (c.-à-d., HTTP, , etc.). Amazon SNS envoie des notifications aux clients en utilisant un mécanisme du «pousser» qui élimine le besoin de rechercher périodiquement des nouvelles informations et mises à jour ou «d'interroger» pour les obtenir. Amazon SNS peut être exploité pour créer des flux de travail et des applications de message extrêmement fiables et guidés par l'événement (event-driven), sans avoir besoin de gestion d'application et de middleware complexes. Les utilisations potentielles pour Amazon SNS incluent les applications de surveillance, les systèmes de flux de travail, les mises à jour d'informations à caractère urgent, les applications mobiles et bien d'autres. Comme pour tous les Amazon Web Services, il n'y a pas d'investissement initial et vous ne payez que les ressources que vous utilisez. 21

22 Amazon SNS fournit des mécanismes de contrôle d'accès pour empêcher les accès non autorisés aux sujets et aux messages. Les propriétaires de sujets peuvent définir des politiques pour leur sujet, afin de spécifier qui peut publier ou s'abonner à un sujet. En outre, les propriétaires de sujet peuvent crypter les notifications en indiquant le protocole HTTPS comme mécanisme d'envoi. L'accès à Amazon SNS est accordé à un compte AWS ou à un utilisateur créé avec AWS IAM. Une fois authentifié, le compte AWS dispose d'un accès complet à toutes les opérations utilisateur. Un utilisateur AWS IAM ne peut, en revanche, accéder qu'aux opérations et aux sujets pour lesquels un accès lui a été accordé via la politique de sécurité. Par défaut, l'accès à un sujet donné est limité au compte AWS qui l'a créé. Cependant, un client peut autoriser un autre accès à un sujet, en utilisant soit une politique générée par SNS, soit une politique écrite par l'utilisateur. Sécurité d'amazon CloudWatch Amazon CloudWatch est un service web qui fournit une surveillance pour les ressources en nuage AWS (AWS cloud resources), en commençant avec Amazon EC2. Ce service web vous fournit une visibilité lors de l'utilisation de votre ressource, la performance d'exploitation et les modalités d'achat y compris des mesures telles que l'utilisation de l'unité centrale, la lecture et l'écriture du disque et le trafic sur le réseau. Amazon CloudWatch nécessite, comme tous les services AWS, que chaque demande faite à son API de commande soit authentifiée de telle sorte que seuls les utilisateurs authentifiés puissent accéder au service CloudWatch et le gérer. Les demandes sont authentifiées par une signature HMAC-SHA1 calculée à partir de la demande et de la clé privée de l'utilisateur. De plus, l'api de commande d'amazon CloudWatch est accessible uniquement via des points de terminaison à cryptage SSL. Un client peut renforcer le contrôle des accès à Amazon CloudWatch en créant des utilisateurs sous un compte AWS via AWS IAM, et en gérant les opérations CloudWatch que les utilisateurs sont autorisés à appeler. Sécurité d'auto Scaling Auto Scaling permet aux clients d'augmenter ou de réduire automatiquement leurs capacités Amazon EC2 en fonction de critères qu'ils ont eux-mêmes définis, de telle sorte que le nombre d'instances Amazon EC2 qu'ils utilisent augmente et diminue automatiquement de manière transparente, en fonction des pics et baisses de demande, afin de maintenir un niveau de performance élevé tout en limitant les frais. Auto Scaling nécessite, comme tous les services AWS, que chaque demande faite à son API de commande soit authentifiée de telle sorte que seuls les utilisateurs authentifiés puissent accéder au service Auto Scaling et le gérer. Les demandes sont authentifiées par une signature HMAC-SHA1 calculée à partir de la demande et de la clé privée de l'utilisateur. Un client peut renforcer le contrôle des accès à Auto Scaling en créant des utilisateurs sous un compte AWS via AWS IAM, et en gérant les API d'auto Scaling que les utilisateurs sont autorisés à appeler. Sécurité d'amazon CloudFront Amazon CloudFront nécessite que chaque demande faite à son API de commande soit authentifiée de telle sorte que seuls les utilisateurs authentifiés puissent créer, modifier ou supprimer leurs propres distributions dans Amazon CloudFront. Les demandes sont authentifiées par une signature HMAC-SHA1 calculée à partir de la demande et de la clé privée de l'utilisateur. De plus, l'api de commande d'amazon CloudFront est accessible uniquement via des points de terminaison à cryptage SSL. 22

23 La durabilité des données conservées dans les emplacements périphériques d'amazon CloudFront n'est pas garantie. Il peut arriver que le service supprime des objets des emplacements périphériques si ces objets ne sont pas demandés très fréquemment. La durabilité est fournie par Amazon S3, qui fait office de serveur d'origine pour Amazon CloudFront et renferme les copies définitives et originales des objets fournis par Amazon CloudFront. Pour contrôler qui peut télécharger du contenu depuis Amazon CloudFront, vous pouvez activer la fonction de contenu privé du service. Cette fonction comporte deux composants : le premier contrôle la manière dont les emplacements périphériques d'amazon CloudFront accèdent à vos objets dans Amazon S3. Le deuxième contrôle la manière dont le contenu est fourni depuis les emplacements périphériques d'amazon CloudFront aux personnes qui le consultent via Internet. Pour contrôler l'accès aux copies originales de vos objets dans Amazon S3, Amazon CloudFront vous permet de créer une ou plusieurs identités OAI («Origin Access Identity») et de les associer à vos distributions. Lorsqu'une identité OAI est associée à une distribution Amazon CloudFront, la distribution utilisera cette identité pour récupérer des objets depuis Amazon S3. Vous pouvez alors utiliser la fonction LCA d'amazon S3, qui restreint l'accès à cette OAI uniquement, de manière à ce que la copie originale de l'objet ne puisse être lue par tous. Pour contrôler qui peut télécharger vos objets depuis des emplacements périphériques Amazon CloudFront, le service utilise un système de vérification avec adresse URL signée. Pour utiliser ce système, vous devez d'abord créer une paire clé privée/clé publique, et charger la clé publique sur votre compte via le site d'amazon Web Services. Vous devez ensuite configurer votre distribution Amazon CloudFront pour indiquer quels comptes sont autorisés à signer des demandes (vous pouvez indiquer jusqu'à cinq comptes AWS auxquels vous faites confiance pour signer des demandes). En outre, lorsque vous recevez des demandes, vous devez créer des règles indiquant les critères en fonction desquelles vous voulez qu'amazon CloudFront présente votre contenu. Ces règles peuvent spécifier le nom de l'objet qui est demandé, la date et l'heure de la demande et l'adresse IP source (ou plage CIDR) du client formulant la demande. Vous pouvez ensuite exécuter le codage RSA-SHA1 de votre règle et la signer à l'aide de votre clé privée. Pour terminer, vous devez inclure à la fois la règle codée et la signature comme paramètres de la chaîne de requête lorsque vous référencez vos objets. Lorsqu'Amazon CloudFront reçoit une demande, il décode la signature en utilisant votre clé publique. Amazon CloudFront répondra uniquement aux demandes comportant une règle valable et la signature correspondante. Le contenu privé est une fonction optionnelle qui doit être activée lorsque vous configurez votre distribution CloudFront. Tout contenu livré sans que cette fonction ne soit activée pourra être lu par quiconque. Amazon CloudFront offre aussi la possibilité de transférer du contenu sur une connexion cryptée (HTTPS) pour authentifier le contenu livré à vos utilisateurs. Par défaut, Amazon CloudFront acceptera les demandes formulées sur les protocoles HTTP et HTTPS. Si vous préférez, vous pouvez aussi configurer Amazon CloudFront de manière à ce qu'il requière le protocole HTTPS pour toutes les demandes et interdise toutes les demandes HTTP. Dans le cas de demandes HTTPS, Amazon CloudFront utilisera également le protocole HTTPS pour récupérer votre objet à partir d'amazon S3, de manière à ce que votre objet soit crypté quel que soit le moment de sa transmission. 23

24 Les journaux d'accès Amazon CloudFront contiennent un ensemble complet d'informations concernant les demandes de contenu, y compris l'objet demandé, la date et l'heure de la demande, l'emplacement périphérique traitant la demande, l'adresse IP du client, le référent et l'agent utilisateur. Pour activer les journaux d'accès, il suffit de préciser le nom du compartiment Amazon S3 où stocker les journaux lorsque vous configurez votre distribution Amazon CloudFront. Sécurité d'amazon Elastic MapReduce (Amazon EMR) Amazon Elastic MapReduce exige que chaque demande qui est adressée à ses API soit authentifiée de sorte que seuls les utilisateurs authentifiés puissent créer, consulter ou mettre fin à leurs flux de travail. Les demandes sont authentifiées par une signature HMAC-SHA1 calculée à partir de la demande et de la clé privée de l'utilisateur. Amazon Elastic MapReduce fournit des points de terminaison SSL pour accéder à ses API de service Web et à la console. Lors du lancement d'un flux de travail pour le compte d'un client, Amazon Elastic MapReduce configure un groupe de sécurité Amazon EC2 du nœud maître pour uniquement autoriser un accès externe via SSH. Le service crée un groupe de sécurité distinct des esclaves qui ne permet pas d'accès externe. Pour protéger les ensembles de données du client en entrée et sortie, Amazon Elastic MapReduce transfère les données vers et depuis S3 en utilisant SSL. 24