Zero Trust sur AWS
Améliorer votre modèle de sécurité grâce à une approche Zero Trust
Qu'est-ce que le modèle Zero Trust sur AWS ?
Zero Trust est un modèle de sécurité basé sur l'idée que l'accès aux données ne doit pas se faire uniquement en fonction de la localisation du réseau. Il oblige les utilisateurs et les systèmes à prouver clairement leur identité et leur fiabilité, et applique des règles d'autorisation précises basées sur l'identité avant de les autoriser à accéder aux applications, aux données et à d'autres systèmes. Avec Zero Trust, ces identités opèrent souvent au sein de réseaux sensibles aux identités très flexibles qui réduisent encore la surface, éliminent les chemins inutiles vers les données et fournissent des dispositifs de sécurité externes simples.
La transition vers un modèle de sécurité Zero Trust commence par l'évaluation de votre portefeuille de charges de travail et par la détermination des domaines dans lesquels la flexibilité et la sécurité accrues de Zero Trust apporteraient les meilleurs avantages. Ensuite, vous appliquerez les concepts Zero Trust, c'est-à-dire repenser l'identité, l'authentification et d'autres indicateurs contextuels tels que l'état et la santé de l'appareil, afin d'apporter des améliorations de sécurité réelles et significatives par rapport au statu quo. Pour vous aider dans cette démarche, un certain nombre de services d'identité et de mise en réseau AWS fournissent les éléments de base de Zero Trust sous la forme de fonctionnalités standard pouvant être appliquées à la fois à des charges de travail nouvelles et existantes.
Ressources à la une
E-book - Zero Trust : tracer la voie vers une sécurité renforcée
À mesure que les entreprises et les cyberrisques évoluent, les modèles de sécurité doivent suivre le rythme. Apprenez-en davantage sur Zero Trust et sur la façon dont vous pouvez l'utiliser pour élaborer une stratégie de sécurité à plusieurs niveaux qui s'adapte à l'environnement moderne.
Vidéo - Parcours vers le Zero Trust sur AWS (41:27)
Regardez cette session de leadership re:Inforce 2023 avec Jess Szmajda, responsable générale, AWS Network Firewall & Firewall Manager, et Quint Van Deman, directeur du bureau du CISO, pour découvrir comment les clients peuvent utiliser les dernières fonctionnalités d'AWS pour mettre en œuvre un modèle de sécurité Zero Trust.
Blog - Architectures Zero Trust : une perspective AWS
Découvrez les principes directeurs d'AWS en matière de modèle Zero Trust, explorez les cas d'utilisation courants et découvrez comment les services AWS peuvent vous aider à créer votre architecture Zero Trust dès aujourd'hui.
Video - Atteindre le Zero Trust grâce à la mise en réseau d'applications AWS (58:55)
Regardez cette vidéo pour en savoir plus sur les services de mise en réseau d'applications AWS qui vous permettent de configurer un modèle de sécurité qui instaure la confiance en authentifiant et en surveillant en permanence les accès.
Principes directeurs pour développer le Zero Trust sur AWS
Dans la mesure du possible, utilisez conjointement les fonctionnalités d'identité et de réseau
Les contrôles d'identité et de réseau sur AWS peuvent souvent se compléter et se renforcer mutuellement pour vous aider à atteindre vos objectifs de sécurité spécifiques. Les contrôles centrés sur l'identité offrent des contrôles d'accès très efficaces, flexibles et précis. Les contrôles centrés sur le réseau vous permettent d'établir facilement des périmètres bien compris à l'intérieur desquels les contrôles centrés sur l'identité peuvent fonctionner. Dans l'idéal, ces contrôles devraient être conscients les uns des autres et se compléter mutuellement.
Travaillez à rebours à partir de vos cas d'utilisation spécifiques
Il existe un certain nombre de cas d'utilisation courants, tels que la mobilité de la main-d'œuvre, les communications entre logiciels et les projets de transformation numérique, qui peuvent bénéficier de la sécurité renforcée fournie par Zero Trust. Il est important de revenir en arrière à partir de chacun des cas d'utilisation spécifiques qui s'appliquent à votre organisation afin de déterminer les modèles, outils et approches Zero Trust optimaux qui permettent de réaliser des avancées significatives en matière de sécurité.
Appliquez le Zero Trust à vos systèmes et à vos données en fonction de leur valeur
Vous devez considérer les concepts Zero Trust comme des additifs à vos contrôles de sécurité existants. En appliquant les concepts Zero Trust conformément à la valeur organisationnelle du système et des données à protéger, vous pouvez vous assurer que les avantages pour votre entreprise sont à la hauteur des efforts déployés.
Témoignages de clients à la une
Avalon Healthcare Solutions (Avalon), fournisseur d’informations sur les laboratoires, souhaitait offrir aux utilisateurs un accès sécurisé et pratique aux rapports commerciaux et aux données de santé via un navigateur Web, sans VPN. Fondée en 2013, Avalon a utilisé dès le début un framework Zero Trust sur Amazon Web Services (AWS) pour ses applications d’entreprise.
« L’un de nos principaux objectifs techniques est d’optimiser l’expérience utilisateur tout en respectant strictement les principes de confiance zéro », a déclaré Eric Ellis, vice-président adjoint de la technologie cloud d’entreprise AVP chez Avalon Healthcare Solutions. « Lorsque de nouvelles exigences commerciales sont apparues, nous nous sommes sentis obligés de positionner nos applications d’entreprise à la périphérie du réseau. Grâce à l’accès vérifié par AWS, nos ingénieurs techniques et de sécurité ont pu fournir un accès basé sur la confiance zéro aux applications d’entreprise en quelques minutes seulement, sans utiliser de VPN. L’accès vérifié nous a permis de relever le défi crucial d’aligner la prestation de services essentiels sur l’amélioration de l’expérience utilisateur, le tout sans compromettre nos politiques strictes de confiance zéro. »
Découvrez comment Avalon Healthcare Solutions a amélioré la sécurité grâce à l’accès vérifié par AWS
Neo Financial, entreprise canadienne, est à la pointe de la technologie et fournit des services de grande valeur tels que des cartes de crédit sans frais annuels, des remises en espèces illimitées et des limites de crédit flexibles. Neo Financial souhaitait adopter un modèle de sécurité qui accorde l’accès aux ressources en fonction des informations d’identification de l’utilisateur, plutôt que de la connexion réseau.
À l’aide du navigateur sécurisé Amazon WorkSpaces, Neo Financial poursuit son initiative de confiance zéro en accordant aux utilisateurs l’accès aux ressources sur la base d’informations d’identification spécifiques à l’utilisateur, plutôt que de compter sur l’accès au réseau. « Grâce au navigateur sécurisé Amazon WorkSpaces, nous avons moins de serveurs à gérer et pouvons utiliser l’authentification unique pour gérer l’authentification dans l’ensemble de notre entreprise, ce qui nous permet d’atteindre nos objectifs en matière de confiance zéro », déclare Eric Zaporzan, directeur de l’infrastructure chez Neo Financial. « Tous ces facteurs contribuent à simplifier les audits concernant à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et d’autres mesures de conformité. »
Découvrez comment Neo Financial a mis en œuvre l’accès Zero Trust à l’aide du navigateur sécurisé Amazon WorkSpaces
Principes de la confiance zéro à l’œuvre au sein d’AWS
Signature des requêtes d'API AWS
Chaque jour, chaque client AWS interagit avec AWS en toute confiance et en toute sécurité, passant des milliards d'appels d'API AWS sur un ensemble varié de réseaux publics et privés. Chacune de ces demandes d'API signées est authentifiée et autorisée individuellement à chaque fois, à un rythme de plus d'un milliard de demandes par seconde dans le monde. L'utilisation du chiffrement au niveau du réseau à l'aide du protocole TLS (Transport Layer Security) combiné aux puissantes capacités cryptographiques du processus de signature de la Signature V4 AWS sécurise ces requêtes sans tenir compte de la fiabilité du réseau sous-jacent.
Interactions entre services AWS
Lorsque des services AWS individuels doivent s'appeler, ils s'appuient sur les mêmes mécanismes de sécurité que ceux que vous utilisez en tant que client. Par exemple, le service Amazon EC2 Auto Scaling utilise un rôle lié au service sur votre compte pour recevoir des informations d'identification à court terme et appeler les API Amazon Elastic Compute Cloud (Amazon EC2) en votre nom pour répondre à des besoins de dimensionnement. Ces appels sont authentifiés et autorisés par AWS Identity and Access Management (IAM), tout comme vos appels vers les services AWS. Des contrôles stricts centrés sur l'identité constituent la base du modèle de sécurité entre les services AWS.
Zero Trust pour l'IoT
AWS IoT fournit les composants fondamentaux de Zero Trust à un domaine technologique où la messagerie réseau non authentifiée et non cryptée sur Internet ouvert était auparavant la norme. Tout le trafic entre vos appareils IoT connectés et les services AWS IoT est envoyé via le protocole TLS (Transport Layer Security) à l'aide d'une authentification moderne des appareils, y compris le protocole TLS mutuel basé sur des certificats. En outre, AWS a ajouté la prise en charge du protocole TLS à la FreeRTOS, apportant les principaux composants fondamentaux de Zero Trust à toute une classe de microcontrôleurs et de systèmes embarqués.
Cas d'utilisation
Communications de logiciel à logiciel
Lorsque deux composants n'ont pas besoin de communiquer, ils ne devraient pas pouvoir le faire, même s'ils résident dans le même segment de réseau. Vous pouvez y parvenir en autorisant des flux spécifiques entre les composants. En éliminant les voies de communication inutiles, vous appliquez le principe du moindre privilège pour mieux protéger les données critiques. Selon la nature des systèmes, vous pouvez créer ces architectures grâce à une connectivité de service à service simplifiée et automatisée avec authentification et autorisation intégrées à l'aide d'Amazon VPC Lattice, des micropérimètres dynamiques créés à l'aide de groupes de sécurité, de la signature des demandes via Amazon API Gateway, etc.
Sécuriser la mobilité de la main-d'œuvre
La main-d'œuvre moderne a besoin d'accéder à ses applications métier où qu'elle se trouve, sans compromettre la sécurité. Vous pouvez y parvenir avec AWS Verified Access. Cela vous permet de fournir un accès sécurisé aux applications d'entreprise sans VPN. Connectez facilement votre fournisseur d'identité (IdP) et votre service de gestion des appareils existants et utilisez des politiques d'accès pour contrôler étroitement l'accès aux applications tout en offrant une expérience utilisateur fluide et en améliorant la sécurité. Vous pouvez également y parvenir grâce à des services tels que la gamme Amazon WorkSpaces ou Amazon AppStream 2.0, qui diffusent des applications sous forme de pixels chiffrés vers des utilisateurs distants tout en conservant les données en toute sécurité au sein de votre Amazon VPC et de tout réseau privé connecté.
Projets de transformation numérique
Les projets de transformation numérique connectent souvent des capteurs, des contrôleurs, des traitements et des informations basés sur le cloud, tous fonctionnant entièrement en dehors du réseau d'entreprise traditionnel. Pour protéger votre infrastructure IoT critique, la gamme de AWS IoT peuvent fournir une sécurité de bout en bout sur des réseaux ouverts, l'authentification et l'autorisation des appareils étant proposées en tant que fonctionnalités standard.
