Comment sécuriser mon instance EC2 afin qu'elle respecte les programmes de conformité ?

Lecture de 6 minute(s)

Je souhaite sécuriser mon instance Amazon Elastic Compute Cloud (Amazon EC2) afin de respecter un programme de conformité.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Il vous appartient de respecter les lois de conformité, les réglementations et les programmes de confidentialité. Pour plus d'informations sur les programmes de conformité existants, consultez la section Programmes de conformité AWS.

Le tableau suivant répertorie les programmes de conformité courants, leurs exigences et les services AWS destinés à vous aider à configurer la conformité :

Programme de conformité	Exigences clés	Services AWS à utiliser
SOC 2	Sécurité, disponibilité et confidentialité	Gestion des identités et des accès AWS (AWS IAM), AWS CloudTrail, AWS Config, Amazon GuardDuty
Loi sur la portabilité et la responsabilité des assurances-maladie (HIPAA)	Chiffrement des informations de santé électroniques protégées (ePHI) et journaux d'accès	AWS Key Management Service (AWS KMS), CloudTrail, Amazon Macie
Normes de sécurité des données de carte de paiement (PCI DSS)	Protection des données des titulaires de cartes et pare-feu d’applications Web (WAF)	AWS WAF, AWS Shield, Amazon Inspector
Règlement général sur la protection des données (RGPD)	Protection des données d'identification personnelle (PII) et droit à l’effacement	Macie, AWS Lambda
ISO 27001	Gestion des risques et chiffrement	AWS Security Hub, AWS Artifact
National Institute of Standards and Technology (NIST) 800-53	Contrôle d'accès et journalisation	Politique de contrôle des services (SCP) d’AWS Organizations
Programme fédéral de gestion des risques et des autorisations (FedRAMP)	Sécurité du cloud du gouvernement des États-Unis	AWS GovCloud (US), AWS Control Tower

Pour répondre aux exigences de conformité, il est recommandé de mettre en œuvre une approche de sécurité à plusieurs niveaux pour vos instances EC2.

Utiliser le contrôle d'accès pour respecter le principe du moindre privilège

Pour configurer la conformité de programmes tels que SOC 2, NIST et ISO 27001, effectuez les actions suivantes :

Utilisez la console IAM Identity Center ou l’AWS CLI pour appliquer l'authentification multifactorielle (MFA) à tous les utilisateurs.
Remarque : La MFA appliquée est requise pour les normes PCI DSS et SOC 2.
Utilisez des rôles IAM plutôt que des utilisateurs racine ou des informations d'identification à long terme.
Appliquez des SCP pour limiter les actions risquées.

Configurer le chiffrement au repos et en transit

Pour configurer la conformité de programmes tels que HIPPA, PCI DSS et GDPR, effectuez les actions suivantes :

Activez le chiffrement Amazon Elastic Block Store (Amazon EBS).
Remarque : Vous pouvez configurer le chiffrement automatique pour les nouveaux volumes et instantanés EBS.
Appliquez le protocole TLS 1.2 ou version ultérieure.
Remarque : Ceci est requis pour la norme PCI DSS.
Utilisez les certificats AWS Certificate Manager (ACM) pour gérer le trafic HTTPS.
Configurez vos groupes de sécurité pour bloquer le trafic non SSL/TLS.
Remarque : Pour autoriser uniquement le trafic chiffré, autorisez les ports SSL/TLS tels que 443, 465 et 587, et bloquez les ports en texte brut tels que 80, 21 et 3306. Pour plus d'informations sur les groupes de sécurité, consultez la section Règles relatives aux groupes de sécurité pour différents cas d'utilisation.
Combinez les règles des groupes de sécurité avec l'application au niveau de l'application, telle que HTTP Strict Transport Security (HSTS).

Configurer des pare-feux de sécurité réseau

Pour configurer la conformité de programmes tels que PCI DSS, FedRAMP et NIST, effectuez les actions suivantes :

Restreignez les groupes de sécurité pour n'autoriser que les ports requis.
Utilisez AWS WAF pour protéger votre instance.
Activez les journaux de flux Amazon Virtual Private Cloud (Amazon VPC) pour capturer le trafic des adresses IP afin de vous conformer aux bonnes pratiques opérationnelles de la norme NIST 800-53.

Configurer des journaux d’activité d’audit

Pour configurer la conformité de programmes tels que SOC 2, ISO 27001 et HIPAA, effectuez les actions suivantes :

Pour activer CloudTrail pour toutes les régions AWS, créez un journal d’activité avec IsMultiRegionTrail défini sur vrai, ou mettez à jour vos journaux d’activité existants.
Envoyez les journaux à Amazon Detective ou à Security Hub pour des vérifications automatisées de la conformité.

Configurer la gestion des correctifs et les analyses de vulnérabilité

Pour configurer la conformité avec des programmes tels que PCI DSS et FedRAMP, effectuez les actions suivantes :

Configurez Patch Manager, une fonctionnalité d'AWS Systems Manager, pour appliquer automatiquement des correctifs à vos instances Windows et Linux.
Utilisez Amazon Inspector pour analyser vos instances afin de détecter les vulnérabilités des packages et les problèmes d'accessibilité réseau.

Configurer l'accès SSH

Pour configurer la conformité avec des programmes tels que SOC 2, HIPAA, PCI DSS et NIST, effectuez les actions suivantes :

Respectez les bonnes pratiques en matière d'accès SSH.
Utilisez Session Manager, une fonctionnalité d'AWS Systems Manager, pour vous connecter à votre instance au lieu d'utiliser SSH.
Limitez les groupes de sécurité à des adresses IP spécifiques.
Désactivez la connexion par mot de passe et utilisez plutôt des paires de clés SSH.
Changez vos clés SSH tous les 90 jours.

Configurer la détection des menaces

Pour configurer la conformité avec des programmes tels que SOC 2 et IS 27001, configurez les paramètres GuardDuty suivants :

Intégrez GuardDuty à Security Hub pour transmettre les résultats critiques au niveau supérieur.
Configurez les analyses de logiciels malveillants à la demande.
Pour identifier les menaces de sécurité qui affectent le plus votre environnement, configurez des règles de suppression pour supprimer les faux positifs, les résultats de faible valeur et les menaces ne donnant lieu à aucune action.

Extraire des informations sur vos instances pour un rapport

Pour obtenir des données relatives à votre instance, telles que l'identifiant, les identifications et l'état de conformité, exécutez la commande describe-instances de l'AWS CLI suivante :

aws ec2 describe-instances --query Reservations[*].Instances[*].{InstanceId, InstanceType, LaunchTime, State.Name, Tags[?Key==`Name`].Value} --output text > instances.csv

Important : Il est recommandé de contrôler et de mettre à jour régulièrement votre configuration afin de garantir la conformité à mesure que les normes évoluent.

Sujets: Compute
Balises: Linux Amazon EC2 Windows
Langue: Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Héberger des données de santé sur un EC2
benjamin
demandé il y a 8 mois
Mettre à jour version Ubuntu sur mon instance EC2
Réponse acceptée
Patrice Tcherkezian
demandé il y a 2 ans
Problème d'ajout d'IP V4 Publique secondaire sur une instance
Stephan
demandé il y a 2 ans
Mon instance EC2 c'est remise a zéro hier soir.
Patrice Simard
demandé il y a 3 mois
Problème avec mon instance Wordpress EC2 (crash)
rePost-User-5774152
demandé il y a 3 ans
Quelles sont les bonnes pratiques pour sécuriser mon serveur Linux exécuté sur Lightsail ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment sécuriser les fichiers de mon compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a 7 mois
Comment puis-je sécuriser mon instance de conteneur Amazon ECS à l'aide des bonnes pratiques et des techniques de renforcement ?
AWS OFFICIELA mis à jour il y a un an
Que faut-il savoir avant la mise hors service programmée d’une instance Amazon EC2 ?
AWS OFFICIELA mis à jour il y a 3 ans