Glossaire

Modèle de sécurité partagée d'AWS

En quoi consiste le modèle de sécurité partagée d'AWS ?

Les entreprises étant toujours à la recherche d'une meilleure efficacité opérationnelle pour maintenir leur avantage compétitif, elles se tournent de plus en plus vers les fournisseurs de services cloud tels qu'Amazon Web Services pour gérer leur infrastructure informatique.

Ce choix peut être perçu comme un pari risqué – la valeur ajoutée d'AWS consiste en effet pour les utilisateurs à abandonner le contrôle d'une partie de l'infrastructure sous-jacente. Cependant, les fournisseurs de services cloud tels qu'AWS continuent à investir des sommes importantes dans la sécurité de leurs services, avec pour objectif de rendre leur cloud plus sécurisé que ne le serait une infrastructure sur site.

Amazon propose une gamme de services complexe pour assurer la sécurité de certains déploiements spécifiques. Pour aider les utilisateurs à comprendre ces services d'un point de vue conceptuel, le modèle de sécurité partagée d'AWS précise quels contrôles sécurité sont de son ressort, et lesquels sont du ressort des clients.

Responsabilités d'AWS en matière de sécurité

En règle générale, AWS se considère comme responsable de la sécurité du cloud en lui-même, tandis que les clients sont chargés d'entretenir la sécurité de leurs instances respectives.

  • Infrastructure globale/matérielle AWS : cela comprend les zones périphériques, disponibles et régionales de l'infrastructure cloud d'Amazon. Sa sécurité repose sur une protection physique et sur une maintenance informatique constante.
  • Logiciels AWS (calcul, stockage, bases de données, réseau) : Amazon garantit une plateforme logicielle sécurisée sur l'ensemble de ses services. Cet aspect de la responsabilité d'Amazon est également valable pour les services de sécurité d'AWS conçus par Amazon et mis à disposition des clients. Cela peut comprendre notamment les clés de chiffrement, les outils de surveillance du réseau, la protection des bases de données, etc.

Responsabilités du client en matière de sécurité

La responsabilité en matière de contrôles de sécurité côté client dépend du service AWS cloud sélectionné. Lorsqu'un client choisit l'une des « infrastructures en tant que service » d'Amazon (EC2, VPC, S3), le client doit s'occuper de toutes les tâches de configuration et de gestion de la sécurité requises. Celles-ci comprennent notamment les responsabilités suivantes :

  • Données du client : protection des données d'entreprise côté réseau, lorsqu'elles entrent et sortent du service cloud.
  • Plateforme, applications, gestion des accès et des identités : le client est responsable de la maintenance et de la protection de la plateforme exécutée dans le cloud, et de tout ce qui en découle. Par exemple, lorsqu'un client s'occupe d'une boutique de vêtements en ligne, il est en charge de protéger les identités et comptes des consommateurs.
  • Chiffrement des données côté client : que cela se fasse avec une clé de chiffrement gérée par AWS ou par une clé personnelle non fournie par AWS.
  • Chiffrement du système de fichiers : dans le cadre de la protection des données au repos, le client peut utiliser un système de protection indépendant, ou bien utiliser la solution de protection du système de fichier fournie par AWS.
  • Protection du trafic réseau : il revient aux clients de garantir la sécurité de l'ensemble du trafic qui entre et sort du serveur.
  • Protection des services et des communications : le client est responsable du routage et du zonage des données au sein d'environnements de sécurité spécifiques.

Responsabilités partagées en matière de sécurité

AWS s'occupe des besoins propres à l'infrastructure tandis que le client doit mettre en œuvre ses propres contrôles dans le cadre de l'utilisation des services AWS :

  • Contrôles de l'informatique : non seulement les opérations informatiques sont partagées entre AWS et ses clients, mais la gestion et l'exploitation des contrôles le sont également. AWS peut participer à atténuer le poids de la gestion des méthodes de sécurité du client telles que la maintenance du firewall et le chiffrement au niveau du réseau, tout en supervisant le déploiement des contrôles du service informatique afin de s'assurer que les règles de sécurité AWS sont bien respectées.
  • Gestion des correctifs : AWS est responsable de l'application des correctifs sur l'infrastructure et en comble les éventuelles failles, mais le client est responsable des mises à jour de l'OS hôte et de ses applications.
  • Gestion de la configuration : AWS s'occupe de la configuration du matériel qui constitue son infrastructure, mais le client est responsable de la configuration de ses propres systèmes d'exploitation, bases de données et applications.
  • Formation et sensibilisation : AWS forme ses propres employés ; le client doit former les siens.
  • Propres aux clients : contrôles relevant de la seule responsabilité du client et fonctions de l'application qu'il déploie sur les services AWS.
  • Protection des services et des communications : ou Zone Security, qui peut exiger du client de router ou de zoner les données au sein d'environnements de sécurité spécifiques.

Pourquoi le modèle de sécurité partagé est important

Le modèle de responsabilité partagée d'AWS est conçu pour améliorer le niveau total de sécurité de l'infrastructure cloud d'Amazon. La formation des clients à la manière dont ils peuvent gérer et maintenir de solides protections pendant l'exploitation permet à la fois à Amazon et aux clients de ses Web Services de se sentir mieux protégés. Le caractère gagnant-gagnant de la sécurité partagée garantit à Amazon que ses équipes n'auront pas à s'occuper directement de chaque aspect de la sécurité, tandis que les clients sont rassurés sur le fait qu'Amazon peut s'adapter à leurs besoins particuliers en matière de sécurité. Pour garantir un modèle de sécurité efficace dans un contexte de responsabilité partagée, il est vital que les clients soient conscients de leur rôle et comprennent parfaitement les risques qu'implique le fait de faire confiance à un tiers.

Le fait de ne plus être contraint par une responsabilité intégrale aide grandement à réduire les coûts tout en améliorant la sécurité.

En savoir plus sur le modèle de sécurité partagée

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda propose deux produits pour sécuriser votre environnement AWS :

Barracuda CloudGen Firewall pour AWS fournit une protection réseau native aux réseaux hybrides et AWS. Il aide à garantir un accès fiable aux applications et aux données exécutées sur AWS et est pleinement compatible avec le scaling automatique et la facturation mesurée.

Barracuda CloudGen WAF for AWS protège les sites Web et les applications accessibles par le Web hébergés sur AWS contre plusieurs milliers de types d'attaques réseau. Il intègre automatiquement la sécurité à vos déploiements d'applications et accélère la livraison des applications.

Des questions sur lemodèle de responsabilité de la sécurité partagée d'AWS ? Contactez-nous dès maintenant.