AWS Security Whitepaper

Transcription

Présentation des procédures de sécurité d'Amazon Web Services
Mai 2011
Amazon Web Services : Présentation des procédures de sécurité
Mai 2011
(Pour accéder à la dernière version de ce document, veuillez consulter la page http://aws.amazon.com/security)
1
Mai 2011
Les services AWS (Amazon Web Services) délivrent une plate-forme d'informatique en nuage ajustable avec un haut
niveau de disponibilité et de sécurité de fonctionnement, offrant une flexibilité qui permet à nos clients de créer une
vaste gamme d'applications. Il est de la plus haute importance pour AWS de protéger la confidentialité, l'intégrité et la
disponibilité des systèmes et des données de ses clients, mais aussi de garder leur confiance. Ce document a pour but
de répondre à des questions telles que « Comment les services AWS m'aident-ils à protéger mes données ? ». Plus
spécifiquement, les procédures de sécurité physique et opérationnelle d'AWS sont décrites pour les infrastructures
réseau et serveur gérées par AWS, ainsi que les applications de sécurité spécifiques d'un service. Ce document donne
un aperçu de la sécurité par rapport à l'utilisation des services AWS dans les domaines suivants :
Environnement à responsabilité partagée
Environnement de commande : Récapitulatif
Principes d'une conception sécurisée
Sauvegarde
Surveillance
Information et communication
Cycle de vie des employés
Sécurité physique
Mécanismes de protection de l'environnement
Gestion de la configuration
Gestion de la continuité de l'activité
Sauvegardes
Isolement des anomalies
Fonctions de sécurité des comptes Amazon
Sécurité du réseau
Sécurité spécifique au service AWS
Sécurité d'Amazon Elastic Compute Cloud (Amazon EC2)
Amazon Virtual Private Cloud (Amazon VPC)
Sécurité d'Amazon Simple Storage Service (Amazon S3)
Sécurité d'Amazon SimpleDB
Sécurité d'Amazon Relational Database Service (Amazon RDS)
Sécurité d'Amazon Simple Queue Service (Amazon SQS)
Sécurité d'Amazon Simple Notification Service (SNS)
Sécurité d'Amazon CloudWatch
Sécurité d'Auto Scaling
Sécurité d'Amazon CloudFront
Sécurité d'Amazon Elastic MapReduce
2
Mai 2011
Environnement à responsabilité partagée
Lorsqu'un client décide de migrer son infrastructure informatique vers AWS, cela crée un modèle à responsabilité
partagée entre le client et AWS. Ce modèle atténue la charge opérationnelle qui pèse sur le client car les services AWS
exploitent, gèrent et commandent les composants depuis le système d'exploitation hôte jusqu'à la sécurité physique
des installations dans lesquelles les services sont exploités, en passant par la couche de virtualisation. Le client assume
notamment la responsabilité et la gestion, mais sans s'y limiter, du système d'exploitation « invité » (notamment les
mises à jour et les correctifs de sécurité), d'autres logiciels d'application connexes, de même que la configuration du
pare-feu du groupe de sécurité fourni par AWS. Les clients doivent choisir avec soin leurs services car leurs
responsabilités varient en fonction des services utilisés, de l'intégration de ces services dans leur environnement
informatique, ainsi que de la législation et de la réglementation applicables. Les clients ont la possibilité de renforcer
la sécurité et/ou de satisfaire à des exigences de conformité plus strictes en exploitant des technologies telles que les
pare-feux basés sur l'hôte, la détection/prévention des intrusions sur l'hôte, le cryptage et la gestion de clés. La nature
de cette responsabilité partagée offre, en outre, une flexibilité et un contrôle client permettant le déploiement de
solutions qui remplissent les exigences de certification spécifiques du secteur.
Environnement de commande : Récapitulatif
Les services AWS gèrent un environnement de commande complet qui inclut les règles, procédures et activités de
commande nécessaires pour la fourniture de chacune des offres de services Web. L'environnement de commande
collectif englobe les ressources humaines, les procédures et la technologie nécessaires pour maintenir un
environnement assurant l'efficacité des mesures de contrôle spécifiques et des cadres de commande pour lesquels
les services AWS sont certifiés et/ou auxquels ils sont conformes.
Les services AWS sont conformes à diverses certifications et attestations tierces, parmi celles-ci :
 SAS 70 Type II. Ce rapport inclut les mesures de contrôle détaillées mises en place par AWS, ainsi que l'avis
d'un vérificateur indépendant quant à l'application effective de celles-ci.
 PCI DSS Niveau 1. Les services AWS ont été jugés par des instances indépendantes conformes à la norme
relative à la sécurité des données PCI en tant que fournisseur de services sur hôte partagé.
 ISO-27001. Les services AWS ont décroché la certification ISO 27001 pour son Système de Management
de la Sécurité de l'Information (SMSI) couvrant l'infrastructure, les centres de données et les services.
 FISMA. Les services AWS permettent aux clients des agences gouvernementales américaines d'agir en
conformité avec le Federal Information Security Management Act (FISMA). Les services AWS ont reçu
l'autorisation d'agir au niveau FISMA-Low. Toutefois, les services AWS ont terminé la mise en œuvre du
contrôle et réussi les tests de sécurité indépendants ainsi que l'évaluation requise pour opérer au niveau
FISMA-Moderate. Il a donc été demandé aux agences gouvernementales l'autorisation pour les services
AWS d'intervenir au niveau FISMA-Moderate.
Par ailleurs, nos clients ont construit des applications pour le secteur de la santé qui sont conformes aux règles de
confidentialité et de sécurité HIPAA sur AWS.
Vous trouverez de plus amples informations concernant ces certifications et attestations tierces dans le livre blanc relatif
aux risques et à la conformité que vous pouvez consulter sur la page : http://aws.amazon.com/security.
Principes d'une conception sécurisée
Le processus de développement d'AWS se plie aux pratiques d'excellence en matière de développement de logiciels
sûrs, qui incluent des révisions conceptuelles en bonne et due forme par l'équipe en charge de la sécurité des services
AWS, la modélisation des menaces et l'évaluation des risques. Des outils d'analyse statique sont utilisés dans le cadre du
processus de construction standard, et tous les logiciels déployés sont soumis à des tests d'intrusion réalisés
3
Mai 2011
régulièrement par des spécialistes triés sur le volet. Nos examens d'évaluation des risques de sécurité débutent
lors de la phase de conception mais notre participation perdure du lancement jusqu'aux opérations courantes.
Surveillance
Les services AWS utilisent des systèmes de surveillance automatiques pour fournir un niveau d'exécution et de
disponibilité des services exceptionnel. Divers outils en ligne, à usage aussi bien interne qu'externe, assurent une
surveillance proactive. Les systèmes au sein des services AWS sont équipés d'une large panoplie de dispositifs
permettant de surveiller les principales métriques opérationnelles. Des alarmes sont configurées pour avertir le
personnel en charge des opérations et de la gestion dès le franchissement des seuils d'alerte précoce liés aux principales
métriques opérationnelles. Un planning de garde est utilisé de telle sorte qu'il y ait toujours du personnel disponible
pour répondre aux problèmes opérationnels. Cela comprend un système de bippeur permettant d'informer le personnel
opérationnel de manière rapide et fiable des alarmes qui se sont déclenchées.
Une documentation est tenue à jour afin d'aider et d'informer le personnel opérationnel dans la gestion des incidents
ou problèmes rencontrés. Si la résolution d'un problème devait nécessiter une collaboration, un système de conférence
prenant en charge des fonctions de communication et de journalisation sera utilisé. Des guides de téléconférence
formés facilitent la communication et la résolution des problèmes opérationnels gérés par collaboration. Des analyses
post-mortem sont réalisées après tout problème opérationnel majeur, indépendamment des répercussions extérieures,
et des documents COE (Cause of Error) sont rédigés afin de déterminer la cause profonde. Par la suite, des mesures
préventives sont prises. L'implémentation des mesures préventives fait l'objet d'un suivi lors de réunions
opérationnelles hebdomadaires.
Information et communication
AWS a mis en œuvre diverses méthodes de communication interne au niveau mondial afin d'aider ses employés à
comprendre les rôles et responsabilités qui incombent à chacun, et à communiquer sur les événements importants
en temps opportun. Ces méthodes incluent des programmes d'orientation professionnelle et de formation pour les
nouveaux collaborateurs, des réunions de gestion régulières pour informer de l'évolution de l'activité et d'autres sujets.
Des moyens électroniques comme la visioconférence, la messagerie électronique et la publication d'informations via
l'intranet Amazon sont utilisés.
AWS a également mis en place diverses méthodes de communication externe pour apporter son assistance à sa clientèle
et à la communauté de partenaires. Des mécanismes ont été instaurés afin d'avertir l'équipe d'assistance clientèle des
problèmes opérationnels perturbant les utilisateurs. Un tableau de bord « Service Health Dashboard » est notamment
disponible. Il est tenu à jour par l'équipe d'assistance clientèle afin d'avertir les clients des éventuels problèmes pouvant
avoir des répercussions majeures. Un Centre de sécurité et de conformité est également à disposition. Il procure aux
clients un point unique où obtenir des précisions en ce qui concerne la sécurité et la conformité s'agissant d'AWS.
Les clients peuvent souscrire à des offres Premium Support qui prévoient une communication directe avec l'équipe
d'assistance clientèle et des alertes proactives en réponse à tout problème ayant des répercussions au niveau
des clients.
Cycle de vie des employés
AWS a instauré des règles et des procédures en bonne et due forme afin de définir les normes minimales pour l'accès
logique aux hôtes d'infrastructure et de plate-forme AWS. AWS exige que les antécédents de tout membre du personnel
susceptible d'accéder aux données des clients fassent l'objet d'une vérification poussée (dans les limites prévues par la
loi), en adéquation avec leur poste et leur niveau d'accès. Les règles définissent également les responsabilités
fonctionnelles relatives à l'administration de l'accès logique et de la sécurité.
4
Mai 2011
Provisionnement des comptes
Les responsables de service, ainsi que les personnes en charge des ressources humaines et des activités de la société
se partagent la responsabilité de l'octroi des accès aux employés et aux sous-traitants.
Un compte employé ou sous-traitant désactivé standard, avec des privilèges minimum, est fourni lorsqu'un recruteur
remet son approbation. Le compte est automatiquement activé lorsque le dossier de l'employé est validé dans le
système de gestion des ressources humaines d'Amazon.
L'accès aux autres ressources (services, hôtes, périphériques réseau, groupes Windows et UNIX, etc.) doit être
explicitement approuvé dans le système de gestion des privilèges propriétaire d'Amazon par le responsable ou le
supérieur approprié. Tous les changements apportés dans l'outil de gestion des autorisations sont capturés dans
un audit. Si un employé vient à changer de poste, l'accès aux ressources doit être explicitement reconduit ou il sera
automatiquement révoqué.
Révision des comptes
Toutes les autorisations d'accès sont revues tous les 90 jours. Une reconduction explicite est nécessaire, faute de quoi
l'accès aux ressources sera automatiquement révoqué.
Retrait des accès
Tout accès est automatiquement révoqué lorsqu'il est mis fin au dossier de l'employé correspondant dans le système de
gestion des ressources humaines d'Amazon. Les comptes Windows et UNIX sont désactivés et le système de gestion des
autorisations d'Amazon supprime l'utilisateur de tous les systèmes.
Politique relative aux mots de passe
L'accès et l'administration de la sécurité logique d'Amazon sont basés sur des noms d'utilisateur, des mots de passe et le
protocole Kerberos pour authentifier les utilisateurs auprès des services, des ressources et des dispositifs, ainsi que pour
octroyer le niveau d'accès approprié aux utilisateurs. Le service AWS de sécurité a instauré une politique en matière de
mots de passe avec des configurations obligatoires et des délais d'expiration.
Sécurité physique
Amazon compte de nombreuses années d'expérience dans la conception, le développement et la gestion de centres de
données à grande échelle. Cette expérience a été mise à profit pour l'élaboration de la plate-forme et de l'infrastructure
d'AWS. Les centres de données AWS sont hébergés au sein d'installations sans descripteur. L'accès physique est
strictement contrôlé à la fois dans l'enceinte et aux points d'accès du bâtiment par des professionnels de la sécurité
utilisant la vidéosurveillance, des systèmes de détection d'intrusion et d'autres moyens électroniques. Le personnel
autorisé doit passer avec succès au moins deux authentifications bifactorielles pour pouvoir accéder aux étages des
centres de données. Tous les visiteurs et sous-traitants sont tenus de présenter une pièce d'identité et sont enregistrés
à leur arrivée, puis escortés en permanence par le personnel habilité.
AWS n'autorise l'accès aux centres de données et la diffusion d'informations en la matière qu'au personnel et aux soustraitants en ayant légitimement besoin dans le cadre de leurs activités professionnelles. Lorsqu'un employé n'a plus
besoin de tels privilèges pour remplir ses fonctions, son accès est immédiatement révoqué, même s'il fait toujours partie
d'Amazon ou d'Amazon Web Services. L'accès physique aux centres de données par le personnel d'AWS est consigné et
audité systématiquement.
5
Mai 2011
Mécanismes de protection de l'environnement
Les centres de données d'Amazon sont à la pointe de la technologie : ils utilisent des approches architecturales et
techniques novatrices.
Détection et extinction des incendies
Un équipement de détection et d'extinction automatique des incendies a été installé afin de réduire les risques. Le
système de détection des incendies utilise des détecteurs de fumée dans tous les centres de données, les sites abritant
l'infrastructure mécanique et électrique, les salles de refroidissement et les pièces renfermant les générateurs. Ces
zones sont protégées par des installations automatiques d'extinction par eau, des installations sous air de préaction
à double verrouillage ou des extincteurs automatiques à gaz.
Alimentation
Les systèmes d'alimentation en électricité des centres de données sont conçus de manière à être totalement redondants
et à ce que leur maintenance puisse être faite sans nuire à l'activité, 7 j/7 et 24 h/24. Des systèmes d'alimentation sans
coupure fournissent une alimentation de secours en cas de défaillance électrique pour les charges critiques et
essentielles dans les installations. Les centres de données utilisent des générateurs pour assurer une alimentation de
secours pour l'ensemble des installations.
Climat et température
Un système de conditionnement de l'air est nécessaire pour maintenir une température de service constante pour
les serveurs et autres matériels, ce qui empêche leur échauffement et réduit les risques d'interruption de service. Les
centres de données sont conçus de sorte que les conditions atmosphériques soient maintenues à des niveaux optimaux.
La température et l'humidité sont surveillées et régulées à des niveaux appropriés par le personnel et divers systèmes.
Gestion
AWS surveille les systèmes et les équipements électriques, mécaniques et de survie afin de repérer immédiatement
les éventuels problèmes. Une maintenance préventive est effectuée pour garantir l'efficacité opérationnelle continue
des équipements.
Gestion de la configuration
Les changements de configuration apportés à l'infrastructure AWS existante, notamment ceux réalisés en urgence et
non programmés, sont autorisés, consignés, testés, approuvés et documentés conformément aux normes sectorielles
portant sur des systèmes similaires. Les mises à jour de l'infrastructure d'AWS sont effectuées de manière à en limiter
l'impact éventuel sur le client et les services qu'il utilise. AWS informera les clients, soit par e-mail, soit par le biais de
l'AWS Service Health Dashboard (http://status.aws.amazon.com/) d'une possible perturbation du service.
Logiciels
AWS applique une approche systématique de la gestion des changements de telle sorte que tout changement apporté
aux services et ayant un impact pour les clients soit dûment examiné, testé, approuvé et signalé.
La procédure de gestion des modifications d'AWS vise à éviter les interruptions imprévues du service et à préserver
l'intégrité des services destinés aux clients. Les changements mis en œuvre dans les environnements de production
sont :
 Examinés : évaluations par des pairs des aspects techniques d'un changement.
 Testés : une fois appliqués, ils se comporteront comme prévu et n'auront aucune incidence négative
sur les performances.
 Approuvés : en donnant un aperçu approprié qui permet d'en comprendre l'impact sur l'activité.
6
Mai 2011
Les changements sont généralement appliqués à l'environnement de production dans le cadre d'un déploiement par
étapes, en commençant par les domaines où l'impact reste mineur. Les déploiements sont testés sur un seul système
et surveillés de près afin d'en évaluer l'impact. Les responsables de service disposent de plusieurs paramètres
configurables permettant de mesurer l'état de santé des composants dépendants en amont du service. Ces paramètres
sont étroitement surveillés grâce à la mise en place de seuils et de systèmes d'alerte. Des procédures de retour en
arrière sont documentées dans le ticket CM (Change Management).
Lorsque cela est possible, les changements sont programmés pour intervenir dans des fenêtres de changement
normales. Les changements apportés en urgence aux systèmes de production et nécessitant de s'écarter des procédures
standard de gestion des changements sont associés à un incident et sont dûment consignés et approuvés.
AWS effectue régulièrement des vérifications automatiques des changements apportés aux services critiques, afin d'en
contrôler la qualité, de maintenir un niveau élevé d'exigences et de contribuer à l'amélioration continue du processus
de gestion des changements. Les éventuelles exceptions sont analysées en vue d'en déterminer la cause profonde. Les
mesures appropriées sont également appliquées pour mettre le changement en conformité ou, au besoin, l'annuler. Par
la suite, des actions sont prises pour traiter le problème et y remédier, que celui-ci soit dû à un élément du processus ou
à un facteur humain.
Infrastructure
L'équipe Amazon en charge des applications d'entreprise développe et gère des logiciels pour automatiser les processus
informatiques pour des hôtes UNIX/Linux dans les domaines de la fourniture de logiciels tiers, des logiciels développés
en interne et de la gestion de la configuration. L'équipe Infrastructure tient à jour et exploite un cadre de gestion de la
configuration UNIX/Linux pour traiter l'évolutivité du matériel, la disponibilité, l'audit, ainsi que la gestion de la sécurité.
En centralisant la gestion des hôtes par l'intermédiaire de processus automatisés qui prennent en charge les
changements, la société peut atteindre ses objectifs : haute disponibilité, répétabilité, évolutivité, sécurité robuste
et reprise sur sinistre. Des ingénieurs système et réseau surveillent quotidiennement l'état de ces outils automatisés :
ils passent en revue les rapports pour réagir en cas d'incapacité des hôtes à obtenir ou à actualiser leur configuration et
leurs logiciels.
Un logiciel de gestion de la configuration développé en interne est installé en cas de mise à disposition d'un nouveau
matériel. Ces outils sont exécutés sur tous les hôtes UNIX pour valider leur configuration et le fait que le logiciel install é
est conforme aux normes déterminées par le rôle attribué à l'hôte en question. Ce logiciel de gestion de la configuration
permet également d'actualiser régulièrement les progiciels déjà installés sur l'hôte. Seul le personnel agréé, habilité par
le service d'autorisations, peut se connecter aux serveurs centraux de gestion de la configuration.
Gestion de la continuité de l'activité
L'infrastructure d'Amazon présente une haute disponibilité et fournit aux clients les fonctionnalités nécessaires pour
déployer une architecture informatique à tolérance de pannes. Les systèmes d'AWS ont été conçus pour tolérer les
pannes système ou matérielle avec un impact minimum pour le client. La gestion de la continuité de l'activité des
centres de données d'AWS est supervisée par le groupe en charge de l'infrastructure Amazon.
Disponibilité
Les centres de données sont construits sous forme de clusters dans diverses régions du monde. Tous les centres de
données sont en ligne et desservent des clients ; aucun n'est inactif. En cas de panne, le trafic des données client est
automatiquement réacheminé. Les applications de base sont déployées selon une configuration N+1 de manière à ce
que, en cas de défaillance d'un centre de données, la capacité soit suffisante pour permettre un équilibrage de charge
du trafic vers les autres sites.
7
Mai 2011
AWS offre à ses clients la flexibilité de placer des instances et de stocker des données dans plusieurs régions, mais aussi
parmi plusieurs zones de disponibilité dans chaque région. Chaque zone de disponibilité est conçue sous la forme d'une
zone de défaillance indépendante. En d'autres termes, les zones de disponibilité sont physiquement séparées au sein
d'une région métropolitaine classique et se trouvent dans des zones à très faible risque d'inondation (les catégories de
zones inondables spécifiques varient d'une région à l'autre). Outre des systèmes d'alimentation sans coupure discrets
et des générateurs de réserve sur place, chacune est alimentée par des réseaux électriques distincts à partir de services
indépendants afin de limiter les points de défaillance uniques. Les zones de disponibilité sont toutes reliées de manière
redondante à plusieurs fournisseurs de transit de niveau 1.
Les clients doivent structurer leur utilisation d'AWS pour profiter des multiples régions et zones de disponibilité. La
répartition des applications entre plusieurs zones de disponibilité permet de se prémunir contre la plupart des domaines
de défaillance, notamment les catastrophes naturelles et les défaillances système.
Réaction aux incidents
L'équipe de gestion des incidents d'Amazon utilise des procédures de diagnostic conformes aux normes du secteur
pour résoudre les problèmes lors d'événements ayant un impact sur l'activité. Des opérateurs assurent une couverture
24 h/24, 7 j/7 et 365 jours par an pour détecter les incidents et gérer leurs répercussions et leur résolution.
Analyse par les cadres à l'échelle de l'entreprise
Le groupe d'audit interne d'Amazon a récemment examiné les plans de résilience des services AWS, qui sont aussi
régulièrement analysés par les membres de l'équipe de direction et le comité d'audit du conseil d'administration.
Le 21 avril 2011, les clients d'EC2 ont été frappés par une interruption de service dans la région USA Est. Vous trouverez
plus de précisions dans l'article de synthèse sur cette interruption de service concernant Amazon EC2 et Amazon RDS
dans la région USA Est (http://aws.amazon.com/message/65648/).
Sauvegardes
Les données stockées dans Amazon S3, Amazon SimpleDB ou Amazon Elastic Block Store (EBS) sont stockées de manière
redondante sur plusieurs emplacements physiques dans le cadre de l'exécution normale de ces services et sans frais
supplémentaires. Amazon S3 et Amazon SimpleDB assurent la durabilité des objets en stockant plusieurs fois les
objets sur plusieurs zones de disponibilité lors de leur enregistrement initial, puis en les répliquant activement en
cas d'indisponibilité d'un périphérique ou de détection d'une corruption binaire. Les objets répliqués par Amazon EBS
sont stockés dans la même zone de disponibilité, et non sur plusieurs zones. Il est donc vivement conseillé aux clients
d'effectuer régulièrement des copies instantanées sur Amazon S3 afin de garantir la durabilité à long terme de leurs
données. Il est recommandé aux clients, dont les bases de données transactionnelles complexes et structurées utilisent
EBS, d'effectuer des sauvegardes sur Amazon S3 par le biais du système de gestion de base de données afin de
permettre de jalonner de points de reprise les journaux et les transactions réparties. AWS ne sauvegarde pas les
données conservées sur des disques virtuels associés à des instances en cours d'exécution sur Amazon EC2.
Mise hors service des dispositifs de stockage
Lorsqu'un dispositif de stockage est arrivé au terme de sa vie utile, les procédures d'AWS prévoient notamment une
mise hors service visant à empêcher l'exposition des données des clients à la vue de personnes non autorisées. AWS
utilise les techniques détaillées dans le manuel édité par le département américain de la défense, DoD 5220.22-M
(« National Industrial Security Program Operating Manual »), ou les recommandations NIST 800-88 (« Guidelines for
Media Sanitization ») pour détruire les données dans le cadre de la mise hors service. Si un matériel ne pouvait être mis
hors service à l'aide de ces procédures, il sera démagnétisé ou physiquement détruit conformément aux pratiques en
vigueur dans le secteur.
8
Mai 2011
AWS offre à ses clients la possibilité de placer des instances et de stocker des données dans plusieurs régions
géographiques. Chaque région constitue un ensemble indépendant de ressources AWS dans une zone géographique
déterminée. Les services AWS sont actuellement disponibles dans cinq régions : USA Est (Virginie du Nord), USA
Ouest (Californie du Nord), UE (Irlande), Asie-Pacifique (Singapour) et Asie-Pacifique (Tokyo). La région standard
américaine d'Amazon S3 inclut les infrastructures USA Est (Virginie du Nord) et celles de la partie occidentale de l'état
de Washington.
Le choix d'une région au sein d'une juridiction géographique acceptable pour le client offre de solides garanties
de remplir les obligations de confidentialité et de conformité liées au lieu, comme celles édictées par la Directive
européenne relative à la protection des données. Les données ne sont pas répliquées d'une région à l'autre, sauf
si le client y procède de manière proactive, permettant ainsi aux clients ayant de telles contraintes de placement
des données et de confidentialité de créer des environnements conformes. Il convient de noter que toutes les
communications entre les régions passent par une infrastructure Internet publique. Des méthodes de cryptage
appropriées doivent être utilisées pour protéger les données sensibles.
Dans une région donnée, Amazon EC2, Amazon EBS et Amazon Relational Database Service (RDS) permettent aux
clients de placer des instances et de stocker des données au sein de plusieurs zones de disponibilité. Pour en savoir
plus à propos de la disponibilité, consultez la section « Gestion de la continuité de l'activité ».
Amazon S3, Amazon SimpleDB, Amazon Simple Notification Service (SNS) et Amazon Simple Queue Service (SQS)
n'offrent pas le concept de zones de disponibilité aux clients. Avec ces services, les données sont automatiquement
stockées sur plusieurs périphériques parmi plusieurs installations au sein d'une même région.
Le schéma ci-dessous représente les régions et les zones de disponibilité dans chaque région pour Amazon EC2,
Amazon EBS et Amazon RDS.
9
Mai 2011
Région USA Est
(Virginie du Nord)
Zone de
disponibilité A
Région UE (Irlande)
Zone de
disponibilité B
Zone de
disponibilité A
Zone de
disponibilité B
Zone de
disponibilité C
Région USA Ouest
(Californie du Nord)
Zone de
disponibilité A
Zone de
disponibilité B
Région APAC
(Singapour)
Zone de
disponibilité A
Zone de
disponibilité B
Région APAC
(Tokyo)
Zone de
disponibilité A
Zone de
disponibilité B
Fonctions de sécurité des comptes Amazon
AWS offre à ses clients divers modes d'identification et d'accès sécurisé à leur compte AWS. Vous trouverez une liste
complète des informations d'identification prises en charge par AWS à la page Identifiants de sécurité sous Mon compte.
Nous fournissons aussi des options de sécurité additionnelles qui vous permettent de mieux protéger votre compte AWS
et d'en contrôler les accès : AWS Identity and Access Management (AWS IAM), AWS Multi-Factor Authentication
(AWS MFA) et rotation des clés d'accès.
AWS Identity and Access Management (AWS IAM)
AWS Identity and Access Management (AWS IAM) vous permet de créer des utilisateurs multiples et d'en gérer les
autorisations associées au sein du compte AWS correspondant. Un utilisateur est une identité (au sein d'un compte
AWS client) dotée d'identifiants de sécurité uniques qui peuvent être utilisés pour accéder aux services AWS. AWS IAM
élimine la nécessité de partager des mots de passe ou des clés d'accès, et facilite l'activation ou la désactivation de
l'accès d'un utilisateur selon les besoins.
AWS IAM permet aux clients d'implémenter des pratiques d'excellence en matière de sécurité, comme un droit d'accès
minimal, en octroyant des identifiants uniques à chaque utilisateur au sein du compte AWS associé et en accordant
uniquement le droit d'accéder aux services AWS et aux ressources nécessaires aux utilisateurs pour l'exécution de leur
travail. AWS IAM est un service sécurisé par défaut ; les nouveaux utilisateurs n'ont pas accès à AWS tant que les
autorisations ne sont pas explicitement accordées.
10
Mai 2011
AWS IAM permet aux clients de limiter l'utilisation de leurs informations d'identification au compte AWS. Toutes les
interactions avec les services et ressources AWS doivent, à la place, se faire avec des identifiants de sécurité utilisateur
AWS IAM. Vous trouverez plus d'informations à propos d'AWS Identity and Access Management (AWS IAM) sur le site
d'AWS : http://aws.amazon.com/iam/.
AWS Multi-Factor Authentication (AWS MFA)
AWS Multi-Factor Authentication (AWS MFA) est une couche supplémentaire de sécurité qui offre un contrôle renforcé
sur vos paramètres de compte AWS, ainsi que sur les services et ressources AWS auxquels votre compte est inscrit.
Lorsque les clients activent cette fonctionnalité d'inclusion, ils doivent fournir un code à usage unique à six chiffres en
plus de leur nom d'utilisateur et de leur mot de passe standard pour pouvoir accéder aux paramètres de leur compte
AWS ou aux services et ressources AWS. Ce code à usage unique est obtenu auprès d'un système d'authentification que
vous gardez (physiquement) en votre possession. C'est ce que l'on appelle l'authentification multi-facteurs : en effet,
deux facteurs sont vérifiés avant que l'accès ne soit octroyé. Les clients doivent fournir leur nom d'utilisateur (e-mail
Amazon dans le cas du compte AWS) et leur mot de passe (le premier « facteur » : élément connu de vous), mais aussi
le code précis fourni par leur dispositif d'authentification (le deuxième « facteur » : élément en votre possession). Les
clients ont la possibilité d'activer des dispositifs d'authentification multi-facteurs pour leur compte AWS, ainsi que pour
les utilisateurs qu'ils ont créés sous leur compte AWS avec AWS IAM.
Il est facile d'obtenir un tel dispositif d'authentification auprès d'un fournisseur tiers, puis de l'installer via le site Web
d'AWS. Vous trouverez plus d'informations sur l'authentification multi-facteur sur le site d'AWS :
http://aws.amazon.com/mfa/.
Rotation des clés d'accès
Pour les mêmes raisons qu'il est important de changer fréquemment votre mot de passe, AWS recommande aux clients
d'effectuer une rotation de leurs clés d'accès et certificats de façon régulière. Afin de le leur permettre sans impact
potentiel sur la disponibilité de leurs applications, AWS prend en charge de multiples clés et certificats d'accès
simultanés. Avec cette fonctionnalité, les clients peuvent effectuer une rotation des clés et certificats mis en/hors
service de façon régulière, sans interruption de leur application. Ceci peut aider à minimiser le risque de perte ou de
divulgation des clés ou certificats d'accès. L'API AWS IAM permet à un client d'effectuer une rotation des clés d'accès
à son compte AWS, ainsi que pour les utilisateurs créés sous son compte AWS à l'aide d'AWS IAM.
Sécurité du réseau
Le réseau AWS fournit une protection importante contre les problèmes traditionnels de sécurité du réseau et offre la
possibilité aux clients de renforcer davantage cette protection. En voici quelques exemples :
Attaques par saturation ou DDoS (Distributed Denial of Service)
Les points de terminaison des API (Application Programming Interface) AWS sont hébergés sur une grande infrastructure
Internet de niveau mondial qui bénéficie de la même expertise technique que celle qui a fait d'Amazon le plus grand
détaillant en ligne au monde. Des techniques propriétaires de limitation des risques DDoS sont utilisées. Les réseaux
d'AWS sont, en outre, multiconnectés entre plusieurs fournisseurs pour diversifier l'accès à Internet.
Attaques de l'homme du milieu (HDM) ou MITM (Man In the Middle)
L'ensemble des API AWS sont disponibles via des points de terminaison protégés par SSL qui permettent
l'authentification du serveur. Les AMI d'Amazon EC2 génèrent automatiquement de nouveaux certificats hôtes SSH lors
de l'amorçage initial et les consignent dans la console de l'instance. Les clients peuvent alors utiliser les API sécurisées
pour appeler la console et accéder aux certificats de l'hôte avant de se connecter pour la première fois à l'instance.
Les clients sont invités à utiliser le protocole SSL pour toutes leurs interactions avec AWS.
11
Mai 2011
Usurpation d'adresses IP
Les instances Amazon EC2 ne peuvent pas envoyer de trafic réseau avec des adresses usurpées. L'infrastructure de parefeu sur hôte commandée par AWS ne permet pas à une instance d'envoyer du trafic avec une autre adresse MAC ou IP
source que la sienne.
Balayage de ports
Les balayages de ports non autorisés par les clients d'Amazon EC2 enfreignent la politique d'utilisation acceptable
d'AWS. Les infractions à cette politique sont prises au sérieux, et toute infraction signalée fera l'objet d'une enquête.
Les clients peuvent signaler tout soupçon d'abus auprès des contacts indiqués sur notre site à l'adresse :
http://aws.amazon.com/contact-us/report-abuse/. Lorsqu'un balayage de ports illicite est détecté, il est arrêté et
bloqué. Les balayages des ports des instances Amazon EC2 sont généralement inefficaces puisque, par défaut, tous
les ports entrants sur celles-ci sont fermés et ne sont ouverts que par le client. La gestion rigoureuse par le client
des groupes de sécurité peut encore atténuer la menace d'un balayage de ports. Si le client configure le groupe de
sécurité afin d'autoriser le trafic depuis n'importe quelle source vers un port spécifique, ce port spécifique sera exposé
aux balayages de ports. Dans une telle situation, le client doit utiliser des mesures de sécurité appropriées pour
éviter que les services d'écoute qui peuvent être essentiels à son application ne soient découverts par un balayage
de ports illicite. Par exemple, le port 80 (HTTP) d'un serveur Web doit être clairement ouvert sur le monde, et
l'administrateur de ce serveur est responsable de la sécurité du logiciel serveur HTTP (Apache, par exemple). Les clients
sont en droit de demander d'effectuer des analyses de vulnérabilité afin de satisfaire à leurs obligations de conformité
spécifiques. Ces analyses doivent être limitées aux propres instances du client et ne doivent pas à aller à l'encontre
de la politique d'utilisation acceptable d'AWS. Il est possible d'initier une approbation avancée pour ce genre d'analyses
en soumettant une demande via le site à l'adresse :
https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest
Reniflage de paquets par d'autres utilisateurs
Une instance virtuelle tournant en mode espion ne peut pas recevoir ou « renifler » du trafic destiné à une autre
instance virtuelle. Si les clients peuvent placer leurs interfaces en mode espion ; pour autant, l'hyperviseur ne leur
adressera pas de trafic qui ne leur est pas destiné. Même deux instances virtuelles appartenant au même client et
chargées sur le même hôte physique ne peuvent pas écouter le trafic de l'autre. Des attaques comme celle par
empoisonnement du cache ARP ne fonctionnent pas dans Amazon EC2 et Amazon VPC. Même si Amazon EC2 assure
une large protection contre toute tentative par un client de voir, par mégarde ou par malveillance, les données d'un
autre, les clients devraient systématiquement crypter tout trafic sensible.
Sécurité d'Amazon Elastic Compute Cloud (Amazon EC2)
Dans Amazon EC2, la sécurité est assurée à plusieurs niveaux : le système d'exploitation (SE) du système hôte, le
système d'exploitation de l'instance virtuelle ou SE « invité », un pare-feu et des appels d'API signés. Chacun de ces
éléments exploite les capacités des autres. L'objectif est de se protéger contre l'interception des données contenues
dans Amazon EC2 par des utilisateurs ou des systèmes non autorisés et de fournir des instances Amazon EC2 qui soient
aussi sûres que possible, sans nuire à la flexibilité de la configuration exigée par les clients.
Sécurité à plusieurs niveaux
Système d'exploitation hôte : Les administrateurs devant, dans le cadre de leurs attributions, accéder au plan de
gestion doivent utiliser une authentification multi-facteurs pour pouvoir accéder aux hôtes d'administration spécialisés.
Ces hôtes d'administration sont des systèmes spécifiquement conçus, développés, configurés et renforcés pour protéger
le plan de gestion du nuage. Un tel accès est consigné et vérifié. Dès lors qu'un employé n'a plus de motif professionnel
d'accéder au plan de gestion, les autorisations et l'accès à ces hôtes et aux systèmes concernés sont révoqués.
12
Mai 2011
Système d'exploitation de l'invité : Les instances virtuelles sont entièrement commandées par le client. Les clients
disposent d'un accès à la racine ou d'un contrôle administratif complet sur les comptes, les services et les applications.
AWS n'a aucun droit d'accès aux instances des clients et ne peut se connecter au SE de l'invité. AWS recommande à ses
clients un ensemble élémentaire de pratiques d'excellence en matière de sécurité incluant la désactivation de l'accès
par mot de passe à leurs hôtes, et l'utilisation d'une forme quelconque d'authentification multi-facteurs pour accéder à
leurs instances (ou, au moins, un accès SSH, version 2, par certificat). Les clients devraient, en outre, utiliser un système
d'escalade des privilèges avec connexion selon l'utilisateur. Par exemple, si le SE invité est un système Linux, après avoir
renforcé la sécurité de leur instance, ils devraient utiliser un accès SSHv2 avec certificat pour l'instance virtuelle,
désactiver la connexion distante à la racine, utiliser la connexion par ligne de commande et la commande « sudo »
(exécuter en se substituant à l'utilisateur) pour l'escalade des privilèges. Les clients devraient générer leurs propres
paires de clés afin de garantir qu'elles soient uniques, et non partagées avec d'autres clients ou avec AWS.
Pare-feu : Amazon EC2 fournit une solution de pare-feu complète ; ce pare-feu obligatoire à l'entrée est configuré dans
un mode « tout interdire » par défaut et les clients Amazon EC2 doivent explicitement ouvrir les ports nécessaires pour
permettre le trafic entrant. Le trafic doit être limité par protocole, par port de service, ainsi que par adresse IP source
(IP individuelle ou bloc CIDR (Classless Inter-Domain Routing/routage inter-domaine sans classe)).
Le pare-feu peut être configuré en groupes, ce qui permet que différentes classes d'instances aient des règles distinctes.
Prenons, par exemple, le cas d'une application Web traditionnelle à trois niveaux. Les ports 80 (HTTP) et/ou 443 (HTTPS)
du groupe correspondant aux serveurs Web sont ouverts sur l'Internet. Le port 8000 (spécifique à une application) du
groupe correspondant aux serveurs d'application n'est accessible qu'au groupe de serveurs Web. Le port 3306 (MySQL)
du groupe correspondant aux serveurs de base de données est uniquement ouvert au groupe de serveurs d'application.
Ces trois groupes permettent un accès pour les tâches d'administration sur le port 22 (SSH), mais uniquement à partir
du réseau d'entreprise du client. Ce mécanisme explicite permet de déployer des applications très sécurisées. Reportezvous au schéma ci-dessous :
Le pare-feu n'est pas commandé par l'intermédiaire du SE invité, mais nécessite la clé et le certificat X.509 du client pour
autoriser les changements, ajoutant ainsi une couche supplémentaire de sécurité. AWS offre la possibilité d'octroyer un
accès granulaire à différentes fonctions administratives sur les instances et le pare-feu, permettant ainsi au client de
renforcer la sécurité en séparant les responsabilités. Le niveau de sécurité accordé par le pare-feu dépend des ports qui
13
Mai 2011
sont ouverts par le client, ainsi que de leur durée et de leur finalité. L'état par défaut consiste à interdire tout trafic
entrant, et les clients doivent soigneusement planifier ce qu'ils autoriseront lors de la réalisation et de la sécurisation
de leurs applications. Une gestion du trafic et une conception de la sécurité réfléchies restent nécessaires selon une
approche par instance. AWS encourage, par ailleurs, ses clients à mettre en place des filtres supplémentaires par
instance avec des pare-feux installés sur l'hôte, tels que IPtables ou Windows Firewall, et des réseaux privés virtuels.
Cela peut limiter le trafic entrant et le trafic sortant sur chaque instance. Les appels d'API pour lancer et mettre fin aux
instances, changer les paramètres du pare-feu et exécuter d'autres fonctions sont tous signés au moyen de la clé
d'accès secrète Amazon du client ; celle-ci peut correspondre soit à la clé d'accès secrète du compte AWS, soit à la clé
d'accès secrète d'un utilisateur créé avec AWS IAM. Sans connaître la clé d'accès secrète d'un client, il est donc
impossible de lancer des appels d'API EC2 en son nom. De plus, il est possible de crypter les appels d'API avec SSL
pour préserver la confidentialité. Amazon recommande de toujours utiliser des points de terminaison protégés par SSL
pour les API. AWS IAM permet aussi aux clients de mieux contrôler les API qu'un utilisateur créé avec AWS IAM a la
permission d'appeler.
L'hyperviseur
Profitant de la paravirtualisation (dans le cas d'invités Linux), Amazon EC2 utilise actuellement une version très
personnalisée de l'hyperviseur Xen. Comme les invités paravirtualisés s'en remettent à l'hyperviseur pour la prise en
charge d'opérations qui, normalement, exigent un accès privilégié, le SE invité ne bénéficie pas d'un niveau d'accès élevé
à l'UC. L'UC offre quatre modes de privilège distincts : numérotés de 0-3, ils sont appelés « anneaux ». L'anneau 0
représente le plus haut niveau de privilège et le 3, le plus bas. Le SE hôte est exécuté dans l'anneau 0. En revanche,
au lieu de s'exécuter dans l'anneau 0 comme le font la plupart des systèmes d'exploitation, le SE invité s'exécute dans
l'anneau 1, de moindre privilège, et les applications dans l'anneau 3, le plus bas niveau de privilège. Cette virtualisation
explicite des ressources physiques débouche sur une séparation claire entre invité et hyperviseur, ce qui se traduit par
un niveau supplémentaire de sécurité entre les deux.
Isolation des instances
Des instances différentes, exécutées sur la même machine physique, sont isolées les unes des autres par l'hyperviseur
Xen. Amazon est actif dans la communauté Xen, qui attire l'attention du public sur les derniers progrès en date. De plus,
le pare-feu AWS réside dans la couche de l'hyperviseur, entre l'interface réseau physique et l'interface virtuelle de
l'instance. Tous les paquets doivent transiter par cette couche ; les voisins d'une instance n'ont donc pas davantage
accès à celle-ci qu'un hôte sur Internet et peuvent être traités comme s'ils se trouvaient sur des hôtes physiques
séparés. La RAM physique est séparée au moyen de mécanismes du même type.
14
Mai 2011
Les instances du client n'ont pas accès aux disques bruts des dispositifs, mais se voient présenter à la place des disques
virtualisés. La couche de virtualisation des disques propriétaire d'AWS réinitialise automatiquement chaque bloc de
mémoire utilisé par le client, de sorte que les données d'un client ne sont jamais involontairement exposées à un autre.
AWS recommande aux clients de renforcer la protection de leurs données par des moyens appropriés. Une solution
courante consiste à exécuter un système de fichiers cryptés en plus du dispositif de disque virtualisé.
Sécurité d'Elastic Block Storage (Amazon EBS)
L'accès au volume Amazon EBS est limité au compte AWS qui a créé le volume et aux utilisateurs regroupés sous le
compte AWS créés à l'aide d'AWS IAM et disposant d'un accès aux opérations EBS. Il interdit ainsi à tous les autres
comptes AWS et aux autres utilisateurs de consulter ce volume ou d'y accéder. Toutefois, un client peut créer des
instantanés Amazon S3 de son volume Amazon EBS et permettre à d'autres comptes AWS d'utiliser ces instantanés
partagés comme base pour créer leurs propres volumes. Les clients ont aussi la possibilité de mettre des instantanés
d'un volume Amazon EBS à la disposition de tous les comptes AWS via un accès public. Partager des instantanés d'un
volume Amazon EBS ne donne pas à d'autres comptes AWS le droit de modifier ou de supprimer l'instantané initial car
ce droit est explicitement réservé au compte AWS qui a créé le volume. Un instantané EBS est une vue au niveau des
blocs d'un volume EBS tout entier. Certaines données qui ne sont pas visibles via le système de fichiers sur le volume,
comme les fichiers supprimés, peuvent figurer dans l'instantané EBS. Les clients qui veulent créer des instantanés
partagés doivent procéder avec précaution. Si leur volume a contenu des données sensibles ou si des fichiers en ont
été supprimés, ils doivent créer un nouveau volume EBS. Les données à inclure dans l'instantané partagé doivent être
copiées vers un nouveau volume, et l'instantané créé à partir de ce nouveau volume.
Les volumes Amazon EBS sont présentés au client sous forme de dispositifs à blocs non formatés bruts, qui ont été
nettoyés avant d'être mis à disposition. Les clients dont les procédures exigent que toutes les données soient nettoyées
selon une méthode spécifique, comme celles détaillées dans le document DoD 5220.22-M (« National Industrial Security
Program Operating Manual ») ou dans les recommandations NIST 800-88 (« Guidelines for Media Sanitization »), ont la
possibilité de le faire sur Amazon EBS. Pour se conformer à leurs obligations, les clients doivent effectuer une procédure
de nettoyage spécialisée avant de supprimer le volume. Le cryptage des données sensibles est généralement une bonne
pratique en matière de sécurité, et AWS encourage ses utilisateurs à crypter leurs données sensibles suivant un
algorithme conforme aux règles de sécurité qu'ils ont définies.
15
Mai 2011
Sécurité d'Amazon Virtual Private Cloud (Amazon VPC)
Dans Amazon Virtual Private Cloud, la sécurité commence avec la notion même de nuage privé virtuel (VPC) et couvre
jusqu'aux groupes de sécurité, y compris les listes des droits d'accès (LCA) réseau, le routage et les passerelles externes.
Chacun de ces éléments est complémentaire dans la création d'un réseau isolé et sécurisé, pouvant être étendu par
l'activation sélective d'un accès Internet direct ou d'une connectivité privée à un autre réseau. Les multiples niveaux de
sécurité dans Amazon VPC sont décrits ci-dessous. Un schéma vient ensuite mettre en évidence les corrélations entre les
différents composants d'Amazon VPC.
Sécurité à plusieurs niveaux
VPC : Chaque VPC constitue un réseau isolé distinct dans le nuage. Lors de la création de chaque VPC, une plage
d'adresses IP est sélectionnée par le client. Le trafic réseau au sein d'un VPC est isolé de celui de tous les autres VPC ;
plusieurs VPC peuvent donc utiliser des plages d'adresses IP se chevauchant (voire identiques), sans perte de cet
isolement. Par défaut, les VPC n'ont pas de connectivité externe. Les clients peuvent créer et adjoindre une passerelle
Internet, une passerelle VPN, ou les deux, pour établir une connectivité externe, sous réserve des mesures de
contrôle suivantes.
API : Les appels pour créer et supprimer des VPC, modifier le routage, le groupe de sécurité et les paramètres LCA
réseau, et exécuter d'autres fonctions, sont tous signés par la clé d'accès secrète Amazon du client, qui peut
correspondre soit à la clé d'accès secrète du compte AWS, soit à la clé d'accès secrète d'un utilisateur spécifique créé à
l'aide d'AWS IAM. Sans connaître la clé d'accès secrète du client, il est impossible de lancer des appels d'API Amazon VPC
au nom du client. De plus, il est possible de crypter les appels d'API avec SSL pour préserver la confidentialité. Amazon
recommande de toujours utiliser des points de terminaison protégés par SSL pour les API. AWS IAM permet aussi à un
client de mieux contrôler les API qu'un utilisateur nouvellement créé a la permission d'appeler.
Sous-réseaux : Les clients créent un ou plusieurs sous-réseaux dans chaque VPC ; chaque instance lancée dans le VPC est
connectée à un sous-réseau. Les attaques de sécurité traditionnelles sur la couche 2, notamment les mystifications MAC
ou ARP, sont bloquées.
Tables de routage et destinations : Chaque sous-réseau dans un VPC est associé à une table de routage, et tout le trafic
quittant un sous-réseau est traité par cette table de routage pour en déterminer sa destination.
Passerelle VPN : Une passerelle VPN permet une connectivité privée entre le VPC et un autre réseau. Le trafic réseau
à l'intérieur de chaque passerelle VPN est isolé du trafic réseau au sein de toutes les autres passerelles VPN. Les clients
peuvent établir des connexions VPN à la passerelle VPN à partir de périphériques de passerelle dans les locaux du client.
Chaque connexion est sécurisée par une clé pré-partagée conjointement à l'adresse IP du périphérique de passerelle
du client.
Passerelle Internet : Une passerelle Internet doit être adjointe à un VPC pour permettre une connectivité directe à
Amazon S3, à d'autres services AWS et à Internet. Chaque instance souhaitant avoir cet accès doit soit avoir une adresse
IP élastique qui lui est associée, soit acheminer le trafic par l'intermédiaire d'une instance NAT. Des chemins réseau
sont, en outre, configurés (voir ci-dessus) pour diriger le trafic vers la passerelle Internet. AWS fournit des AMI NAT de
référence qui peuvent être étendues par les clients pour effectuer une journalisation réseau, une analyse des paquets
en profondeur, un filtrage par couche applicative ou appliquer d'autres contrôles de sécurité.
Cet accès ne peut être modifié que par le déclenchement d'API Amazon VPC. AWS permet d'accorder un accès
granulaire à différentes fonctions d'administration sur les instances et la passerelle Internet, permettant ainsi au
client de renforcer la sécurité par la séparation des responsabilités.
16
Mai 2011
Instances Amazon EC2 : Les instances Amazon EC2 s'exécutant avec un VPC Amazon offrent tous les avantages décrits
plus haut relativement au système d'exploitation hôte, au système d'exploitation invité, à l'hyperviseur, à l'isolation des
instances et à la protection contre le reniflage de paquets.
Location : Les VPC permettent aux clients de lancer des instances Amazon EC2 qui sont physiquement isolées au niveau
matériel de l'hôte ; elles sont exécutées sur un matériel à un seul utilisateur locataire. Il est possible de créer un VPC
avec une location « dédiée », auquel cas toutes les instances lancées dans ce VPC utilisent cette fonctionnalité. Un VPC
peut aussi être créé avec une location « par défaut », mais les clients peuvent préciser une location « dédiée » pour des
instances particulières lancées dans sur ce VPC.
Pare-feu (groupes de sécurité) : A l'instar d'Amazon EC2, Amazon VPC prend en charge une solution de pare-feu
complète permettant un filtrage du trafic entrant et sortant d'une instance. Le groupe par défaut permet une
communication entrante à partir d'autres membres du même groupe et une communication sortante vers n'importe
quelle destination. Le trafic peut être limité selon un protocole IP ou par port de service et par adresse IP
source/destination (IP individuelle ou bloc CIDR (Classless Inter-Domain Routing/routage inter-domaine sans classe)).
Le pare-feu n'est pas commandé par le SE invité ; il ne peut être modifié que par le déclenchement d'API Amazon VPC.
AWS offre la possibilité d'octroyer un accès granulaire à différentes fonctions administratives sur les instances et le parefeu, permettant ainsi au client de renforcer la sécurité en séparant les responsabilités. Le niveau de sécurité accordé par
le pare-feu dépend des ports qui sont ouverts par le client, ainsi que de leur durée et de leur finalité. Une gestion du
trafic et une conception de la sécurité réfléchies restent nécessaires selon une approche par instance. AWS encourage,
par ailleurs, ses clients à mettre en place des filtres supplémentaires par instance en installant des pare-feux, tels que
IPtables ou Windows Firewall, sur les ordinateurs hôtes.
Listes de contrôle d'accès réseau : Pour ajouter une couche supplémentaire de sécurité au sein d'Amazon VPC, les
clients peuvent configurer des LCA réseau. Il s'agit de filtres de trafic statiques qui s'appliquent à tout le trafic entrant ou
sortant d'un sous-réseau au sein du VPC. Ces LCA peuvent contenir des règles ordonnancées pour autoriser ou interdire
le trafic en fonction du protocole IP ou par port de service et adresse IP source/destination.
Comme les groupes de sécurité, les LCA réseau sont gérées par des API Amazon VPC, ajoutant une couche
supplémentaire de protection et renforçant la sécurité par la séparation des responsabilités.
Sécurité des réseaux : Récapitulatif
Le schéma ci-dessous décrit comment les mesures de contrôle de sécurité citées interagissent de façon à constituer des
topologies de réseau flexibles, tout en garantissant un contrôle total sur les flux de trafic du réseau.
17
Mai 2011
Sécurité d'Amazon Simple Storage Service (Amazon S3)
Quel que soit le système de stockage partagé, la question la plus courante en matière de sécurité est de savoir si les
utilisateurs non autorisés peuvent accéder, accidentellement ou non, aux informations. Pour que les clients aient la
possibilité de déterminer comment, quand et à qui ils souhaitent exposer les informations qu'ils stockent dans AWS,
les API Amazon S3 comportent des mesures de contrôle d'accès par compartiment et par objet, avec des réglages par
défaut qui permettent uniquement un accès authentifié par le créateur du compartiment et/ou de l'objet. Sauf si le
client accorde un accès anonyme à ses données, avant qu'un utilisateur (c'est-à-dire, un compte AWS ou un utilisateur
créé avec AWS IAM) ne puisse accéder aux données, il doit authentifier sa demande au moyen d'une signature HMACSHA1 en utilisant la clé privée de l'utilisateur. Un utilisateur authentifié ne peut lire un objet que s'il a reçu une
autorisation de lecture dans une LCA (liste de contrôles d'accès) au niveau de l'objet. Un utilisateur authentifié ne peut
énumérer les clés ou écraser des objets dans un compartiment que s'il a reçu des autorisations de lecture et d'écriture
dans une LCA au niveau du compartiment ou grâce à des autorisations qui lui ont été accordées avec AWS IAM. Les LCA
aux niveaux Compartiment et Objet sont indépendantes ; un objet n'hérite pas des LCA de son compartiment. Les
autorisations de lecture ou de modification des LCA au niveau Compartiment ou Objet sont elles-mêmes commandées
par des LCA qui, par défaut, octroient un accès réservé au créateur. Le client conserve ainsi la maîtrise totale du choix
18
Mai 2011
des utilisateurs pouvant accéder à ses données. Les clients peuvent accorder l'accès à leurs données Amazon S3 à
d'autres comptes AWS par e-mail ou ID de compte AWS ou ID de produit DevPay. Les clients peuvent aussi accorder
l'accès à leurs données Amazon S3 à tous les comptes AWS ou à n'importe qui (en activant un accès anonyme).
Gestion des données
Pour une sécurité maximale, Amazon S3 est accessible par le biais de points de terminaison SSL. Les points de
terminaison cryptés sont accessibles à partir d'Internet et depuis Amazon EC2, de telle sorte que les données
sont transférées par voie sécurisée au sein d'AWS, mais aussi vers et depuis des sources extérieures à AWS.
Sécuriser les données « au repos » (stockées) implique une sécurité physique et le cryptage des données. Comme
détaillé dans la section « Sécurité physique », Amazon utilise plusieurs couches de mesures de sécurité physique pour
protéger les données « au repos » des clients. Par exemple, l'accès physique aux centres de données d'Amazon est limité
à une liste vérifiée de collaborateurs Amazon. Le cryptage des données sensibles est, de manière générale, une bonne
pratique en matière de sécurité, et AWS encourage ses utilisateurs à crypter leurs données sensibles avant de les
charger sur Amazon S3.
Lorsqu'un objet est supprimé d'Amazon S3, la suppression de la correspondance entre le nom public et l'objet
commence immédiatement, et son traitement est généralement réalisé sur l'ensemble du système distribué en
quelques secondes. Une fois la correspondance supprimée, l'accès à distance à l'objet supprimé n'existe plus.
L'emplacement mémoire sous-jacent est alors récupéré par le système pour être réutilisé.
Amazon S3 est conçu pour fournir une durabilité à 99,999999999 % et une disponibilité des objets à 99,99 % au cours
d'une année donnée. Les objets sont stockés de façon redondante sur plusieurs périphériques à travers plusieurs sites
au sein d'une même région Amazon S3. Pour assurer la durabilité, les fonctions PUT et COPY d'Amazon S3 stockent de
façon synchrone vos données sur plusieurs sites avant de renvoyer la valeur SUCCESS. Une fois stockés, Amazon S3 aide
à maintenir la durabilité de vos objets en détectant et réparant rapidement toute redondance perdue. Amazon S3 vérifie
aussi régulièrement l'intégrité des données stockées à l'aide de totaux de contrôle. Si un élément corrompu est détecté,
il est réparé avec des données redondantes. De plus, Amazon S3 calcule les totaux de contrôle sur tout le trafic du
réseau pour détecter des compartiments de données endommagés lors du stockage ou de la récupération des données.
Amazon S3 fournit encore plus de protection par l'intermédiaire du contrôle de version. Vous pouvez utiliser le contrôle
de version pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment
Amazon S3. Le contrôle de version permet de récupérer facilement les données à la fois en cas d'actions involontaires
des utilisateurs ou de défaillances applicatives. Par défaut, les demandes récupéreront la version écrite la plus récente.
Les versions plus anciennes d'un objet peuvent être récupérées en indiquant une version dans la demande. Vous pouvez
renforcer la protection de vos versions en utilisant la fonction de suppression MFA du contrôle de version d'Amazon S3 ;
une fois activée pour un compartiment S3, chaque demande de suppression d'une version doit inclure le code à six
chiffres et le numéro de série de votre dispositif d'authentification multi-facteurs.
Consignation des accès
Un compartiment Amazon S3 peut être configuré pour consigner les accès au compartiment et aux objets qu'il contient.
Le journal des accès contient des détails à propos de chaque demande d'accès, y compris le type de demande, la
ressource demandée, l'IP du demandeur et l'heure et la date de la demande. Lorsque la journalisation est activée pour
un compartiment, les enregistrements de consignation sont régulièrement regroupés en fichiers journaux et transférés
vers le compartiment Amazon S3 spécifié.
19
Mai 2011
Sécurité d'Amazon Simple Data Base (SimpleDB)
Les API Amazon SimpleDB offrent des mesures de contrôle au niveau du domaine qui permettent uniquement un accès
authentifié par le créateur du domaine ; le client conserve ainsi la maîtrise totale du choix des utilisateurs ayant accès à
ses données.
L'accès Amazon SimpleDB peut être accordé sur la base d'un ID de compte AWS. Une fois authentifié, un compte AWS
dispose d'un accès complet à toutes les opérations. L'accès à chaque domaine individuel est commandé par une liste
de contrôles d'accès indépendante qui met en correspondance les utilisateurs authentifiés avec les domaines qui leur
appartiennent. Un utilisateur créé avec AWS IAM a uniquement accès aux opérations et aux domaines pour lesquels il
a reçu une autorisation dans le cadre de la politique de sécurité.
Amazon SimpleDB est accessible via des points de terminaison à cryptage SSL. Les points de terminaison cryptés sont
accessibles depuis Internet et Amazon EC2. Les données stockées dans Amazon SimpleDB ne sont pas cryptées par
AWS ; toutefois, le client peut choisir de crypter ses données avant leur chargement sur Amazon SimpleDB. Ces attributs
cryptés ne pourront être récupérés que dans le cadre d'une opération GET. Ils ne peuvent être utilisés dans le cadre d'un
critère de filtrage des requêtes. Crypter les données avant de les envoyer à Amazon SimpleDB permet de protéger vos
données sensibles par rapport à toute personne qui chercherait à y accéder, y compris AWS.
Gestion des données Amazon SimpleDB
Lorsqu'un domaine est supprimé d'Amazon SimpleDB, la suppression de la correspondance du domaine commence
immédiatement, et son traitement est généralement réalisé sur l'ensemble du système distribué en quelques secondes.
Une fois la correspondance supprimée, il n'y a plus aucun accès à distance au domaine supprimé.
Lorsque des données correspondant à des éléments et des attributs sont supprimées d'un domaine, la suppression de
la correspondance à l'intérieur du domaine commence immédiatement, et son traitement est généralement réalisé en
quelques secondes. Une fois la correspondance supprimée, il n'y a plus aucun accès à distance aux données supprimées.
Cet emplacement mémoire est alors mis à disposition uniquement pour des opérations d'écriture et les données sont
remplacées par les nouvelles données stockées.
Sécurité d'Amazon Relational Database Service (Amazon RDS)
Amazon RDS vous permet de créer rapidement une instance de base de données relationnelle et d'adapter en souplesse
les ressources informatiques associées et la capacité de stockage en fonction des besoins de l'application. Amazon RDS
gère pour vous l'instance de base de données en effectuant des sauvegardes, en se chargeant du basculement et en
tenant à jour le logiciel de la base de données.
L'accès aux instances DB dans Amazon RDS est commandé par le client via les groupes de sécurité de base de données
qui sont similaires aux groupes de sécurité d'Amazon EC2, mais qui ne sont pas interchangeables. Par défaut, les groupes
de sécurité de base de données utilisent le mode « Tout interdire » et les clients doivent spécifiquement autoriser
l'accès au réseau. Il existe deux manières de procéder : autoriser une plage d'adresses IP réseau ou autoriser un groupe
de sécurité Amazon EC2 existant. Les groupes de sécurité de base de données permettent uniquement l'accès au port du
serveur de base de données (tous les autres ports sont bloqués) et peuvent être mis à jour sans redémarrer l'instance
DB d'Amazon RDS, ce qui permet au client de contrôler de manière transparente les accès à sa base de données.
AWS IAM permet au client de renforcer le contrôle des accès à ses instances DB RDS. AWS IAM lui permet de contrôler
les opérations RDS que chaque utilisateur AWS IAM est autorisé à appeler.
20
Mai 2011
Amazon RDS génère un certificat SSL pour chaque instance DB, ce qui permet aux clients de crypter leurs connexions
à une instance DB pour une sécurité renforcée.
Une fois qu'une API de suppression d'instance DB (DeleteDBInstance) Amazon RDS est exécutée, l'instance DB est
marquée en vue de sa suppression. Dès lors que l'instance ne présente plus le statut « suppression en cours », cela
signifie qu'elle a été supprimée. A ce stade, l'instance n'est plus accessible et, sauf si une copie instantanée finale a
été demandée, elle ne peut pas être restaurée et elle ne sera plus répertoriée par aucun outil ni aucune API.
Sécurité d'Amazon Simple Queue Service (Amazon SQS)
Amazon SQS est un service extensible et très fiable de mise en file d'attente des messages, qui permet une
communication par message asynchrone entre les différents composants distribués d'une application. Ces composants
peuvent être des ordinateurs ou des instances Amazon EC2, ou une combinaison des deux. Amazon SQS vous permet
d'envoyer un nombre quelconque de messages à une file d'attente Amazon SQS et ce, à tout moment et depuis
n'importe quel composant. Les messages peuvent être récupérés à partir de ce même composant ou d'un autre,
immédiatement ou ultérieurement (dans un délai de 4 jours). Les messages ont un haut niveau de durabilité : chaque
message est, en permanence, stocké dans des files d'attente à haute disponibilité et à haute fiabilité. Plusieurs
processus peuvent lire/écrire depuis/vers une file d'attente Amazon SQS simultanément sans aucune perturbation.
L'accès à Amazon SQS est accordé à un compte AWS ou à un utilisateur créé avec AWS IAM. Une fois authentifié,
le compte AWS dispose d'un accès complet à toutes les opérations utilisateur. Un utilisateur AWS IAM ne peut, en
revanche, accéder qu'aux opérations et aux files d'attente pour lesquelles un accès lui a été accordé via la politique de
sécurité. Par défaut, l'accès à une file d'attente donnée est limité au compte AWS qui l'a créée. Cependant, un client
peut autoriser un autre accès à la file d'attente, en utilisant soit une politique générée par SQS, soit une politique écrite
par l'utilisateur.
Amazon SQS est accessible via des points de terminaison à cryptage SSL. Les points de terminaison cryptés sont
accessibles depuis Internet et Amazon EC2. Les données stockées dans Amazon SQS ne sont pas cryptées par AWS ;
cependant, l'utilisateur peut crypter ses données avant de les charger sur Amazon SQS, à condition que l'application
utilisant la file d'attente comporte des moyens de décryptage du message récupéré. Crypter vos messages avant de
les envoyer à Amazon SQS permet de protéger vos données sensibles par rapport à toute personne qui chercherait
à y accéder, y compris AWS.
Sécurité d'Amazon Simple Notification Service (Amazon SNS)
Amazon Simple Notification Service (Amazon SNS) est un service Web qui facilite la configuration, l'exploitation et
l'envoi de notifications depuis le nuage. Il fournit aux développeurs une capacité hautement évolutive, flexible et
économique pour publier des messages depuis une application et les envoyer immédiatement aux abonnés
ou autres applications.
Amazon SNS fournit une interface de services Web simple qui peut être utilisée afin de créer des sujets à propos
desquels les clients souhaitent notifier des applications (ou des personnes), ou afin d'abonner des clients à ces sujets,
de publier des messages et de les envoyer sur le protocole choisi par les clients (c.-à-d., HTTP, e-mail, etc.). Amazon SNS
envoie des notifications aux clients en utilisant un mécanisme du « pousser » qui élimine le besoin de rechercher
périodiquement des nouvelles informations et mises à jour ou « d'interroger » pour les obtenir. Amazon SNS peut être
exploité pour créer des flux de travail et des applications de message extrêmement fiables et guidés par l'événement
(event-driven), sans avoir besoin de gestion d'application et de middleware complexes. Les utilisations potentielles pour
Amazon SNS incluent les applications de surveillance, les systèmes de flux de travail, les mises à jour d'informations à
caractère urgent, les applications mobiles et bien d'autres. Comme pour tous les Amazon Web Services, il n'y a pas
d'investissement initial et vous ne payez que les ressources que vous utilisez.
21
Mai 2011
Amazon SNS fournit des mécanismes de contrôle d'accès pour empêcher les accès non autorisés aux sujets et aux
messages. Les propriétaires de sujets peuvent définir des politiques pour leur sujet, afin de spécifier qui peut publier
ou s'abonner à un sujet. En outre, les propriétaires de sujet peuvent crypter les notifications en indiquant le protocole
HTTPS comme mécanisme d'envoi.
L'accès à Amazon SNS est accordé à un compte AWS ou à un utilisateur créé avec AWS IAM. Une fois authentifié,
le compte AWS dispose d'un accès complet à toutes les opérations utilisateur. Un utilisateur AWS IAM ne peut, en
revanche, accéder qu'aux opérations et aux sujets pour lesquels un accès lui a été accordé via la politique de sécurité.
Par défaut, l'accès à un sujet donné est limité au compte AWS qui l'a créé. Cependant, un client peut autoriser un autre
accès à un sujet, en utilisant soit une politique générée par SNS, soit une politique écrite par l'utilisateur.
Sécurité d'Amazon CloudWatch
Amazon CloudWatch est un service web qui fournit une surveillance pour les ressources en nuage AWS (AWS cloud
resources), en commençant avec Amazon EC2. Ce service web vous fournit une visibilité lors de l'utilisation de votre
ressource, la performance d'exploitation et les modalités d'achat – y compris des mesures telles que l'utilisation de
l'unité centrale, la lecture et l'écriture du disque et le trafic sur le réseau.
Amazon CloudWatch nécessite, comme tous les services AWS, que chaque demande faite à son API de commande soit
authentifiée de telle sorte que seuls les utilisateurs authentifiés puissent accéder au service CloudWatch et le gérer.
Les demandes sont authentifiées par une signature HMAC-SHA1 calculée à partir de la demande et de la clé privée de
l'utilisateur. De plus, l'API de commande d'Amazon CloudWatch est accessible uniquement via des points de terminaison
à cryptage SSL.
Un client peut renforcer le contrôle des accès à Amazon CloudWatch en créant des utilisateurs sous un compte AWS via
AWS IAM, et en gérant les opérations CloudWatch que les utilisateurs sont autorisés à appeler.
Sécurité d'Auto Scaling
Auto Scaling permet aux clients d'augmenter ou de réduire automatiquement leurs capacités Amazon EC2 en fonction
de critères qu'ils ont eux-mêmes définis, de telle sorte que le nombre d'instances Amazon EC2 qu'ils utilisent augmente
et diminue automatiquement de manière transparente, en fonction des pics et baisses de demande, afin de maintenir
un niveau de performance élevé tout en limitant les frais.
Auto Scaling nécessite, comme tous les services AWS, que chaque demande faite à son API de commande soit
authentifiée de telle sorte que seuls les utilisateurs authentifiés puissent accéder au service Auto Scaling et le gérer.
Les demandes sont authentifiées par une signature HMAC-SHA1 calculée à partir de la demande et de la clé privée
de l'utilisateur.
Un client peut renforcer le contrôle des accès à Auto Scaling en créant des utilisateurs sous un compte AWS via
AWS IAM, et en gérant les API d'Auto Scaling que les utilisateurs sont autorisés à appeler.
Sécurité d'Amazon CloudFront
Amazon CloudFront nécessite que chaque demande faite à son API de commande soit authentifiée de telle sorte
que seuls les utilisateurs authentifiés puissent créer, modifier ou supprimer leurs propres distributions dans Amazon
CloudFront. Les demandes sont authentifiées par une signature HMAC-SHA1 calculée à partir de la demande et de la
clé privée de l'utilisateur. De plus, l'API de commande d'Amazon CloudFront est accessible uniquement via des points
de terminaison à cryptage SSL.
22
Mai 2011
La durabilité des données conservées dans les emplacements périphériques d'Amazon CloudFront n'est pas garantie.
Il peut arriver que le service supprime des objets des emplacements périphériques si ces objets ne sont pas demandés
très fréquemment. La durabilité est fournie par Amazon S3, qui fait office de serveur d'origine pour Amazon CloudFront
et renferme les copies définitives et originales des objets fournis par Amazon CloudFront.
Pour contrôler qui peut télécharger du contenu depuis Amazon CloudFront, vous pouvez activer la fonction de contenu
privé du service. Cette fonction comporte deux composants : le premier contrôle la manière dont les emplacements
périphériques d'Amazon CloudFront accèdent à vos objets dans Amazon S3. Le deuxième contrôle la manière dont
le contenu est fourni depuis les emplacements périphériques d'Amazon CloudFront aux personnes qui le consultent
via Internet.
Pour contrôler l'accès aux copies originales de vos objets dans Amazon S3, Amazon CloudFront vous permet de créer
une ou plusieurs identités OAI (« Origin Access Identity ») et de les associer à vos distributions. Lorsqu'une identité
OAI est associée à une distribution Amazon CloudFront, la distribution utilisera cette identité pour récupérer des objets
depuis Amazon S3. Vous pouvez alors utiliser la fonction LCA d'Amazon S3, qui restreint l'accès à cette OAI uniquement,
de manière à ce que la copie originale de l'objet ne puisse être lue par tous.
Pour contrôler qui peut télécharger vos objets depuis des emplacements périphériques Amazon CloudFront, le service
utilise un système de vérification avec adresse URL signée. Pour utiliser ce système, vous devez d'abord créer une paire
clé privée/clé publique, et charger la clé publique sur votre compte via le site d'Amazon Web Services. Vous devez
ensuite configurer votre distribution Amazon CloudFront pour indiquer quels comptes sont autorisés à signer des
demandes (vous pouvez indiquer jusqu'à cinq comptes AWS auxquels vous faites confiance pour signer des demandes).
En outre, lorsque vous recevez des demandes, vous devez créer des règles indiquant les critères en fonction desquelles
vous voulez qu'Amazon CloudFront présente votre contenu. Ces règles peuvent spécifier le nom de l'objet qui est
demandé, la date et l'heure de la demande et l'adresse IP source (ou plage CIDR) du client formulant la demande. Vous
pouvez ensuite exécuter le codage RSA-SHA1 de votre règle et la signer à l'aide de votre clé privée. Pour terminer, vous
devez inclure à la fois la règle codée et la signature comme paramètres de la chaîne de requête lorsque vous référencez
vos objets. Lorsqu'Amazon CloudFront reçoit une demande, il décode la signature en utilisant votre clé publique.
Amazon CloudFront répondra uniquement aux demandes comportant une règle valable et la signature correspondante.
Le contenu privé est une fonction optionnelle qui doit être activée lorsque vous configurez votre distribution
CloudFront. Tout contenu livré sans que cette fonction ne soit activée pourra être lu par quiconque.
Amazon CloudFront offre aussi la possibilité de transférer du contenu sur une connexion cryptée (HTTPS) pour
authentifier le contenu livré à vos utilisateurs. Par défaut, Amazon CloudFront acceptera les demandes formulées sur les
protocoles HTTP et HTTPS.
Si vous préférez, vous pouvez aussi configurer Amazon CloudFront de manière à ce qu'il requière le protocole HTTPS
pour toutes les demandes et interdise toutes les demandes HTTP.
Dans le cas de demandes HTTPS, Amazon CloudFront utilisera également le protocole HTTPS pour récupérer votre objet
à partir d'Amazon S3, de manière à ce que votre objet soit crypté quel que soit le moment de sa transmission.
23
Mai 2011
Les journaux d'accès Amazon CloudFront contiennent un ensemble complet d'informations concernant les demandes de
contenu, y compris l'objet demandé, la date et l'heure de la demande, l'emplacement périphérique traitant la demande,
l'adresse IP du client, le référent et l'agent utilisateur. Pour activer les journaux d'accès, il suffit de préciser le nom du
compartiment Amazon S3 où stocker les journaux lorsque vous configurez votre distribution Amazon CloudFront.
Sécurité d'Amazon Elastic MapReduce (Amazon EMR)
Amazon Elastic MapReduce exige que chaque demande qui est adressée à ses API soit authentifiée de sorte que seuls les
utilisateurs authentifiés puissent créer, consulter ou mettre fin à leurs flux de travail. Les demandes sont authentifiées
par une signature HMAC-SHA1 calculée à partir de la demande et de la clé privée de l'utilisateur. Amazon Elastic
MapReduce fournit des points de terminaison SSL pour accéder à ses API de service Web et à la console.
Lors du lancement d'un flux de travail pour le compte d'un client, Amazon Elastic MapReduce configure un groupe de
sécurité Amazon EC2 du nœud maître pour uniquement autoriser un accès externe via SSH. Le service crée un groupe
de sécurité distinct des esclaves qui ne permet pas d'accès externe. Pour protéger les ensembles de données du client
en entrée et sortie, Amazon Elastic MapReduce transfère les données vers et depuis S3 en utilisant SSL.
24
Mai 2011
ANNEXE : GLOSSAIRE
AMI : une image machine Amazon ou AMI (Amazon Machine Image) est une image machine cryptée qui est stockée
dans Amazon S3. Elle contient toutes les informations nécessaires pour amorcer les instances du logiciel d'un client.
API : une API (Application Programming Interface) est, en informatique, une interface qui définit comment un logiciel
d'application peut demander des services auprès de bibliothèques et/ou de systèmes d'exploitation.
Authentification : l'authentification est le processus consistant à déterminer si quelqu'un ou quelque chose est bien
celui ou ce qu'il prétend être.
Zone de disponibilité : les emplacements Amazon EC2 sont composés de régions et de zones de disponibilité ou AZ
(Availability Zone). Les zones de disponibilité sont des lieux distincts qui sont conçus pour être isolés des défaillances
survenant dans les autres zones de disponibilité et fournir une connectivité réseau de faible latence et peu coûteuse aux
autres zones de disponibilité dans la même région.
Compartiment : un conteneur pour les objets stockés dans Amazon S3. Chaque objet est contenu dans un
compartiment. Par exemple, si l'objet nommé photos/puppy.jpg est stocké dans le compartiment johnsmith, il est
adressable en utilisant l'URL http://johnsmith.s3.amazonaws.com/photos/puppy.jpg.
Bloc CIDR : bloc de routage inter-domaine sans classe d'adresses IP.
EBS : Amazon Elastic Block Store (Amazon EBS) fournit des volumes de stockage de niveau Bloc à utiliser avec les
instances Amazon EC2. Les volumes Amazon EBS sont des stockages hors instances qui persistent indépendamment de
la vie d'une instance.
HMAC-SHA1 : en cryptographie, un code HMAC ou KHMAC (Keyed-Hash Message Authentication Code) est un type de
code d'authentification de message (MAC) calculé à l'aide d'un algorithme spécifique faisant intervenir une fonction de
hachage cryptographique combinée à une clé secrète. Comme tout code MAC, il peut être utilisé pour vérifier
simultanément l'intégrité des données et l'authenticité d'un message. Toute fonction de hachage cryptographique
itérative, comme MD5 ou SHA-1, peut être utilisée pour calculer un HMAC ; l'algorithme MAC obtenu est, selon le cas,
appelé HMAC-MD5 ou HMAC-SHA1. La qualité cryptographique du code HMAC dépend de la solidité cryptographique de
la fonction de hachage sous-jacente, de la taille et de la qualité de la clé, mais aussi de la longueur de la sortie de
hachage en bits.
Hyperviseur : un hyperviseur, également appelé Virtual Machine Monitor (VMM), est un logiciel de virtualisation de
plate-forme logicielle/matérielle permettant l'exécution simultanée de plusieurs systèmes d'exploitation su r un même
ordinateur hôte.
AWS IAM : AWS Identity and Access Management (AWS IAM) permet à un client de créer plusieurs utilisateurs et de
gérer les autorisations de chacun d'entre eux au sein du compte AWS associé.
Adresse IP : une adresse IP (Internet Protocol) est une étiquette numérique qui est attribuée aux dispositifs faisant
partie d'un réseau informatique utilisant le protocole Internet pour communiquer entre ses nœuds.
Usurpation d'adresses IP : création de paquets IP (Internet Protocol) avec une adresse IP source contrefaite, ce que l'on
appelle la mystification, dans le but de masquer l'identité de l'expéditeur ou d'usurper l'identité d'un autre système
informatique.
25
Mai 2011
Objet : entités fondamentales stockées dans Amazon S3. Les objets sont composés de données et de métadonnées
d'objet. La partie données est opaque pour Amazon S3. Les métadonnées sont un ensemble de paires nom-valeur
décrivant des objets. Elles incluent certaines métadonnées par défaut comme la date de la dernière modification et des
métadonnées HTTP standard comme le type de contenu. Le développeur peut aussi spécifier des métadonnées
personnalisées au moment du stockage de l'objet.
Paravirtualisation : en informatique, la paravirtualisation est une technique de virtualisation présentant une interface
logicielle à des machines virtuelles qui est similaire, mais pas identique, à celle du matériel sous-jacent.
Balayage de ports : le balayage de port est une série de messages envoyés par quelqu'un tentant de s'introduire dans
un ordinateur pour découvrir les services de réseau informatique, chacun étant associé à un numéro de port reconnu
ou réservé.
Service : fonctionnalité logicielle ou informatique fournie sur un réseau (EC2, S3, etc.).
Pare-feu dynamique : en informatique, un pare-feu dynamique (tout pare-feu effectuant une inspection dynamique de
paquets (SPI) ou une analyse dynamique) est un pare-feu qui garde la trace de l'état des connexions réseau (comme des
flux TCP, des communications UDP) le traversant.
Instance virtuelle : une fois une AMI lancée, le système en cours d'exécution qui est obtenu s'appelle une instance.
Toutes les instances basées sur la même AMI sont identiques au départ et les informations qui y stockées sont perdues
lorsqu'il est mis fin aux instances ou qu'elles connaissent une défaillance.
X.509 : en cryptographie, X.509 est une norme ITU-T pour une infrastructure à clé publique ou PKI (Public Key
Infrastructure) avec une authentification unique et une infrastructure de gestion des privilèges. La norme X.509 précise,
notamment, les formats standard pour les certificats de clé publique, les listes de révocation de certificat, les certificats
d'attribut et un algorithme de validation de chemin de certification.
26
Mai 2011
Changements depuis la dernière version (août 2010) :







Ajout de la section consacrée à AWS Identity and Access Management (AWS IAM)
Ajout de la section sur la sécurité d'Amazon Simple Notification Service (SNS)
Ajout de la section sur la sécurité d'Amazon CloudWatch
Ajout de la section sur la sécurité d'Auto Scaling
Mise à jour des informations sur Amazon Virtual Private Cloud (Amazon VPC)
Mise à jour des informations sur l'environnement de commande
Suppression de la section sur la gestion du risque (qui fait désormais l'objet d'un livre blanc distinct)
Changements depuis la dernière version (novembre 2009) :

Révision en profondeur
Changements depuis la dernière version (juin 2009) :




Modification de la section relative aux certifications et aux accréditations pour tenir compte de SAS 70
Ajout de la section sur Amazon Virtual Private Cloud (Amazon VPC)
Ajout de la section concernant les identifiants de sécurité afin de mettre en évidence l'authentification
multi-facteurs d'AWS et la rotation de clé
Ajout de la section sur la sécurité d'Amazon Relational Database Service (Amazon RDS)
Changements depuis la dernière version (sept. 2008) :














Ajout des principes de conception de la sécurité
Mise à jour des informations relatives à la sécurité physique et inclusion des vérifications de fond
Mise à jour de la section relative aux sauvegardes dans un souci de clarté par rapport à Amazon EBS
Mise à jour de la section relative à la sécurité d'Amazon EC2 afin d'inclure :
SSHv2 avec certificat
Groupe de sécurité à plusieurs niveaux : détails et schéma
Description de l'hyperviseur et schéma d'isolation des instances
Ajout d'informations sur la gestion de la configuration
Section consacrée à Amazon S3 mise à jour dans un souci de détail et de clarté
Ajout d'informations sur la mise hors service des dispositifs de stockage
Ajout d'informations sur la sécurité d'Amazon SQS
Ajout d'informations sur la sécurité d'Amazon CloudFront
Ajout d'informations sur la sécurité d'Amazon Elastic MapReduce
Notifications
© 2010-2011, Amazon.com, Inc. ou ses affiliés. Ce document est fourni à titre informatif uniquement. Il présente l'offre
de produits actuelle d'AWS à la date de publication de ce document, laquelle est susceptible d'être modifiée sans avis
préalable. Il incombe aux clients de procéder à leur propre évaluation indépendante des informations contenues dans
ce document et chaque client est responsable de son utilisation des produits ou services AWS, chacun étant fourni
« en l'état », sans garantie d'aucune sorte, qu'elle soit explicite ou implicite. Ce document ne crée pas de garanties,
représentations, engagements contractuels, conditions ou assurances à l'encontre d'AWS, de ses affiliés, fournisseurs
ou donneurs de licence. Les responsabilités et obligations d'AWS vis-à-vis de ses clients sont régies par les contrats AWS.
Le présent document ne fait partie d'aucun, et ne modifie aucun, contrat entre AWS et ses clients.
27

AWS Security Whitepaper

Transcription

Documents pareils

Carte Visa Récompenses Amazon.ca

Octobre 2014

Noel Thibaut 2010

lisez un chapitre

Entreposage des données sur AWS

Télécharger le livre blanc

Commerce électronique: une question de recette

AWS Storage Options

Vnunet.fr - e-Performance Observatory

Note de synthèse

Publier un livre numérique

Comment afficher les vignettes des couvertures des livres ou des