Más contenido relacionado La actualidad más candente (20) Similar a Créer une architecture de sécurité et de gouvernance pour votre AWS Landing Zone (20) Más de Amazon Web Services (20) Créer une architecture de sécurité et de gouvernance pour votre AWS Landing Zone1. S O M M E T D U
S E C T E U R P U B L I C
O T T A W A
2. 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Structurer la sécurité et la gouvernance
dans votre AWS landing zone
Ryan Jaeger
Architecte de solutions
Amazon Web Services
James Juniper
Architecte de solutions
Ressources naturelles du Canada
Michel Crichton
Direction du Dirigeant principal de
l’information et de la sécurité
Ressources naturelles du Canada
3. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Au programme
Une entreprise prête à deployer son cadre de landing zone
Tour d’horizon du landing zone de Ressources naturelles Canada
Plan d'action et points de suivi
4. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Les TI avant
Robert – TI/responsable de la
sécurité
Développeurs
5. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
L’evolution des TI
Plus de Robert Plus de développeurs
6. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Désormais: le cloud vous simplifie la vie!
Pas plus de Robert Plus de développeurs!
7. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Un seul compte, isolé avec IAM et VPC
Zones grises
Plus compliqué et désordonné au fil du
temps
Difficile d'assurer la gestion des ressources
Les gens se marchent sur les pieds
Tout
8. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Compte de développeur séparé
La gestion des ressources ou des dépenses restent difficiles
Les problèmes d'isolement et de rayon de surveillance demeurent
Les développeurs se marchent quand même sur les pieds
Robert doit en plus gérer les IAM et les VPC
Dév Prod
9. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Le problème
Posture sur site pour le cloud
Héritage de l'époque des centres de données
La direction et les opérations ne font pas confiance
au développement avec accès complet
Les développeurs veulent travailler - Vraiment !
DévOps est une excellente idée
Les opérations ne peuvent se faire en même temps
10. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Besoin d’une nouvelle solution
Accès sans obstacles aux services SSFE
L’échec ne crée pas de dommage collatéral
Rayon de surveillance plus petit
Équipe d'exploitation formée d’architectes de l’infonuagique
Des ressources capables d'influencer la transformation numérique
Suivi des coûts et des ressources de A à Z (des individus aux
équipes)
Optimiser le code pour AWS
11. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Point de départ? Des développeurs de compte
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
12. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Point de départ? Des équipes responsables des
comptes
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
13. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Point de départ? Opérations
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe
Production Activation
de données
Dév/UAT
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
14. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Point de depart? Services partagés
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe
Production Activation
des données
Dév/UAT
Principal/Partagé
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
15. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Que sont les comptes partagés principaux?
Sécurité
Services partagés Archivage
Réseau
Principal/Partagé
16. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Partagé par un tiers
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe
Production Activation
des données
Dév/UAT
Principal/Partagé
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe principale/
partagé
Dév
principal/partagé
17. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Partagé par un tiers
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe Équipe/Groupe
Production Activation
des données
Dév/UAT
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Principale/Partagé
Équipe/Partagée
Dév/Partagée
18. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Une approche différente
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe Dév Équipe Dév Équipe Dév Équipe Dév Équipe Dév
Équipe/Partagée
Dév/Partagé
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur DéveloppeuDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DévelopDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe Prod Équipe Prod Équipe Prod Équipe Prod Équipe ProdProduction
Dév/UAT
Activation
des données
Principal/Partagé
19. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Vos propres ajouts
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
DéveloppeurDéveloppeur DéveloppeurDéveloppeur DéveloppeurDéveloppeurDéveloppeur DéveloppeurDéveloppeur Développeur
Équipe Dév Équipe Dév Équipe Dév Équipe Dév Équipe Dév
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe
Act/données
Équipe Prod Équipe Prod Équipe Prod Équipe Prod Équipe ProdProduction
Dév/UAT
Activation
des données
PersonnelPersonnel PersonnelPersonnel PersonnelPersonnelPersonnel PersonnelPersonnel Personnel
PersonnelPersonnel PersonnelPersonnel PersonnelPersonnelPersonnel PersonnelPersonnel Personnel
Personnel
Partagé
Dév/Partagé
Activation des
données/Partagée
Principal/Partagé
20. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Sécurité/Limites
Limites API/Entonnoir
Séparation comptable
Compte AWS
21. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Pourquoi un seul compte ne suffit pas?
Facturation
Plusieurs équipes
Sécurité / Contrôles
de conformité
Processus d’affaires
Isolement
22. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Protecteurs PAS Intercepteurs Auditable Flexible
Automatisé Évolutif Libre-service
Buts
23. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Sécurité des comptes : quelques considérations
Éxigences de base
Verrouiller
AWS Account Credential Management
(«compte source»)
Activer
Définir
Fédérer
Établir
Identifier
24. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Quels comptes devrais-je créer?
Sécurité Services partagés Facturation
Dév ProdSandbox AutrePré-Prod
Compte corporatif
Archivage Réseau
25. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
AWS Organizations : compte principal
AWS Organizations Master
Centre de données
Pas de connexion au centre de
données
Politiques de contrôle des
services
Facturation consolidée
Remise sur volume
Ressources minimales
Accès limité
Limitez le rôle des Orgs !
Chemin réseau
26. 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
SCP : Empêchez CloudTrail d'être désactivé
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": ”cloudtrail:StopLogging",
"Resource": "*"
}
]
}
27. 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
SCP : Pas de passerelle Internet pour Amazon Virtual Private
Cloud (Amazon VPC)
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:AttachInternetGateway”,
“ec2:CreateInternetGateway”,
“ec2:AttachEgressOnlyInternetGateway”,
“ec2:CreateVpcPeeringConnection”,
“ec2:AcceptVpcPeeringConnection"
],
"Resource": "*"
}
]
28. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Comptes principaux
Comptes principaux
AWS Organizations Master
Centre de
données
Fondation
Éléments d’architecture
Un pour chaque organisation
Cycle de vie de développement
propre (Dév/qa/prod)
Chemin réseau
29. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Compte Archivage
Comptes principaux
Archivage
Gestion des versions de
compartiments Amazon S3
Restreint
Supprimer FMA
Registre CloudTrail
Registre de sécurité
Une seule source de vérité
Alarme lors de la connexion de
l'utilisateur
Accès limité
AWS Organizations Master
Centre de
données
Chemin réseau
30. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Compte Sécurité
Comptes principaux
Archivage
Centre de
données
Connectivité au centre de
données (CD) en option
Outils et audit de
sécurité
GuardDuty Master
Lecture/écriture inter-
comptes
Outillage automatisé
Accès limité
Sécurité
AWS Organizations Master
Chemin réseau
31. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Compte Services partagés
Sécurité
Comptes principaux
Archivage
Centre de
données
Raccordement au CD
DNS
LDAP/Active Directory
Services partagés VPC
Outils de déploiement
AMI Or
Pipeline
Infrastructure d’analyse
Instances inactives
Balisages incorrects
Cycle de vie de
l'instantané
Surveillance
Accès limité
Services
partagés
AWS Organizations Master
Chemin réseau
32. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Compte Réseau
Sécurité
Comptes principaux
AWS Organizations Master
Services
partagés
Archivage
Chemin réseau
Centre de
données
Géré par l'équipe du
réseau
Services de mise en
réseau
AWS Direct Connect
Accès limité
Réseau
33. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
AWS Organizations Master
Chemin réseau
Développeur Sandbox
Sécurité
Comptes principaux
Réseau
Archivage
Pas de connexion au
CD
Espace d'innovation
Limite de dépenses
fixe
Autonome
Expérimentation
Développeur
Sandbox
Comptes
Développeur
Services
partagés
Centre de
données
34. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Chemin réseau
Comptes Groupe/Équipe
Développeur
Sandbox
Sécurité
Comptes principaux
AWS Organizations Master
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Basé sur le niveau
d'isolement nécessaire
Faites correspondre votre
cycle de vie de
développement
Approche à petits pas
Comptes Groupe/Équipe
35. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Chemin réseau
Dév
Développeur
Sandbox
Comptes Groupe/Équipe
Sécurité
Comptes principaux
AWS Organizations Master
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Développez et itérez
rapidement
Espace de
collaboration
Stade de SDLC
Dév
36. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Pré-Production
Développeur
Sandbox
Dév
Comptes Groupe/Équipe
Sécurité
Comptes principaux
AWS Organizations Master
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Raccordement au CD
Comme en production
Activation des données
Tests
Déploiement automatisé
Pré-Prod
Chemin réseau
37. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Production
Développeur
Sandbox
Dév Pré-Prod
Comptes Groupe/Équipe
Sécurité
Comptes principaux
AWS Organizations Masters
Services
partagés
Réseau
Archivage
Comptes
Développeur
Centre de
données
Raccordement au CD
Applications de
production
Issu de la Pré-Prod
Accès limité
Déploiements automatisés
Prod
Chemin réseau
38. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Chemin réseau
Équipe Services partagés
Développeur
Sandbox
Dév Pré-Prod
Comptes Groupe/Équipe
Sécurité
Comptes principaux
AWS Organizations Master
Services
partagés
Réseau
Archivage Prod
Comptes
Développeur
Centre de données
Croissance organique
Partagé avec l'équipe
Services communs
spécifiques aux produits
Lac de données
Outils communs
Services communs
Services
partagés
39. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Approche multi-compte
Développeur
Sandbox
Dév Pré-Prod
Comptes Groupe/Équipe
Sécurité
Comptes principaux
AWS Organizations Master
Services
partagés
Réseau
Archivage Prod
Services
partagés
Comptes
Développeur
Centre de
données
Orgs : Gestion de compte
Archivage: registre de sécurité
Sécurité : outils de sécurité, règles de
configuration AWS
Services partagés : répertoire, veille des
limites
Réseau : Direct Connect
Dév Sandbox: Expériences,
apprentissage
Dév : Développement
Pré-production : activation des données
Prod : Production
Équipe SS : Équipe Services partagés, Lac
de données
Chemin réseau
40. 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
41. 41
RNCAN : Introduction
• RNCAN fut parmi les premiers à adopter des services infonuagiques non
classifiés, négociés par Services partagés Canada
• Les secteurs de RNCAN provisionnent activement AWS pour leur fournir des
services non classifiés
• Le DHDPI de RNCAN est reponsable de la facilitation et de la surveillance de
l’utilisation que font les différents secteurs de RNCAN du cloud
• Vue la structure multisectorielle de RNCAN, la direction générale de
l'information et des services à l'enfance et à la famille avait besoin d'une
solution pour faciliter la gestion des comptes sectoriels de manière
uniforme et hiérarchique, et le AWS Landing Zone semblait précisément
répondre à ce besoin
42. 42
AWS Landing Zone - des avantages pour le
DGDPI de RNCan
1. L'architecture multi-comptes du AWS Landing Zone permet une
gestion centralisée du CIOSB :
• gérer la facturation de manière centralisée, tout en fournissant la ventilation nécessaire
par secteur
• assurer de façon centralisée la gestion des identités et des accès de RNCan en créant des
modèles et en automatisant la création de nouveaux comptes AWS
2. Les AWS Landing Zone sont dotées de contrôles de sécurité de base
fondés sur les pratiques exemplaires d’AWS, ce qui aidera à
respecter certains des contrôles de sécurité du GC requis pour les
zones à faible risque non classifiées (ULL).
3. L'enregistrement centralisé du AWS Landing Zone offrira la visibilité
nécessaire à la surveillance et au contrôle de la conformité
43. 43
4. RNCAN profite de la fonction d'automatisation et de modélisation
du Landing Zone pour mettre en œuvre les mesures de sécurité
supplémentaires requises afin de répondre aux exigences de
sécurité de la ULL.
5. RNCAN profite de comptes multiples du Landing Zone et des
modèles VPC pour développer un réseau de base conforme au ITSG-
38 (travaux en cours).
AWS Landing Zone - des avantages pour le
DGDPI de RNCan (suite)
45. 45
Plateforme géospatiale fédérale
PGF est le chef de file en geospatial pour le gouvernement du Canada.
Nous fournissons…
Accès facile aux données géospatiales “AAA” du GC
• Précis
• Accessible
• Autoritaire
Formats fondés sur des normes
• SFTP traditionnel
• Services web RESTful
• Métadonnées ISO
• OGC (Open Geospatial Consortium)
46. 46
Le cloud géocommunautaire de la PGF
• Le cloud géocommunautaire est déployé sur AWS et sera l'un des
premiers à profiter du AWS Landing Zone de RNCan.
• Fournit des environnements AWS sécurisés, gérés et multi-comptes
pour le déploiement de la solution GCC.
• Le cloud géocommunautaire représente l'étape suivante dans
l'évolution de PGF, axée sur l'établissement d'une infrastructure cloud
géo-optimisée en tant qu'offre PaaS.
• Le Centre d'excellence GéoCloud profitera à tous les ministères et
organismes du GC
47. 47
Le cloud géocommunautaire de la PGF
• 2017-18 PoC (complet)
• 2018-19 foundations– RNCAN GC SSC Brokered Cloud (complet)
• Solution de bloc de mémoire en pré-production
• DevOps utilise l’infrastructure comme code pour l’évolutivité et l’expansion
• Mise en oeuvre du LZ 2.x
• 2019-20
• Bloc de mémoire en production – juin 2019
• Occasions de co-location
• Stockage géospatial géré - hébergez vos propres données géospatiales!
• Prise en charge de portails multiples à partir d’un système de gestion de contenu commun
Potentiel d’innovation
• IA et le machine learning contre l’OT géospatiale + géospatiale intégré à la plateforme du GCC
comme service de technolologies géo pour le cloud
48. 48
OBJECTIFS 2019-20
• Offrir aux partenaires la possibilité d’adopter le cloud
géocommunautaire colocalisé.
• Calcul, visualisation et analyse de haute performance spécialisés pour
les charges de travail d'OT et de données spatiales
51. 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
52. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Approche multi-compte
Développeur
Sandbox
Dév Pré-Prod
Comptes Groupe/Équipe
Sécurité
Comptes principaux
AWS Organizations Master
Services
partagés
Réseau
Archivage Prod
Services
partagés
Comptes
Développeur
Centre de données
Orgs : Gestion de compte
Archivage : registre de sécurité
Sécurité : outils de sécurité, règles de
configuration AWS
Services partagés : répertoire, veille des
limites
Réseau : Direct Connect
Dév Sandbox : Expériences,
apprentissage
Dév : Développement
Pré-production : activation des données
Prod : Production
Équipe SS : Équipe Services partagés, Lac
de données
Chemin réseau
53. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Prochaines étapes
Définir la stratégie de balisage
Définir la stratégie d'automatisation
Créer un compte principal
Créer un compte Archivage
Créer un compte de sécurité
Créer un compte Services partagés
Créer un compte Développeur Sandbox
54. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Plan d’action
Créer un compte principal
• Créer un compartiment s3 temporaire pour les
registres CloudTrail
• Activer CloudTrail localement
• Activer la fonctionnalité complète
Créer un compte Archivage
• Créer un ou plusieurs compartiments pour les
registres de sécurité (CloudTrail, AWS Config)
• Activer la suppression MFA
• Activer la gestion des versions
• Définir la stratégie du compartiment à accès
limité
• Ajouter SCP pour empêcher la suppression du s3
• Backfill: Activer CloudTrail dans le compte principal
pour envoyer les registres à un compte Archivage
• Backfill: Copier les registres CloudTrail pour les
actions qui se sont produites entre la création du
compte principal et l’archivage.
Créer un compte Sécurité
• Backfill : Rôles transversaux de confiance vers le compte
Sécurité pour les comptes principaux et l’archivage
• Rôle de la lecture seule
• Rôle de la lecture/écriture (moins d’autorisations pour
l'hypothèse)
• <Liste de vérification>
• Créer des outils de sécurité/fonctions Lambda pour les
contrôles de sécurité
Créer un compte Services partagés
• <Liste de vérification>
• Connexion par DX/VPN à DC via DX/VPN
• Lancer des services communs
• Services de bottin
• Surveillance des limites
Créer un compte Réseau AWS
• Commandez votre Direct Connect
• <Liste de vérification>
55. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Liste de vérification
• Accréditations Secure Root MFA
• OTP
• U2F pourrait faciliter leur gestion
• https://aws.amazon.com/blogs/Sécurité/how-
to-create-and-manage-users-within-aws-sso/
• Mot de passe complexe
• Établir une politique de rotation
• Lien vers le compte principal de si vous n'êtes pas
déjà membre
• Utiliser l'adresse électronique ou le numéro de
téléphone du groupe comme coordonnées de
contact
• Activer CloudTrail dans toutes les régions,
envoyer au compte Archivage
• Activez GuardDuty dans toutes les régions
• Compte Sécurité en tant que GuardDuty master
• Opérationnaliser les résultats
• Activer AWS Config, envoyer au compte d'archivage
• Activer les règles de configuration AWS appropriées
• Chiffrement du compartiment s3
• s3 monde lecture/écriture
• cryptage ebs etc...
• Créer un rôle de sécurité en lecture seule pour les
comptes croisés
• Créer un rôle de sécurité inter-comptes en
lecture/écriture
• Créer un VPC (espace IP sans chevauchement)
• Permettre la fédération des comptes
• http://federationworkshopreinvent2016.s3-
website-us-east-1.amazonaws.com/
• Définir les rôles et les politiques d'accès
• Peer/Privatelink VPC avec Services partagés
• Ajout d'une politique pour les conditions
d’identification des préfixes à chaque compte - Par
exemple, refuser l'accès aux fonctions Lambda qui
commencent par "Sécurité*"
• Examiner l'analyse comparative des fondations de
CIS et en tirer parti au besoin
56. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
LA solution AWS Landing Zone
Une solution facile à déployer qui automatise la configuration de
nouveaux environnements AWS multi-comptes
Basé sur les
meilleures pratiques
et recommandations
AWS
Contrôles initiaux de
sécurité et de
gouvernance
Comptes de base et
distributeurs
automatiques de
comptes
Déploiement
automatisé
57. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Structure de base de AWS Landing Zone
Compte AWS Organizations
Compte Services partagés Archivage Sécurité
Compte AWS
Organizations
• Compte
d’approvisionnement
• Compre Accès (SSO)Compte Services partagés
• Bottin
• Registre des analyses
Compte Archivage
• Registre Sécurité
Compte Sécurité
• Audit / Break-glass
Magasin
de
paramètre
s
58. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Distributeur automatique de comptes
Catalogue de
services AWS
Distributeur automatique de comptes (Catalogue
des services AWS)
• Système de création de compte
• Interface utilisateur pour créer de
nouveaux comptes
• Version de l'état de configuration du
compte
• Contraintes de lancement
Crée/met à jour un compte AWS
Appliquer les ensembles de base des comptes
Créer une base de référence pour le réseau
Appliquer la politique de contrôle de la sécurité
du compte
Distributeur
automatique de
comptes
AWS
Organizations
Compte Sécurité
AWS
Compte
Archivage
AWS
Compte
Services
partagés
AWS
AWS
Compte New AWS
59. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Prochaines étapes
Définir la stratégie de balisage
Définir la stratégie d'automatisation
Créer un compte principal
Créer un compte Archivage
Créer un compte de sécurité
Créer un compte Services partagés
Créer un compte Développeur Sandbox
60. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Plan d’action
Créer un compte principal
• Créer un compartiment s3 temporaire pour les
registres CloudTrail
• Activer CloudTrail localement
• Activer la fonctionnalité complète
Créer un compte Archivage
• Créer un ou plusieurs compartiments pour les
registres de sécurité (CloudTrail, AWS Config)
• Activer la suppression MFA
• Activer la gestion des versions
• Définir la stratégie du compartiment à accès
limité
• Ajouter SCP pour empêcher la suppression du s3
• Backfill: Activer CloudTrail dans le compte principal
pour envoyer les registres à un compte Archivage
• Backfill: Copier les registres CloudTrail pour les
actions qui se sont produites entre la création du
compte principal et l’archivage.
Créer un compte Sécurité
• Backfill : Rôles transversaux de confiance vers le compte
Sécurité pour les comptes principaux et l’archivage
• Rôle de la lecture seule
• Rôle de la lecture/écriture (moins d’autorisations pour
l'hypothèse)
• <Liste de vérification>
• Créer des outils de sécurité/fonctions Lambda pour les
contrôles de sécurité
Créer un compte Services partagés
• <Liste de vérification>
• Connexion par DX/VPN à DC via DX/VPN
• Lancer des services communs
• Services de bottin
• Surveillance des limites
Créer un compte Réseau AWS
• Commandez votre Direct Connect
• <Liste de vérification>
61. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Liste de vérification
• Accréditations Secure Root MFA
• OTP
• U2F pourrait faciliter leur gestion
• https://aws.amazon.com/blogs/Sécurité/how-
to-create-and-manage-users-within-aws-sso/
• Mot de passe complexe
• Établir une politique de rotation
• Lien vers le compte principal de si vous n'êtes pas
déjà membre
• Utiliser l'adresse électronique ou le numéro de
téléphone du groupe comme coordonnées de
contact
• Activer CloudTrail dans toutes les régions,
envoyer au compte Archivage
• Activez GuardDuty dans toutes les régions
• Compte Sécurité en tant que GuardDuty master
• Opérationnaliser les résultats
• Activer AWS Config, envoyer au compte d'archivage
• Activer les règles de configuration AWS appropriées
• Chiffrement du compartiment s3
• s3 monde lecture/écriture
• cryptage ebs etc...
• Créer un rôle de sécurité en lecture seule pour les
comptes croisés
• Créer un rôle de sécurité inter-comptes en
lecture/écriture
• Créer un VPC (espace IP sans chevauchement)
• Permettre la fédération des comptes
• http://federationworkshopreinvent2016.s3-
website-us-east-1.amazonaws.com/
• Définir les rôles et les politiques d'accès
• Peer/Privatelink VPC avec Services partagés
• Ajout d'une politique pour les conditions
d’identification des préfixes à chaque compte - Par
exemple, refuser l'accès aux fonctions Lambda qui
commencent par "Sécurité*"
• Examiner l'analyse comparative des fondations de
CIS et en tirer parti au besoin
62. © 2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Conclusion
63. Merci!
2019, Amazon Web Services, Inc. ou ses filiales. Tous droits réservés.
S O M M E T D U
S E C T E U R
P U B L I C
Ryan Jaeger James Juniper Michel Crichton