Les services gérés AWS rationalisent l’innovation sécurisée

Tissé par Toyota, Inc. (anciennement Woven Planet Holdings, Inc.) représente un mélange soigneusement sélectionné d’expertise et de ressources dédiées à donner vie à la vision de « La mobilité d’aimer, la sécurité de vivre ». Woven compte trois sociétés d’exploitation, Woven Core, Woven Alpha et Woven Capital, qui se concentrent sur les progrès technologiques dans les technologies de conduite automatisée, créant des projets révolutionnaires comme Woven City et investissant dans des entreprises innovantes en phase de croissance. Pour soutenir ces initiatives, il faut une infrastructure solide qui rationalise le processus d’innovation.

Woven compte sur Amazon Web Services (AWS) pour sa base technologique et les équipes AWS expérimentées de NTT DATA pour l’aider à la gérer et à l’améliorer continuellement. Avec de nombreux comptes AWS déployés dans le cadre d’une solution libre-service interne, l’ensemble de l’organisation peut consommer des comptes automatisés, innovant ainsi rapidement.

Dans le cadre de ses efforts continus pour assurer la posture de sécurité la plus forte possible, Woven compte sur l’équipe NTT DATA pour renforcer ses pipelines d’infrastructure et sa gouvernance infonuagique et atteindre la conformité continue en matière de sécurité.

De plus, les équipes ont construit une structure d’intégration continue hautement sécurisée et de livraison continue/déploiement continu (CI/CD) à l’aide d’AWS CodePipeline. Il suit un modèle de menace que Woven a identifié et utilise pour contrer les compromis potentiels du système interne en livrant de manière sécurisée des ressources dans le compte de gestion.

Redéfinition des unités organisationnelles pour une sécurité élevée

En plus des approches technologiques en matière de sécurité, l’équipe de sécurité tissée a proposé et mis en œuvre une nouvelle structure organisationnelle pour renforcer la séparation entre la production, le développement et la mise en place. Cela fournit des divisions logiques supplémentaires dans la façon dont l’organisation disperse les comptes AWS.

Les équipes ont mis en œuvre les politiques de contrôle de service (SCP) AWS, des politiques à l’échelle de l’organisation qui aident à gérer les autorisations, pour créer une sécurité au niveau des limites. La nouvelle structure organisationnelle tire également parti des fonctionnalités d’AWS Organizations au sein de services tels que AWS CloudTrail, AWS Config et AWS CloudFormation StackSets.

Ces fonctionnalités fonctionnent comme un catalyseur pour automatiser et déployer des contrôles centralisés avec moins de frais de développement, fournissant un cadre simple, sécurisé et efficace. Cela permet aux ingénieurs de l’équipe de brancher les divers pipelines d’automatisation. Par exemple, l’équipe peut maintenant déployer des ensembles de piles à l’ensemble de l’organisation ou à un sous-ensemble de l’unité organisationnelle en utilisant le service de modèle de déploiement géré d’AWS CloudFormation dans le cadre de son ensemble de fonctionnalités d’organisation.

Atteindre la conformité continue

Avec les meilleures pratiques établies, la prochaine phase du projet a défini et développé des pipelines CI/CD sécurisés, y compris :le pipeline de compte de

• gestion pour déployer l’infrastructure en tant que code (IaC) au compte de gestion AWS.
  
• Les pipelines SCP pour déployer les SCP d’AWS au compte de gestion; l’équipe a également développé un pipeline SCP pour livrer et tester les SCP avant qu’ils ne soient déployés à l’aide d’un outil de simulation fourni par AWS appelé AWS IAM Policy Simulator.
  
• StackSets de pipelines qui déploie les pipelines d’Ia L’équipe fournit des solutions internes sécurisées sous forme d’ensembles de cheminées utilisant un pipeline StackSets. StackSets est un service basé sur AWS CloudFormation qui permet de déployer des piles entre les comptes et les unités organisationnelles vers des régions sélectionnées en tandem. Par exemple, l’équipe a livré un système qui assure la protection de toutes les catégories Amazon Simple Storage Service (Amazon S3) au sein de l’organisation à l’aide des paramètres d’accès au bloc public Amazon S3. Ce système garantit que les paramètres d’accès aux blocs publics d’Amazon S3 sont conformes à la norme de l’organisation, ce qui réduit la probabilité d’une violation de la sécurité des données de type « seau » d’Amazon S3.
  

Avec la construction de pipelines, les équipes ont concentré leur attention sur le maintien de la conformité continue de la sécurité avec les SCP et les ensembles de conformité déployés sous forme d’ensembles de piles. (Un pack de conformité est un ensemble de règles de configuration AWS et d’actions correctives, déployables en tant qu’entité unique dans un compte ou dans l’ensemble des organisations AWS.)

Avec des centaines de comptes AWS, il est important de s’assurer que les ressources déployées dans les organisations AWS sont sécurisées. Pour ce faire, les équipes définissent les normes de sécurité à l’aide d’AWS Config, ce qui aide Woven à définir des règles spécifiques. Selon ces règles, les équipes peuvent marquer les ressources comme étant conformes ou non conformes. À l’aide des packs de conformité AWS Config, NTT DATA aide à déployer plusieurs règles de configuration qui doivent être suivies pour la conformité et pour s’assurer que les ressources déployées dans les comptes répondent aux objectifs opérationnels et de sécurité de Woven.

Pour s’assurer que Woven dispose d’un cadre pour déployer ces vérifications de conformité de sécurité, l’équipe a conçu un système dans lequel les règles de configuration se déploient sous forme de packs de conformité. Les packs couvrent la conformité pour divers domaines, y compris le réseautage, le chiffrement, l’identité et l’accès, et la publication dangereuse.

Comme la remédiation manuelle des ressources peut être difficile, bon nombre des règles de configuration déployées à l’aide des packs de conformité prennent également en charge la remédiation automatique. L’équipe utilise les fonctions AWS de la solution pour effectuer une correction automatique et envoyer des notifications chaque fois qu’une ressource est identifiée comme non conforme aux règles de configuration déployées. La fonction de correction renforce la confiance des ingénieurs dans le système, car elle corrige automatiquement de nombreux comportements de non-conformité critiques, ce qui aide à surveiller et à contrôler le taux de non-conformité.

La surveillance et la gestion de la conformité avec AWS CloudTrail

Woven utilisent les paramètres AWS CloudTrail standard pour permettre un journal de tous les événements dans tous les comptes de l’organisation. De cette façon, lorsqu’un nouveau compte est créé, l’équipe n’a pas besoin d’activer AWS CloudTrail séparément. Chaque fois qu’un nouveau compte de membre est ajouté, l’équipe utilise la fonction AWS Organizations pour activer automatiquement la piste de l’organisation. Cela permet d’assurer des paramètres AWS CloudTrail cohérents entre les comptes. Woven utilise un seau Amazon S3 dans un compte de vérification distinct pour gérer centralement tous les journaux AWS CloudTrail.

Pour assurer la conformité de l’accès public Amazon S3, l’équipe a déployé un verrou d’accès public Amazon S3 strict en utilisant le cadre de livraison AWS CloudFormation StackSet. Maintenant, tout compte que l’organisation ajoute comprend également une solution AWS Rapha qui désactive les paramètres d’accès public Amazon S3 au niveau du compte. Cela sert à refuser l’accès public aux seaux Amazon S3, en traitant de manière proactive un problème de sécurité majeur.

Les équipes ont également travaillé ensemble pour élaborer une vérification de conformité budgétaire. La solution fait le suivi des dépenses dans les unités organisationnelles et envoie une alerte lorsqu’un compte Sandbox dépasse un certain seuil. Cette capacité aide Woven à assurer la conformité continue avec les contraintes budgétaires établies. Un système de notification intégré envoie une alerte Slack personnalisée aux titulaires de compte lorsqu’un seuil budgétaire est dépassé. Ces notifications stimulent la sensibilisation et la discipline sans interrompre l’innovation.

Benefits

Woven est maintenant convaincu que les comptes AWS sont bien protégés et conformes aux objectifs opérationnels et de sécurité établis. Une telle conformité continue aide Woven à assurer la normalisation dans l’ensemble des organisations AWS et donne à l’entreprise un contrôle centralisé sur les meilleures pratiques de sécurité infonuagique. Woven réalise tout cela tout en habilitant les ingénieurs grâce à des capacités libre-service qui leur permettent de déployer des comptes au besoin afin qu’ils puissent innover à la vitesse du marché.