Retour au cours

AWS Security Services

Progression du cours0%

🚨 Services de sécurité AWS – Cours enrichi

🔹 AWS Certificate Manager (ACM)

But : Gérer automatiquement des certificats SSL/TLS pour sécuriser le trafic (HTTPS).

Exemple : Un site e-commerce sur un ALB utilise un certificat ACM gratuit pour chiffrer les communications.

Cas d’utilisation : Déployer rapidement HTTPS sans gérer soi-même les certificats (sites web, API Gateway, CloudFront).

CritèreDétails
IntégrationsALB, NLB, CloudFront, API Gateway, Elastic Beanstalk
CoûtGratuit (certificats publics), ACM Private CA payant
Difficulté⭐ Facile
Points positifsAuto-renouvellement, natif AWS
Points négatifsPas utilisable hors AWS, limité aux certificats SSL/TLS

🔹 AWS Key Management Service (KMS)

But : Gérer et protéger les clés de chiffrement.

Exemple : Une base RDS chiffrée avec une clé KMS gérée par le client pour conformité PCI-DSS.

Cas d’utilisation : Garantir le chiffrement au repos avec contrôle des clés (banques, santé, données sensibles).

CritèreDétails
IntégrationsS3, EBS, RDS, DynamoDB, Lambda, CloudTrail
Coût~1$/clé/mois + 0,03$/appel API
Difficulté⭐⭐ Moyen (policies IAM complexes)
Points positifsRotation automatique, compliance, intégré
Points négatifsCoût si usage massif, complexité de gestion

🔹 Amazon GuardDuty

But : Détecter menaces et comportements suspects via logs + ML.

Exemple : Alerte quand un EC2 communique avec une IP malveillante.

Cas d’utilisation : Surveillance continue sans SIEM à gérer.

CritèreDétails
IntégrationsCloudTrail, VPC Flow Logs, DNS logs, Security Hub
CoûtPay-as-you-go (selon volume de logs analysés)
Difficulté⭐ Facile (1 clic)
Points positifsDétection proactive, ML
Points négatifsFaux positifs possibles, coût sur gros volumes

🔹 AWS Inspector

But : Scanner vulnérabilités sur EC2 et images ECR.

Exemple : Détection d’une CVE critique sur ton instance Ubuntu.

Cas d’utilisation : Scans réguliers de sécurité, intégration CI/CD.

CritèreDétails
IntégrationsEC2, ECR, Security Hub
CoûtPay-as-you-go (par instance ou image)
Difficulté⭐⭐ Moyen
Points positifsDétection automatisée, intégrable CI/CD
Points négatifsPas de correction auto, coût élevé si scans fréquents

🔹 Amazon Macie

But : Analyser S3 pour trouver des données sensibles (PII, cartes bancaires).

Exemple : Macie détecte des numéros de carte bancaire exposés.

Cas d’utilisation : Conformité RGPD, PCI, HIPAA.

CritèreDétails
IntégrationsS3, Security Hub
CoûtPay-as-you-go (Go scannés + objets analysés)
Difficulté⭐⭐ Moyen
Points positifsDétection automatique de données sensibles
Points négatifsLimité à S3, coûteux sur gros datasets

🔹 AWS Security Hub

But : Centraliser les findings sécurité et conformité.

Exemple : Security Hub montre que 3 règles PCI DSS ne sont pas respectées.

Cas d’utilisation : Vision unifiée sécurité multi-services/comptes.

CritèreDétails
IntégrationsGuardDuty, Inspector, Macie, Config, IAM Analyzer
CoûtPay-as-you-go (findings + checks)
Difficulté⭐⭐ Moyen
Points positifsVue globale, conformité intégrée
Points négatifsCoût supplémentaire, pas de mitigation directe

🔹 AWS WAF

But : Protéger applis web contre SQLi, XSS, bots.

Exemple : Un site sur CloudFront bloque des injections SQL.

Cas d’utilisation : Apps exposées au web nécessitant filtrage HTTP.

CritèreDétails
IntégrationsCloudFront, ALB, API Gateway, AppSync
CoûtPay-as-you-go (règles + requêtes filtrées)
Difficulté⭐⭐ Moyen
Points positifsProtection fine L7, règles gérées dispo
Points négatifsFaux positifs si règles mal configurées

🔹 AWS Shield

But : Protection contre DDoS (L3/L4).

Exemple : Shield Standard absorbe une attaque sur CloudFront.

Cas d’utilisation : Toute appli publique (Standard inclus ; Advanced = pour besoins critiques).

CritèreDétails
IntégrationsCloudFront, ALB, Route 53, Global Accelerator
CoûtStandard gratuit ; Advanced = 3000$/mois
Difficulté⭐ Facile (Standard) / ⭐⭐⭐ Complexe (Advanced)
Points positifsProtection incluse par défaut, SLA avancé dispo
Points négatifsAdvanced coûteux, réservé grands comptes

🔹 AWS Network Firewall

But : Firewall managé au niveau VPC (stateful, inspection profonde).

Exemple : Blocage de trafic sortant vers domaines de phishing.

Cas d’utilisation : Politiques réseau avancées multi-VPC.

CritèreDétails
IntégrationsVPC, Transit Gateway, subnets
CoûtPay-as-you-go (endpoints + trafic inspecté)
Difficulté⭐⭐⭐ Complexe
Points positifsInspection profonde, filtrage avancé
Points négatifsPlus complexe que SG/NACL, coût élevé

🔹 AWS IAM Access Analyzer

But : Analyser les policies pour détecter ressources exposées publiquement.

Exemple : Alerte si un bucket S3 est lisible par "Everyone".

Cas d’utilisation : Éviter les fuites accidentelles.

CritèreDétails
IntégrationsS3, IAM, KMS, Lambda, Secrets Manager
CoûtGratuit
Difficulté⭐ Facile
Points positifsDétection immédiate d’expositions
Points négatifsAnalyse limitée à certaines ressources

🔹 AWS CloudTrail

But : Journaliser toutes les actions API.

Exemple : Retrouver quel admin a supprimé une table DynamoDB.

Cas d’utilisation : Audit, forensic, alerting.

CritèreDétails
IntégrationsTous services AWS, S3, CloudWatch, EventBridge
CoûtPay-as-you-go (stockage + events)
Difficulté⭐ Facile
Points positifsAudit complet, indispensable
Points négatifsGros volume de logs, peut coûter cher

🔹 AWS Config

But : Suivre la configuration et vérifier conformité.

Exemple : Config détecte un bucket S3 public en violation de la règle.

Cas d’utilisation : Conformité ISO, PCI, RGPD.

CritèreDétails
IntégrationsS3, EC2, IAM, RDS, Security Hub
CoûtPay-as-you-go (ressources évaluées + règles)
Difficulté⭐⭐ Moyen
Points positifsHistorique complet, conformité automatisée
Points négatifsCoût élevé si beaucoup de ressources
AWS Comparaison des donnees