🚨 Services de sécurité AWS – Cours enrichi
🔹 AWS Certificate Manager (ACM)
But : Gérer automatiquement des certificats SSL/TLS pour sécuriser le trafic (HTTPS).
Exemple : Un site e-commerce sur un ALB utilise un certificat ACM gratuit pour chiffrer les communications.
Cas d’utilisation : Déployer rapidement HTTPS sans gérer soi-même les certificats (sites web, API Gateway, CloudFront).
| Critère | Détails |
|---|---|
| Intégrations | ALB, NLB, CloudFront, API Gateway, Elastic Beanstalk |
| Coût | Gratuit (certificats publics), ACM Private CA payant |
| Difficulté | ⭐ Facile |
| Points positifs | Auto-renouvellement, natif AWS |
| Points négatifs | Pas utilisable hors AWS, limité aux certificats SSL/TLS |
🔹 AWS Key Management Service (KMS)
But : Gérer et protéger les clés de chiffrement.
Exemple : Une base RDS chiffrée avec une clé KMS gérée par le client pour conformité PCI-DSS.
Cas d’utilisation : Garantir le chiffrement au repos avec contrôle des clés (banques, santé, données sensibles).
| Critère | Détails |
|---|---|
| Intégrations | S3, EBS, RDS, DynamoDB, Lambda, CloudTrail |
| Coût | ~1$/clé/mois + 0,03$/appel API |
| Difficulté | ⭐⭐ Moyen (policies IAM complexes) |
| Points positifs | Rotation automatique, compliance, intégré |
| Points négatifs | Coût si usage massif, complexité de gestion |
🔹 Amazon GuardDuty
But : Détecter menaces et comportements suspects via logs + ML.
Exemple : Alerte quand un EC2 communique avec une IP malveillante.
Cas d’utilisation : Surveillance continue sans SIEM à gérer.
| Critère | Détails |
|---|---|
| Intégrations | CloudTrail, VPC Flow Logs, DNS logs, Security Hub |
| Coût | Pay-as-you-go (selon volume de logs analysés) |
| Difficulté | ⭐ Facile (1 clic) |
| Points positifs | Détection proactive, ML |
| Points négatifs | Faux positifs possibles, coût sur gros volumes |
🔹 AWS Inspector
But : Scanner vulnérabilités sur EC2 et images ECR.
Exemple : Détection d’une CVE critique sur ton instance Ubuntu.
Cas d’utilisation : Scans réguliers de sécurité, intégration CI/CD.
| Critère | Détails |
|---|---|
| Intégrations | EC2, ECR, Security Hub |
| Coût | Pay-as-you-go (par instance ou image) |
| Difficulté | ⭐⭐ Moyen |
| Points positifs | Détection automatisée, intégrable CI/CD |
| Points négatifs | Pas de correction auto, coût élevé si scans fréquents |
🔹 Amazon Macie
But : Analyser S3 pour trouver des données sensibles (PII, cartes bancaires).
Exemple : Macie détecte des numéros de carte bancaire exposés.
Cas d’utilisation : Conformité RGPD, PCI, HIPAA.
| Critère | Détails |
|---|---|
| Intégrations | S3, Security Hub |
| Coût | Pay-as-you-go (Go scannés + objets analysés) |
| Difficulté | ⭐⭐ Moyen |
| Points positifs | Détection automatique de données sensibles |
| Points négatifs | Limité à S3, coûteux sur gros datasets |
🔹 AWS Security Hub
But : Centraliser les findings sécurité et conformité.
Exemple : Security Hub montre que 3 règles PCI DSS ne sont pas respectées.
Cas d’utilisation : Vision unifiée sécurité multi-services/comptes.
| Critère | Détails |
|---|---|
| Intégrations | GuardDuty, Inspector, Macie, Config, IAM Analyzer |
| Coût | Pay-as-you-go (findings + checks) |
| Difficulté | ⭐⭐ Moyen |
| Points positifs | Vue globale, conformité intégrée |
| Points négatifs | Coût supplémentaire, pas de mitigation directe |
🔹 AWS WAF
But : Protéger applis web contre SQLi, XSS, bots.
Exemple : Un site sur CloudFront bloque des injections SQL.
Cas d’utilisation : Apps exposées au web nécessitant filtrage HTTP.
| Critère | Détails |
|---|---|
| Intégrations | CloudFront, ALB, API Gateway, AppSync |
| Coût | Pay-as-you-go (règles + requêtes filtrées) |
| Difficulté | ⭐⭐ Moyen |
| Points positifs | Protection fine L7, règles gérées dispo |
| Points négatifs | Faux positifs si règles mal configurées |
🔹 AWS Shield
But : Protection contre DDoS (L3/L4).
Exemple : Shield Standard absorbe une attaque sur CloudFront.
Cas d’utilisation : Toute appli publique (Standard inclus ; Advanced = pour besoins critiques).
| Critère | Détails |
|---|---|
| Intégrations | CloudFront, ALB, Route 53, Global Accelerator |
| Coût | Standard gratuit ; Advanced = 3000$/mois |
| Difficulté | ⭐ Facile (Standard) / ⭐⭐⭐ Complexe (Advanced) |
| Points positifs | Protection incluse par défaut, SLA avancé dispo |
| Points négatifs | Advanced coûteux, réservé grands comptes |
🔹 AWS Network Firewall
But : Firewall managé au niveau VPC (stateful, inspection profonde).
Exemple : Blocage de trafic sortant vers domaines de phishing.
Cas d’utilisation : Politiques réseau avancées multi-VPC.
| Critère | Détails |
|---|---|
| Intégrations | VPC, Transit Gateway, subnets |
| Coût | Pay-as-you-go (endpoints + trafic inspecté) |
| Difficulté | ⭐⭐⭐ Complexe |
| Points positifs | Inspection profonde, filtrage avancé |
| Points négatifs | Plus complexe que SG/NACL, coût élevé |
🔹 AWS IAM Access Analyzer
But : Analyser les policies pour détecter ressources exposées publiquement.
Exemple : Alerte si un bucket S3 est lisible par "Everyone".
Cas d’utilisation : Éviter les fuites accidentelles.
| Critère | Détails |
|---|---|
| Intégrations | S3, IAM, KMS, Lambda, Secrets Manager |
| Coût | Gratuit |
| Difficulté | ⭐ Facile |
| Points positifs | Détection immédiate d’expositions |
| Points négatifs | Analyse limitée à certaines ressources |
🔹 AWS CloudTrail
But : Journaliser toutes les actions API.
Exemple : Retrouver quel admin a supprimé une table DynamoDB.
Cas d’utilisation : Audit, forensic, alerting.
| Critère | Détails |
|---|---|
| Intégrations | Tous services AWS, S3, CloudWatch, EventBridge |
| Coût | Pay-as-you-go (stockage + events) |
| Difficulté | ⭐ Facile |
| Points positifs | Audit complet, indispensable |
| Points négatifs | Gros volume de logs, peut coûter cher |
🔹 AWS Config
But : Suivre la configuration et vérifier conformité.
Exemple : Config détecte un bucket S3 public en violation de la règle.
Cas d’utilisation : Conformité ISO, PCI, RGPD.
| Critère | Détails |
|---|---|
| Intégrations | S3, EC2, IAM, RDS, Security Hub |
| Coût | Pay-as-you-go (ressources évaluées + règles) |
| Difficulté | ⭐⭐ Moyen |
| Points positifs | Historique complet, conformité automatisée |
| Points négatifs | Coût élevé si beaucoup de ressources |