[PAROLES D'EXPERTS] Audit d'une plateforme AWS, comment attribuer les bons droits ?

  • 11m

La sécurité est un vieux sujet en TI mais elle prend de plus en plus d’ampleur avec les années et les cas que l’on peut entendre dans la presse spécialisée ou non ces dernières années.

Pour différentes raisons, on peut être amené à se faire auditer par un organisme externe.

L'audit informatique se déroulera sous la responsabilité d’une entreprise externe qui aura entre autres pour objectif d’évaluer les risques opérationnels et financiers associés aux activités informatiques d'une entreprise ou d'une administration.

Dans notre scénario, nous partons du principe que l’entreprise possède sa propre zone d’atterrissage (landing zone).

Notre auditeur aura besoin de se connecter à la plateforme AWS pour réaliser son audit.

Par Vincent Savigny

 

 

Découvrez comment procéder étape par étape

 

Vous allez devoir vous connectez au compte Maitre (ou Master account).

Le service que nous allons utiliser est AWS SSO puis nous allons créer un nouvel utilisateur.

 

Article Linkbynet - Attribuer les bons droits 1

 

Remplissez les champs en étant le plus complet possible et bien faire ressortir le fait que cela concerne l’audit. Cet utilisateur doit être facilement identifiable de manière à le supprimer une fois l’audit terminé. On choisit de générer un mot de passe temporaire que l’on enverra de façon sécuritaire.

 

Article Linkbynet - Attribuer les bons droits 2

 

On ne l’affecte à aucun groupe

 

Article Linkbynet - Attribuer les bons droits 3

 

On peut alors cliquer sur « ajouter un utilisateur ».

Notre utilisateur a été créé avec succès et AWS nous informe que l’on doit enregistrer un appareil pour gérer l’authentification à 2 facteurs. On peut récupérer son mot de passe temporaire et lui communiquer de manière sécuritaire et différente du nom d’utilisateur.

 

Article Linkbynet - Attribuer les bons droits 4

 

Il nous reste quelques étapes avant que notre utilisateur puisse se connecter.

Cliquer sur l’utilisateur que vous venez de créer, les informations ci-dessous s’afficheront, puis cliquer sur « envoyer un lien de vérification d'e-mail »

 

Article Linkbynet - Attribuer les bons droits 5

 

L’utilisateur va recevoir un courriel avec un lien de vérification. Il lui suffira de cliquer sur le lien web.

Concernant l'enregistrement d’un appareil pour la double authentification, cliquez sur l’utilisateur que vous venez de créer et aller sur l’onglet « MFA Devices (0)  ou Périphériques MFA (0) ».

 

Article Linkbynet - Attribuer les bons droits 6

 

Cliquer sur « Enregistrer un périphérique MFA ».

Entrer un nom pour l’appareil que vous allez ajouter, dans notre cas « téléphone ».

 

Article Linkbynet - Attribuer les bons droits 7

 

À l’étape 2, afficher le QR Code

 

Article Linkbynet - Attribuer les bons droits 8

 

Dans notre cas, nous utilisons déjà « Google Authenticator » donc nous allons garder celui-ci. Ci-dessous les applications pour téléphones compatibles :

 

Article Linkbynet - Attribuer les bons droits 9

 

Si l’auditeur est physiquement à côté de vous alors il vous suffit de lui demander de démarrer son application et de scanner le Code QR. Il pourra alors vous donner le code de 6 chiffres généré.

Si l’auditeur est à distance, contacter l’auditeur par téléphone. Vous pouvez alors lui envoyer le Code QR pour qu’il le scanne et vous transmettre directement les 6 chiffres.

 

Nous avons désormais un utilisateur qui a été créé mais qui ne possède pas de droits.

Allez ensuite dans AWS SSO puis Comptes AWS. On retrouve notre infrastructure avec nos différents comptes de notre zone d'atterrissage.

 

Article Linkbynet - Attribuer les bons droits 10

 

Notre auditeur, dans notre cas, a besoin d’auditer la plateforme de Production, on clique donc sur « Prod » et « affecter des utilisateurs ».

On sélectionne notre utilisateur « exemple email ».

 

Article Linkbynet - Attribuer les bons droits 11

 

On va créer un nouveau jeu de permission pour l’audit

 

Article Linkbynet - Attribuer les bons droits 12

 

On clique sur « créer un nouveau jeu d’autorisations »

On va sélectionner « SecurityAudit » puis « créer ».

 

Article Linkbynet - Attribuer les bons droits 13

 

On choisit désormais « SecurityAudit » puis « terminer »

 

Article Linkbynet - Attribuer les bons droits 14

 

Notre utilisateur peut désormais se connecter à la plateforme AWS, dès qu’il se connecte il devra utiliser le jeton puis il aura le choix d’utiliser l’interface web ou les API/Commande CLI. Pour les API/Command CLI, des accès temporaires clé d’accès et clé secret seront générés pour le temps de sa session.

Les informations du portail se trouvent dans la section Paramètres, on y trouve le « URL du portail utilisateur »

 

Article Linkbynet - Attribuer les bons droits 15

 

Ouvrez l’URL dans un navigateur puis entrer le code présent dans l’application sur votre téléphone.

 

Article Linkbynet - Attribuer les bons droits 16

 

Utilisez ensuite votre nom d’utilisateur et mot de passe temporaire ainsi que votre nouveau mot de passe pour vous connecter.

 

InkedArticle Linkbynet - Attribuer les bons droits 17

 

Vous êtes alors connecté au portail et vous avez deux possibilités pour vous connecter.

 

Article Linkbynet - Attribuer les bons droits 18

 

Une fois votre audit terminé, n’oubliez pas de supprimer ce compte.

[PAROLES D'EXPERTS] Mise en conformité autour de la Loi 25 : une étape indispensable de la transformation des entreprises Québécoises

La protection des renseignements personnels fait depuis quelques années l’objet de nombreuses initiatives de citoyens et d’organismes étatiques dans le monde. Car les entreprises commerciales, GAFAM en tête, mais aussi de nombreux acteurs installés localement, ont eu conscience très tôt de la valeur des données personnelles qu’elles récoltaient. Elles ont ainsi longtemps pu profiter, sans contrepartie, d’un vide juridique en matière de récolte et d’usage de ces dernières qui leur a offert un avantage concurrentiel capital sur leurs marchés respectifs.

[PAROLES D'EXPERTS] Renforcer la sécurité AWS grâce au standard de sécurité PCI DSS

La norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard), mieux connue sous la dénomination PCI DSS, est un standard de sécurité mis en place par les grands acteurs de la chaîne monétique. Son but ? Augmenter la sécurité et le contrôle des informations associées au détenteur d’une carte de crédit lorsque celui-ci effectue un achat et réduire par la même occasion les possibilités d’utilisation frauduleuse de son moyen de paiement.

Formations : Linkbynet met l’accent sur l’apprentissage des technologies Cloud Native

À l’heure où les technologies infonuagiques sont plus prisées que jamais par des organisations en quête de réduction de la complexité et des coûts associés à leurs infrastructures et à leurs applicatifs, les besoins en formation des professionnels du secteur des TI ont également progressé de manière exponentielle.