ZS propose des bonnes pratiques de sécurité permanentes à l’aide des services de sécurité AWS

ZS Associates (ZS) cherchait à améliorer la visibilité et à simplifier la gestion de sa posture de sécurité pour une clientèle mondiale diversifiée ayant des besoins de sécurité complexes et exigeants. Nombre de ses clients doivent respecter des normes de conformité qui varient selon les pays et les secteurs d’activité. ZS avait développé des architectures de solutions cloud propres à ses clients individuels en utilisant Amazon Web Services (AWS). L’entreprise recherchait donc une solution de sécurité réplicable capable d’évoluer simplement et de fonctionner parfaitement avec les centaines de services AWS qu’elle utilisait déjà. À l’aide d’AWS, ZS a créé un environnement de sécurité complet et évolutif qui automatise les procédures de sécurité manuelles fastidieuses et facilite le déploiement de l’architecture cloud pour les clients.

Depuis sa création en 1983, ZS utilise des logiciels pour résoudre les problèmes des clients. Au fil des ans, l’entreprise a développé des offres innovantes utilisant des fonctionnalités d’analytique, d’intelligence artificielle et de machine learning, en les proposant sous forme de logiciels en tant que service. ZS développe souvent des solutions clients à l’aide de sa propre plateforme propriétaire, ZAIDYN, qui repose sur AWS et qui est complétée par divers services AWS gérés. La société possède son propre Centre d’excellence cloud (CCoE), un service dédié à la création, à la maintenance et à l’aide à la conception de plus de 250 comptes AWS qui font partie des solutions proposées par ZS à ses clients. Différents services AWS fonctionnent ensemble pour chaque client dans ce que ZS appelle un « compte AWS parallèle », que ZS peut surveiller en centralisant les journaux, les mesures et les événements pertinents.

Ces journaux, mesures et événements génèrent des téraoctets d’informations brutes, que ZS stocke pendant au moins un an à l’aide d’Amazon Simple Storage Service (Amazon S3). Ce service de stockage d’objets offre une capacité de mise à l’échelle, une disponibilité des données, une sécurité et des performances de pointe. Le CCoE a créé un moyen de filtrer ces informations en envoyant des centaines de gigaoctets via des composants intermédiaires vers une plateforme d’observabilité centralisée. (Consultez le schéma 1, Architecture de référence de la plateforme d’observabilité AWS) « Vous devez disposer d’un processus de due diligence propre à votre entreprise et qui crée différents niveaux de données. Cela vous permet de consulter les journaux qui vous fournissent le plus d’informations », explique Rujuswami Gandhi, directeur des services cloud chez ZS. 

La sécurité est un élément important de ce flux d’informations. ZS a créé un environnement de sécurité robuste centré sur le cadre de cybersécurité du National Institute of Standards and Technology (NIST) : identification, protection, détection, réponse et restauration. ZS a ajouté la gouvernance, une initiative interne visant à aider l’entreprise à se préparer à un audit de sécurité par un tiers. « Parmi les nombreux services AWS que nous utilisons avec l’architecture de location unique que nous suivons pour nos clients, la sécurité est un élément très important car nos clients ont des attentes élevées en matière de sécurité des informations », explique Rujuswami Gandhi, « nos clients peuvent être sûrs que nous utilisons non seulement les services AWS de manière mature, mais que nous nous conformons également aux normes du secteur. » Pour plus de détails sur le paysage de sécurité créé par ZS, consultez le schéma 2, « Paysage de confiance Cloud AWS de ZS : objectif de sécurité ».

Par exemple, dans le cadre de son pilier de détection et de réponse, ZS utilise huit services d’AWS complétés par de nombreuses solutions tierces. Grâce à AWS Security Hub, un service de gestion de la posture de sécurité dans le cloud qui vérifie les meilleures pratiques de sécurité, regroupe les alertes et prend en charge les mesures correctives automatisées, ZS obtient une visibilité centralisée en temps quasi réel. De plus, ZS a simplifié sa gestion fondamentale de la conformité grâce à des fonctionnalités de mappage pour de nombreux cadres de sécurité dont les clients ZS ont besoin, tels que SOC 2, ISO/IEC 27001 et HITRUST. L’utilisation d’AWS Security Hub a facilité l’expansion mondiale de ZS, car les normes de sécurité diffèrent d’un pays à l’autre, comme le Règlement général sur la protection des données de l’UE et le cadre de gouvernance chinois connu sous le nom de système de protection multicouche, par exemple. « Grâce à AWS Security Hub, il nous suffit de choisir parmi les ensembles de règles prédéfinis, puis ce service se déploie automatiquement pour fournir des informations sur la conformité et les tendances au fur et à mesure de l’avancement des travaux de correction », explique Rujuswami Gandhi, « la gestion d’AWS Security Hub ne demande que peu d’efforts. »

ZS utilise un autre service : Amazon Inspector. Ce service automatisé de gestion des vulnérabilités recherche en permanence les vulnérabilités logicielles et les expositions réseau involontaires dans les charges de travail AWS. Pour déjouer les menaces immédiates, ZS utilise Amazon GuardDuty. Il s’agit d’un service de détection des menaces qui surveille en permanence les charges de travail et comptes AWS pour détecter les activités malveillantes et fournir des résultats détaillés en matière de sécurité pour la visibilité et la correction. « L’utilisation d’Amazon GuardDuty nous a permis de mieux comprendre ce qui aurait pu être lié à des incidents de sécurité si notre équipe de réponse aux incidents n’en avait pas été informée rapidement », explique Rujuswami Gandhi. Et pour aider à démontrer la conformité, ZS utilise AWS CloudTrail, qui surveille et enregistre l’activité des comptes sur l’infrastructure AWS. Cette visibilité accrue simplifie les procédures d’audit.

Comme partie de son environnement qui s’aligne sur le pilier de protection du cadre NIST, ZS utilise le service Gestion des identités et des accès AWS (AWS IAM), qui fournit un contrôle d’accès précis sur tout AWS. « Il aurait été très complexe de résoudre ce problème sans utiliser AWS », explique Beeling Chang, architecte cloud chez ZS.

L’ensemble de la charge de travail du CCoE repose sur les concepts de la zone de destination AWS. Cette solution aide les clients à mettre en place plus rapidement un environnement AWS sécurisé et multi-comptes basé sur les meilleures pratiques d’AWS. La zone de destination AWS permet de gagner du temps en automatisant la configuration pour exécuter des charges de travail sécurisées et évolutives. ZS estime que le mode de conformité automatisé et permanent des solutions AWS permet d’économiser environ 1 000 heures de travail par mois, qui auraient été consacrées à la vérification manuelle du respect des meilleures pratiques de sécurité. De plus, ZS intègre de nouveaux clients trois fois plus rapidement grâce à la sécurité empilable et aux autres services d’AWS.

L’équipe CCoE de ZS continue de se concentrer sur la sécurité dans le but d’améliorer le cadre AWS Well-Architected, qui aide les architectes cloud à créer une infrastructure sécurisée, hautes performances, résiliente et efficace pour plusieurs applications et charges de travail.

En outre, depuis qu’elle s’est concentrée sur les solutions AWS, l’entreprise ZS a amélioré son agilité en exploitant des fonctionnalités innovantes d’analytique et de machine learning tout en attirant des talents de qualité et en responsabilisant ses employés. Les employés utilisent ces technologies de pointe pour travailler en collaboration avec les clients afin de les aider à résoudre des problèmes complexes. « L’utilisation d’AWS nous permet de bénéficier d’une visibilité centralisée », explique Rujuswami Gandhi, « le système est toujours actif et toujours en cours d’utilisation. Cela change complètement notre état d’esprit. »