Dans un précédent article, j'ai abordé les préoccupations principales liées à la sécurité et à la gestion des coûts lors du déploiement des applications dans le Cloud.
Cependant, la création d'une Landing Zone peut prendre du temps et nécessite de respecter certaines bonnes pratiques de sécurité spécifiques au cloud. Dans cet article, nous examinerons les éléments clés pour construire efficacement cette zone d'atterrissage pour vos applications.
Qu’est-ce qu’une landing zone ?
En termes simples, une "landing zone" AWS est une infrastructure de base qui fournit une fondation solide pour la création et la gestion d'un environnement de cloud computing sécurisé et évolutif.
Elle est conçue pour permettre aux entreprises de déployer et de gérer facilement des charges de travail sur le Cloud AWS, tout en garantissant la sécurité, la conformité et la gouvernance de leurs ressources cloud.
Une "landing zone" AWS typique comprend plusieurs éléments clés, notamment :
- Des comptes AWS : créés pour les différents services et environnements, tels que la production, le développement, le test, etc.
- Des groupes d'utilisateurs et de rôles : créés pour contrôler l'accès aux ressources AWS en fonction des besoins spécifiques de l'entreprise.
- Des réseaux et des connexions : configurés pour permettre aux utilisateurs d'accéder aux ressources AWS en toute sécurité.
- Des politiques de sécurité : mises en place pour garantir la sécurité et la conformité des ressources AWS.
- Des outils de gestion : utilisés pour surveiller et gérer les ressources AWS, tels que AWS Config, AWS CloudFormation, AWS CloudTrail, etc.
En mettant en place une "landing zone" AWS, les entreprises peuvent bénéficier de plusieurs avantages, tels que :
- La gestion centralisée de plusieurs comptes AWS, ce qui permet d'appliquer des politiques de sécurité et de conformité cohérentes sur tous les comptes.
- La capacité à déployer des ressources cloud de manière rapide et cohérente, tout en garantissant la sécurité et la conformité.
- La possibilité de surveiller et de gérer facilement les ressources cloud à partir d'une console centrale.
- La possibilité d'évoluer rapidement en ajoutant de nouveaux comptes et services AWS en fonction des besoins de l'entreprise.
Pourquoi se limiter à un seul compte AWS ? Découvrez les avantages de travailler et déployer sur plusieurs comptes !
Dans le concept de landing zone, il est indiqué que les charges de travail sont réparties sur plusieurs comptes AWS.
Souvent les clients me demandent :
- Pourquoi avoir plusieurs comptes AWS, il n’est pas possible de disposer de plusieurs environnements et de tout déployer sur un seul compte AWS ?
- Comment vais-je pouvoir gérer tous ces comptes AWS ?
- Cela ne va-t'il pas me coûter plus cher si j’ai plusieurs comptes AWS plutôt qu’un seul ?
Ou m’affirment: “J’ai actuellement un compte AWS, j’arrive très bien à déployer et gérer mes charges de travail et mes environnements, je n’ai pas besoin de comptes supplémentaires !”
Quand vous débutez sur AWS, vous commencez par créer un compte, pour découvrir la plateforme, lancer vos premiers services, peut-être même réaliser vos premiers prototypes pour évaluer l’offre de services.
Très souvent, face à la simplicité et la rapidité de mise à disposition des services, vous étendez le périmètre des tests et il se peut que des équipes commencent déjà à déployer leurs premières applications dans le cloud.
Si vous êtes une start-up ou une petite entreprise débutant sur AWS, un seul compte pourrait suffire dans un premier temps, car :
- Vous êtes une petite équipe
- Vous déployez une seule application
- La gestion des accès et des droits donnés aux utilisateurs est centralisée et maîtrisée
- La gouvernance et la gestion de la conformité sont aussi simplifiées
Cependant, les choses ne restent que très rarement statiques, elles évoluent inévitablement :
- Votre équipe grossie, voire se réorganise en équipes produits avec des périmètres différents
- Vous déployez de nouvelles applications
Bien qu'un seul compte AWS puisse absorber les changements sans problème, il est risqué de mettre "tous vos œufs dans le même panier".
De nombreux témoignages de clients qui ont été victimes de piratages et de vols de données ou de minage de crypto-monnaies sont disponibles sur Internet, souvent suite à un manque de vigilance. Il est donc recommandé de considérer la mise en place de plusieurs comptes AWS pour renforcer la sécurité de vos données et éviter de tels désagréments.
Donc pour limiter ce qu’AWS appelle le “blast radius”, c'est-à-dire limiter l’impact d’un événement critique comme une brèche de sécurité.
En d'autres termes, il est judicieux de ne pas mettre tous ses œufs dans le même panier..
Il est recommandé de déployer ses applications sur plusieurs comptes AWS plutôt que dans un seul compte pour plusieurs raisons, notamment pour :
- La gestion de la sécurité et de la conformité : en utilisant plusieurs comptes AWS, les entreprises peuvent mieux gérer la sécurité et la conformité de leurs applications en appliquant des politiques de sécurité cohérentes et des contrôles d'accès adaptés à chaque compte. De plus, cela permet également de séparer les données sensibles des différentes applications pour minimiser les risques en cas de violation de sécurité.
- La gestion des coûts : en utilisant plusieurs comptes AWS, les entreprises peuvent mieux contrôler les coûts de leurs applications en limitant l'accès des utilisateurs aux ressources dont ils ont besoin. Cela permet également de mieux suivre les coûts liés à chaque application et de déterminer les investissements les plus rentables pour chaque application.
- L'isolation des environnements : en utilisant plusieurs comptes AWS, les entreprises peuvent isoler leurs environnements de développement, de test et de production afin de mieux contrôler les modifications apportées à chaque environnement. Cela réduit les risques de perturbation des autres environnements en cas de problème avec une application.
- L’évolutivité : en utilisant plusieurs comptes AWS, les entreprises peuvent facilement ajouter de nouveaux comptes pour prendre en charge la croissance de leurs applications. Cela permet également de faciliter l'ajout de nouvelles applications ou de nouveaux services AWS sans affecter les autres applications.
- La simplification de la gestion des ressources : en utilisant plusieurs comptes AWS, les entreprises peuvent mieux gérer les ressources de leurs applications en les organisant par compte plutôt que de les regrouper toutes ensemble. Cela facilite la gestion des ressources et la prise de décision en matière de capacité et de performances.
Comment mettre en œuvre et gérer plusieurs comptes AWS ?
Pour déployer rapidement une landing zone en “maintenant les besoins de sécurité et de conformité de votre organisation” vous pouvez vous appuyer sur le service AWS Control Tower.
AWS Control Tower est un service entièrement géré qui permet aux clients de configurer et de gérer facilement plusieurs comptes en toute sécurité et en conformité avec les meilleures pratiques d'AWS.
Il fournit un ensemble de fonctionnalités intégrées pour la gestion des comptes, la conformité et la sécurité, permettant ainsi aux organisations de se concentrer sur leur travail et leurs applications sans perdre de temps ni d'énergie en gérant des tâches administratives.
La mise en place de la gestion des comptes AWS dans un environnement multi-comptes peut être un processus complexe et fastidieux, en particulier pour les grandes entreprises qui gèrent de nombreux comptes AWS.
AWS Control Tower résout ce problème en offrant une solution simple et unifiée pour configurer, gérer et contrôler plusieurs comptes AWS.
AWS Control Tower fournit les fonctionnalités suivantes pour la gestion des comptes :
- Création et configuration de comptes AWS : AWS Control Tower simplifie la création de comptes AWS en fournissant des modèles de comptes prédéfinis et en automatisant la configuration des ressources communes telles que les groupes de sécurité et les politiques de contrôle d'accès.
- Gestion des comptes : AWS Control Tower permet aux administrateurs de gérer facilement les comptes AWS à partir d'un emplacement central. Les administrateurs peuvent gérer les ressources, les utilisateurs, les groupes et les rôles dans tous les comptes AWS à partir d'un seul endroit.
- Conformité et sécurité : AWS Control Tower fournit un cadre de sécurité pour la gestion des comptes AWS. Les administrateurs peuvent appliquer des politiques de sécurité et de conformité dans tous les comptes AWS de l'organisation afin de garantir la conformité des normes de sécurité et des réglementations en vigueur.
- Gestion des ressources : le tableau de bord d’AWS Control Tower offre une visibilité continue sur votre environnement AWS : le nombre d'unités d'organisation et de comptes provisionnés et le nombre de “guardrails” (barrières de sécurité) activées, la liste des ressources non conformes…
En outre, AWS Control Tower prend en charge la mise en œuvre de plusieurs services AWS pour renforcer la sécurité et la conformité des comptes AWS, notamment AWS Config, AWS CloudTrail et AWS Service Catalog.
En conclusion, pour une expérience réussie sur AWS, il est nécessaire d'adopter dès le départ les bonnes pratiques de sécurité et de conformité avec AWS Control Tower.
Une fois votre “landing zone” opérationnelle, personnalisez-la selon vos besoins (réseau, chaînes CI/CD, hiérarchie de compte AWS pour vos projets...), puis déployer vos applications en toute confiance.
Ne laissez rien au hasard et commencez sur AWS du bon pied, quel que soit votre niveau d'expertise.
N'ayez plus peur, il est temps pour votre entreprise de passer au niveau supérieur !