Lancé cette semaine par Amazon Web Services, le service Macie - basé sur l'apprentissage machine - doit permettre à ses utilisateurs d’empêcher la divulgation involontaire de données sensibles et l'accès non autorisé aux données dans Amazon S3. Selon le fournisseur, d'autres services de stockage AWS le supporteront dans l'année. Macie met en œuvre, directement au sein de la plate-forme S3 (Simple Cloud Storage Service), le traitement automatique du langage naturel pour découvrir et classer les données sensibles. Le service sera notamment capable de faire la distinction entre les informations personnelles identifiables, les clés privées et les numéros de cartes de crédit. Le service surveillera en permanence l'accès aux données pour repérer les activités suspectes. « Toute anomalie entraîne l’envoi d’alertes à l'équipe de sécurité du client », a déclaré Matt Wood, directeur général de l'intelligence artificielle chez AWS.
Ce service de monitoring doit permettre aux utilisateurs de comprendre d'autres risques associés aux données. Ainsi, il enverra des alertes automatiques si les clients rendent accidentellement des données confidentielles accessibles depuis l'extérieur ou stockent des informations d'identification de manière non sécurisée. Le service ne se contente pas d'analyser les données pour créer des modèles d'authentification (en fonction de l’usage et des lieux depuis lesquels les utilisateurs se connectent, ainsi que les heures d'accès), ni d’assurer des fonctions de découverte et de classification des données sensibles. Il dispose aussi d’un tableau de bord pour suivre l'activité des utilisateurs et surveiller la sécurité des données. La console permet également au client de mettre en place des actions de correction automatique comme la réinitialisation des listes de contrôle d'accès ou de mots de passe.
Des outils pour suivre la migration d'applications vers AWS
Hier, Amazon Web Services a par ailleurs annoncé d’autres évolutions dans son offre cloud. Parmi celles-ci, Migration Hub sera utilisé pour suivre la migration d'applications depuis les datacenters vers AWS. Il met en oeuvre une série d'outils de migration, fournis par AWS et par des partenaires. Autre nouveauté, le chiffrement des données entreposées dans le système de stockage de fichiers partagés Amazon Elastic File System, avec la possibilité pour les utilisateurs de choisir la clé pour chiffrer le contenu des fichiers. Cette fonctionnalité est disponible dès maintenant dans les régions supportant EFS.
Le fournisseur a également procédé à une réécriture complète de CloudHSM (module de sécurité matérielle), afin de répondre aux exigences de sécurité et de conformité en vigueur pour les données sensibles. CloudHSM supporte désormais la mise à l’échelle. C’est aussi un service géré à haute disponibilité comprenant le provisionnement et l’application de correctifs avec sauvegardes intégrées. CloudHSM est désormais proposé en mode pay-as-you-go sans frais initiaux. Il répond à la norme FIPS (Federal Information Processing Standard) 142-2 Level 3 établie par le gouvernement américain, laquelle fixe les conditions de sécurité et de chiffrement qu’il faut respecter dans la conception des produits informatiques destinés à traiter des données sensibles.
AWS CloudTrail activé par défaut pour tous les clients
Le fournisseur a aussi renforcé les règles de son service AWS Config pour évaluer les configurations AWS. Les nouvelles règles permettent de sécuriser les Buckets S3, en particulier pour identifier les compartiments qui permettent un accès global en lecture et/ou en écriture. À noter encore que le service AWS CloudTrail permettant l'administration, la conformité, et l'audit opérationnel et des risques des comptes AWS est désormais activé par défaut pour tous les clients. Il offre une visibilité à sept jours sur l'activité du compte. Les utilisateurs n'ont pas besoin de configurer le service.
Enfin, AWS a annoncé la disponibilité globale de AWS Glue, son service ETL entièrement géré, qui facilite le déplacement des données entre les magasins de données dans le cloud d’Amazon. Ce service « sans serveur » évite aux utilisateurs de provisionner ou gérer leurs ressources. Ils ne paient que pour les ressources utilisées quand Glue fonctionne.