Skip to content
m-sweden.com.tr

Tokenization aws

Comment Amazon a créé une solution de tokenisation hautement évolutive et sécurisée sur AWS

La protection des données sensibles (données personnelles telles que les données de paiement et de santé) est l’une des principales priorités d’Amazon. Pour atteindre cet objectif, Amazon a développé Lumos, un service interne hautement sécurisé et évolutif qui fournit des API à faible latence pour tokeniser les données sensibles. Lumos est une application cloud native basée sur les offres sans serveur et de sécurité d’Amazon Web Services (AWS). le traitement de dizaines de milliers de requêtes par seconde et une mise à l’échelle jusqu’à plus de six milliards de jetons. Lumos est conçu pour se conformer aux exigences de conformité de la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) et de la loi HIPAA (Health Insurance Portability and Accountability Act).

Avec plus de 240 lois sur la protection des données et de la confidentialité dans le monde, il devient de plus en plus important pour les organisations de protéger les données des clients à grande échelle. Les organisations doivent Adoptez des réglementations changeantes en matière de confidentialité des données dans un court laps de temps pour rester en conformité. La tokenisation est apparue comme une méthode efficace pour améliorer la sécurité des données et réduire la portée des audits. Pour en savoir plus sur la tokenisation et les raisons pour lesquelles vous devriez l’envisager pour répondre à vos besoins, consultez l’article de blog Comment utiliser la tokenisation pour améliorer la sécurité des données et réduire la portée de l’audit.

Cet article de blog montre comment Lumos utilise les services AWS pour fournir une solution de tokenisation hautement évolutive, rentable et fiable, tout en illustrant les modèles de conception qui la maintiennent hautement sécurisée.

Pourquoi la tokenisation des données est une méthode efficace pour protéger les données sensibles

La tokenisation est une forme de pseudonymisation, une procédure de dépersonnalisation visant à remplacer les données sensibles, telles que les données d’identification personnelle (PII), par des jetons uniques. Contrairement au masquage des données, la tokenisation est réversible au moyen de dé-tokenisation mais ne peut pas faire l’objet d’une rétro-ingénierie pour obtenir des données sensibles. Par conséquent, il peut être utilisé pour des cas d’utilisation où la réversibilité apporte de la valeur.

La tokenisation offre un moyen plus sûr de masquer les données plutôt que de les chiffrer, en remplaçant les informations sensibles par des jetons non sensibles qui peuvent être inversés avec un accès autorisé, garantissant ainsi une couche supplémentaire de sécurité et de conformité des données. La mise en place d’une solution de tokenisation centralisée rationalise la gouvernance et respecte le principe de minimisation des données en ne traitant que les données personnelles essentielles. Cette consolidation garantit une application cohérente des politiques dans toutes les applications, ce qui améliore la sécurité et réduit les risques de violation. La solution de tokenisation évolutive et à faible latence peut prendre en charge des cas d’utilisation en temps réel et par lots dans plusieurs applications d’une organisation.

En utilisant des API de tokenisation centralisées, vous pouvez tokeniser les données sensibles dès qu’elles entrent dans votre capture de données en limitant l’exposition des données sensibles. Cela permet d’éviter que les données sensibles ne soient conservées dans différents magasins de données et envoyées à plusieurs systèmes. Dans la plupart des cas, la détokenisation n’est nécessaire que pour l’affichage des données sensibles, et les charges de travail peuvent persister ou envoyer des jetons à d’autres charges de travail sans accéder aux informations sensibles. La méthode de détokenisation peut inclure une autorisation précise et une journalisation d’accès pour fournir des informations à des fins d’audit. Les méthodes de tokenisation et de détokenisation peuvent gérer différents types de données, chacun avec des niveaux de sensibilité différents, et garantir que seuls les utilisateurs disposant des rôles appropriés peuvent accéder aux données sensibles.

L’utilisation de solutions de tokenisation peut également permettre de réduire les coûts de conformité et l’exposition aux violations de données coûteuses. Des économies supplémentaires peuvent être réalisées en réaffectant une solution de tokenisation centralisée sur plusieurs charges de travail avec une sécurité rationalisée Contrôles.

Qu’est-ce que Lumos ?

Lumos d’Amazon est conçu à l’aide des services AWS et est conçu pour tokeniser les données sensibles telles que PII, PCI et HIPAA. Lumos propose une intégration au niveau de l’API pour une variété de cas d’utilisation au sein d’Amazon. Les paiements de détail Amazon l’utilisent pour la conformité PCI lors du traitement des cartes de crédit et la rédaction des PII pour stocker les données privées des clients. Amazon India utilise Lumos pour stocker et traiter les informations de carte de crédit conformément aux normes PCI et aux réglementations de localisation des données. Les utilisateurs de Lumos utilisent une API centralisée conçue pour protéger de manière cohérente les données sensibles de plusieurs activités Amazon, de ses différentes charges de travail et de plusieurs technologies.

À ce jour, Lumos peut évoluer jusqu’à plus de six milliards de jetons et traiter des dizaines de milliers de requêtes par seconde avec une latence à deux chiffres en quelques millisecondes. Étant donné que Lumos est disponible via une API centralisée, il peut prendre en charge de nouveaux les exigences des réglementations en matière de protection des données et de la vie privée dans différentes entreprises rapidement et de manière rentable.

Lumos applique intrinsèquement un large éventail de contrôles de sécurité, ce qui le rend sécurisé dès sa conception. Il utilise les services AWS pour réduire les frais généraux liés aux correctifs système, à la gestion des vulnérabilités, aux pistes d’audit et à la surveillance afin de répondre aux exigences de conformité. Lumos utilise une solution de sécurité complète pour contrer les risques internes et externes. Cela inclut un modèle Zero Trust, une surveillance continue et une protection des données, ainsi qu’une stratégie de défense à plusieurs niveaux. Le modèle de sécurité met l’accent sur le principe du moindre privilège, les contrôles de sécurité AWS, l’automatisation et l’approbation par plusieurs personnes. La solution de sécurité établit également une protection robuste du périmètre de données sur AWS, en utilisant des clouds privés virtuels Amazon (pour décomposer les périmètres de sécurité en petites zones), des points de terminaison VPC, des groupes de sécurité et listes de contrôle d’accès au réseau (ACL) pour protéger les données sensibles et empêcher tout accès non autorisé.

Avant la migration vers AWS, l’ancienne solution sur site nécessitait des efforts considérables pour maintenir les correctifs de sécurité et était vulnérable aux problèmes de disponibilité du matériel et du réseau. Ces problèmes sont désormais résolus par l’infrastructure de calcul et de réseau AWS. De plus, la mise à l’échelle automatique d’Amazon Elastic Container Service, les constructions du kit de développement cloud AWS et la réplication multirégion dans Amazon DynamoDB et AWS Key Management Service permettent respectivement une mise à l’échelle horizontale et une expansion géographique.

L’architecture basée sur AWS de Lumos permet à Amazon de répondre aux exigences critiques en matière de disponibilité, de résilience et d’exploitation. Il a permis de réduire le temps d’évolutivité tout en offrant la flexibilité nécessaire pour répondre à des exigences régionales spécifiques et une meilleure gestion de la conformité. Grâce à la conception AWS, Lumos a atteint une disponibilité accrue de 99,999 % de 99,9 %, ce qui représente environ neuf heures de disponibilité supplémentaires par an. La nouvelle conception améliore non seulement l’efficacité opérationnelle, mais garantit également une reprise après sinistre et une continuité d’activité robustes. répondre aux exigences opérationnelles dynamiques et mondiales d’Amazon.

Explorer l’architecture de

Lumos Lumos se compose de deux composants principaux : la tokenisation et la transmission .

La tokenisation est le processus de conversion de données sensibles en jetons. Par exemple, lorsque les clients saisissent leur numéro de carte de crédit lors d’achats en ligne, Lumos conserve les données sensibles chiffrées dans Amazon DynamoDB et génère un jeton spécifique aux données. Lumos propose également une API de détokenisation, fournissant un accès programmatique exclusivement aux utilisateurs autorisés, permettant aux jetons de revenir à leurs données d’origine si nécessaire.

Élimination de l’accès humain aux données est un principe fondamental de la conception de Lumos. Il est recommandé de ne donner accès à l’API de détokenisation qu’à un système limité comme Lumos Transmission. Lumos utilise des politiques de contrôle d’accès, qui sont des politiques basées sur les ressources pour déterminer qui a accès aux données détokenisées en fonction de la justification commerciale et du rôle. Chaque action est enregistrée et les traces sont analysées pour fournir des alertes sur d’éventuelles activités malveillantes. Ce contrôle précis permet d’assurer la sécurité des données tout en facilitant leur traitement.

Le composant de transmission se concentre sur la transmission sécurisée de messages contenant des données sensibles à des points de terminaison externes autorisés (par exemple, un partenaire de paiement). Ce composant s’interface avec le service de tokenisation pour détokeniser les données sensibles avant leur transmission, sans fournir de visibilité des données à l’appelant. Par exemple, lorsque les clients passent une commande sur Amazon, Lumos détokenise les données sensibles et envoie le Les données cryptées aux partenaires de paiement via des canaux sécurisés, ce qui permet de préserver la confidentialité des données sensibles lors de la transmission.

Lumos privilégie l’isolation des ressources dès la conception, et l’isolation est maintenue de manière cohérente tout au long des opérations de données. Lumos crée des frontières d’isolement entre les ressources des propriétaires de données (locataires) et les acteurs qui interagissent avec les données pour le compte des locataires (clients). Lumos utilise l’architecture multi-comptes AWS non seulement pour améliorer la sécurité, mais aussi pour fournir des avantages supplémentaires, tels que la mise à l’échelle des ressources tout en respectant les quotas de service AWS. Lumos hérite de la sécurité fournie par les services sans serveur AWS. La valeur de la sécurité du serverless sur AWS inclut la possibilité de se décharger d’un large éventail de responsabilités de sécurité sur AWS, telles que la garantie que l’infrastructure sous-jacente est sécurisée contre les attaques, ce qui permet à l’équipe d’application de Lumos de se concentrer davantage sur la sécurisation de son code d’application et les données.

Lumos utilise AWS Shield Advanced et AWS WAF ainsi qu’Amazon API Gateway pour fournir une défense multicouche. Lumos utilise une image de conteneur renforcée personnalisée dans AWS Fargate, hébergée dans un VPC. AWS Fargate fournit un environnement sans serveur géré sans la surcharge liée au maintien de la résilience du calcul et de la sécurité du système d’exploitation. Les tables globales Amazon DynamoDB sont utilisées pour conserver les données chiffrées dans plusieurs régions AWS et répondre aux exigences de résidence des données. En fonction des exigences définies par l’équipe de sécurité d’Amazon, Lumos utilise AWS Key Management Service (AWS KMS), AWS Certificate Manager et AWS Secrets Manager pour la gestion des clés, et utilise AWS Payment Cryptography (avec DUKPT, Derived Unique Key Per Transaction) pour l’intégration du système de paiement.

La figure 1 montre l’architecture AWS pour Lumos.

Figure 1 : Architecture AWS de Lumos

d’un certain nombre de services AWS pour traiter et protéger les données sensibles, en maintenant les données dans une limite sécurisée. Comme le montre la figure 1, le flux de travail est le suivant :

  1. L’application cliente effectue un appel à Lumos via une API. Les API Lumos sont protégées par un mécanisme de défense multicouche utilisant AWS Shield, AWS WAF, Amazon API Gateway et d’autres contrôles de sécurité réseau.
  2. AWS Shield offre une protection contre les attaques par déni de service distribué (DDoS) pour les ressources AWS au niveau du réseau (couche 3), de la couche de transport (couche 4) et de la couche application (couche 7).
  3. AWS WAF filtre le trafic indésirable et malveillant en fonction d’un certain nombre de règles WAF conçues pour protéger contre les menaces de la couche applicative et autoriser les demandes légitimes.
  4. API Gateway effectue la validation et l’autorisation des demandes et les protège à l’aide de contrôles de limitation et de limite de rafale.
  5. Les demandes sont ensuite adressées à un équilibreur de charge de réseau AWS privé au sein d’un Amazon VPC et transmis à une application s’exécutant sur AWS Fargate. L’application effectue des appels en aval vers plusieurs services AWS pour faciliter la tokenisation, la détokenisation et d’autres opérations de service.
  6. Pour l’opération de tokénisation, seuls le jeton et les données non sensibles sont renvoyés à l’application cliente.
  7. Pour une demande de détokenisation, seul le service de transmission de confiance est autorisé à effectuer l’opération. Le client Transmission fournit un jeton en entrée et reçoit des données chiffrées pour communiquer avec les partenaires.

Résilience et observabilité

Pour une haute disponibilité, AWS Fargate est déployé dans plusieurs zones de disponibilité et s’adapte à la hausse et à la réduction pour gérer les variations de trafic de manière rentable. Lumos utilise AWS Fargate pour le calcul principal en raison de son contrôle granulaire de l’environnement, Permet la personnalisation des configurations de conteneurs, des paramètres réseau et de l’allocation des ressources. Cette configuration permet l’utilisation d’images Docker sécurisées (via Amazon Elastic Container Registry), la mise en œuvre d’un système de détection d’intrusion (IDS) personnalisé et un accès restreint au processus d’application principal. De plus, AWS Fargate prend en charge les processus de longue durée, ce qui facilite le traitement par lots pour la tokenisation Lumos.

L’application enregistre toutes les actions et tous les flux vers Amazon OpenSearch Service à l’aide d’Amazon Kinesis, ce qui permet de détecter toute action ou modification de l’API pour détecter les activités malveillantes. Au moment de la publication de cet article, la tokenisation Lumos héberge plus de 400 détections (dont beaucoup provenant d’AWS Shield et d’Amazon GuardDuty) pour fournir une défense en profondeur contre les activités malveillantes. Il dispose de détections automatisées basées sur des analyses et des observations effectuées sur Amazon CloudWatch, Amazon Kinesis et Amazon OpenSearch Service.

Lumos

a été initialement lancé dans une seule région AWS et s’est rapidement étendu à deux régions supplémentaires en quelques mois, mettant en évidence la flexibilité régionale inhérente à l’épine dorsale multirégionale d’AWS. En tirant parti de services tels que les tables Amazon Global DynamoDB et les clés KMS multi-régions AWS, Lumos a étendu de manière transparente ses opérations à toutes les régions. De plus, AWS CloudFormation et Cloud Development Kit ont rationalisé la gestion de l’infrastructure, ce qui a permis à Lumos de répliquer de manière transparente son environnement dans toutes les régions avec un minimum d’effort.
Cette architecture AWS a permis à Amazon de réaliser d’importantes économies dans plusieurs domaines, notamment la sécurité, la gestion de l’infrastructure, la mise à l’échelle, la gestion des bases de données et la récupération des données. En tirant parti des services AWS, l’architecture a libéré la bande passante des équipes de développement et d’administration de bases de données, leur permettant d’être redirigées vers répondre aux nouveaux besoins de l’entreprise et stimuler l’innovation. En conséquence, Amazon a été en mesure de réaffecter les ressources plus efficacement, ce qui a permis une plus grande agilité et une plus grande réactivité face à l’évolution des besoins de l’entreprise.

Amazon exploite Lumos en tant que plateforme de tokenisation centralisée dans plusieurs secteurs d’activité, grâce à son architecture multi-locataires robuste. La conception de Lumos lui permet d’évoluer horizontalement, en provisionnant dynamiquement les ressources de stockage et de gestion des secrets pour chaque secteur d’activité ou client. Cela garantit une isolation efficace des données et des normes de sécurité uniformes pour toutes les fonctionnalités, quelle que soit l’échelle ou les besoins spécifiques du secteur. La possibilité de lancer rapidement de nouvelles initiatives commerciales avec des protocoles de sécurité cohérents accélère également la mise sur le marché. De plus, Lumos réduit les efforts redondants, ce qui permet de réaliser d’importantes économies et d’améliorer l’efficacité opérationnelle.

Modèles

de sécurité Examinons quelques-uns des modèles de conception de sécurité dans Lumos qui l’aident à traiter les données sensibles en toute sécurité.

Pour
réduire le risque d’accès non autorisé, Lumos n’autorise que l’accès programmatique aux ressources de production. À des fins de dépannage, Lumos fournit des journaux détaillés qui sont accessibles aux utilisateurs pour le débogage, et des outils sont en place pour détecter les données sensibles dans les journaux. En cas d’urgence (comme indiqué dans nos procédures opérationnelles standard), Lumos propose un mécanisme de bris de glace, permettant aux travailleurs humains d’accéder à des ressources limitées dans des situations d’urgence, tout en conservant l’accès au moindre privilège. La limite d’autorisation suit les règles suivantes :

  • Toutes les actions sont interdites par défaut
  • Toutes les autorisations sont strictement limitées et ont une contrainte de temps
  • La modification du flux de travail des autorisations est L’accès
  • privilégié de l’opérateur passe par plusieurs couches de défense pour une protection renforcée.

La limite d’autorisation Lumos est configurée avec un contrôle d’accès basé sur les attributs et la correspondance des balises AWS avec les propriétés de rôle d’utilisateur pour autoriser l’accès aux ressources AWS. Au niveau de l’organisation dans AWS Organizations, Lumos dispose de politiques de contrôle de service (SCP) pour définir une limite pour chaque rôle AWS Identity and Access Management (IAM) afin d’autoriser uniquement des services et des actions spécifiques.

Afin
 de réduire l’impact de l’élévation des privilèges, Lumos utilise une technique appelée compartimentation qui isole différents composants en isolant les limites de confiance. Pour affiner les autorisations, Lumos dispose d’un contrôle d’accès basé sur l’équipe et sur les rôles. Le stratifié L’approche commence au niveau de l’organisation pour tout refuser par défaut, puis crée des limites d’autorisation pour chaque équipe. L’équipe Lumos établit en permanence une base de référence pour l’autorisation en fonction de l’utilisation, jusqu’à ce que le moindre privilège absolu soit atteint. L’approche multicouche nous permet de définir des garde-fous et des contrôles de détection pour chaque couche, et d’apporter des modifications indépendamment pour améliorer encore la posture de sécurité. Si une élévation de privilèges se produit au sein de l’une des couches, l’impact  est limité aux autorisations au sein de cette couche.

La
gouvernance de la sécurité est un processus continu, car le paysage des menaces évolue à mesure que les systèmes et les applications évoluent. Lumos a mis en place des mécanismes pour rechercher en permanence de nouvelles menaces et mettre en œuvre des mesures d’atténuation. Les risques de sécurité peuvent découler d’hypothèses obsolètes, c’est pourquoi Lumos utilise différents cadres, tels que MITRE ATT&CK, l’attaque trees et STRIDE, pour effectuer la modélisation des menaces et identifier les vecteurs de menace et les contrôles de sécurité correspondants. Afin de vérifier que les contrôles de sécurité fonctionnent comme prévu à chaque fois, Lumos effectue régulièrement des tests automatisés pour vérifier l’état des contrôles de sécurité. Les tests s’exécutent dans notre système de production, capturant les résultats dans un tableau de bord et générant des alarmes en cas de panne. Ces tests produisent des journaux qui sont analysés et signalés dans AWS Security Hub.

Lumos utilise Security Hub comme tableau de bord consolidé des résultats de sécurité, et nous avons conçu l’automatisation pour corriger les résultats. L’équipe Lumos effectue des simulations de jour de match pour identifier les nouvelles vulnérabilités et menaces, améliorant ainsi nos manuels de réponse aux incidents.

Lumos dispose d’un certain nombre de contrôles de détection qui utilisent AWS Config, Amazon Macie, AWS Trusted Advisor et Amazon GuardDuty pour vérifier les écarts par rapport à la configuration souhaitée, la présence de des données sensibles dans des endroits indésirables et un accès indésirable au réseau. Lumos a mis en œuvre des mesures de sécurité pour réduire le risque d’exposition des données, telles que l’application du fait que les VPC avec des composants critiques ne disposent pas d’une passerelle Internet connectée et que les principaux IAM externes ne peuvent pas accéder aux ressources d’un compte AWS. En outre, Lumos dispose de mesures d’atténuation pour les risques connus, tels que le refus de l’accès public à Amazon Simple Storage Service (Amazon S3) pour l’ensemble de l’organisation à l’aide de SCP.

Pour s’assurer que les entités de confiance n’accèdent qu’aux ressources approuvées sur un réseau attendu, Lumos utilise des clés de condition IAM. Cela permet de s’assurer que les actions approuvées ne peuvent être exécutées que par des entités de confiance sur les ressources autorisées. IAM Access Analyzer et Network Access Analyzer fournissent des informations qui sont utilisées pour définir des autorisations d’accès précises, définissant ainsi ce qui est requis pour effectuer l’exécution prévue actions sur une ressource. Lumos définit le périmètre des données à l’aide de plusieurs ensembles de politiques, notamment : a) une politique IAM avec des clés de condition, b) une politique de ressources avec des clés de condition, c) des politiques de point de terminaison VPC, entre autres. Cela permet de s’assurer que la validation de l’accès se produit à chaque couche du périmètre de données.

Pour réaliser l’isolation du réseau, Lumos s’exécute au sein d’un VPC sans passerelle Internet ou NAT qui lui est attachée. Toutes les connexions aux services AWS sont établies à l’aide de points de terminaison Amazon VPC. Les politiques de point de terminaison Amazon VPC contrôlent l’accès aux ressources au sein du VPC en fonction des clés de condition. Les journaux AWS CloudTrail fournissent des informations sur les actions qui ont eu lieu, qui les a effectuées et quand. Lumos utilise ces informations pour appliquer des contrôles de détection et alerter sur les anomalies. Lumos utilise également Amazon Macie pour détecter les données sensibles dans les journaux et prendre les mesures appropriées en fonction des résultats.

Conclusion

avec le grâce aux services AWS, l’équipe d’Amazon Lumos a créé une solution de tokenisation à grande échelle, rentable et hautement sécurisée. La protection centralisée des données constitue un outil puissant pour protéger les informations sensibles et minimiser les exigences de conformité.

Pour commencer à créer votre propre solution sans serveur AWS, nous vous recommandons de lire l’article de blog AWS Création d’une solution de tokenisation sans serveur pour masquer les données sensibles.

Pour en savoir plus sur Lumos, regardez la vidéo AWS re :Invent 2021 – Lumos.