Sécurité de l'infrastructure dans Amazon VPC
Amazon Virtual Private Cloud est un service géré, protégé par la sécurité du réseau mondial AWS. Pour plus d’informations sur les services de sécurité AWS et la manière dont AWS protège l’infrastructure, consultez la section Sécurité du cloud AWS
Vous pouvez utiliser les appels d'API publiés par AWS pour accéder à Amazon VPC via le réseau. Les clients doivent prendre en charge les éléments suivants :
-
Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
-
Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Isolement de réseau
Un Virtual Private Cloud (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le cloud AWS. Utilisez des VPC distincts pour isoler l’infrastructure par charge de travail ou entité organisationnelle.
Un sous-réseau est une plage d’adresses IP dans un VPC. Lorsque vous lancez une instance, vous la lancez dans un sous-réseau de votre VPC. Utilisez des sous-réseaux pour isoler les niveaux de votre application (par exemple, web, application et base de données) dans un VPC unique. Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d'Internet.
Vous pouvez utiliser AWS PrivateLink pour permettre aux ressources de votre VPC de se connecter à Services AWS l'aide d'adresses IP privées, comme si ces services étaient hébergés directement dans votre VPC. Par conséquent, pour accéder aux Services AWS, vous n'avez pas besoin de passerelle Internet ou de périphérique NAT.
Contrôler le trafic réseau
Vous devez prendre en compte les éléments suivants pour le contrôle du trafic réseau vers les ressources de votre VPC, comme les instances EC2 :
Utilisez les groupes de sécurité comme mécanisme principal pour contrôler l'accès réseau à vos VPC. Si nécessaire, utilisez les listes ACL réseau pour fournir un contrôle de réseau sans état et à grain grossier. Les groupes de sécurité sont plus polyvalents que les listes ACL réseau en raison de leur capacité à effectuer un filtrage des paquets avec état et à créer des règles qui référencent d'autres groupes de sécurité. Les listes ACL réseau peuvent être efficaces en tant que contrôle secondaire (par exemple, pour refuser un sous-ensemble spécifique de trafic) ou garde-fous de sous-réseau de haut niveau. En outre, étant donné que les listes ACL réseau s'appliquent à un sous-réseau entier, elles peuvent être utilisées comme défense en profondeur au cas où une instance serait lancée sans le groupe de sécurité correct.
Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d’Internet. Utilisez un hôte bastion ou une passerelle NAT pour l'accès Internet à partir d'instances de sous-réseaux privés.
Configurez des tables de routage de sous-réseau avec les routes réseau minimales pour répondre à vos exigences de connectivité.
Envisagez l'utilisation de groupes de sécurité supplémentaires ou d'interfaces réseau pour contrôler et vérifier le trafic de gestion d'instance Amazon EC2 séparément du trafic d'application régulier. Ainsi, vous pouvez mettre en œuvre des politiques IAM spéciales pour le contrôle des modifications, ce qui facilite l'audit des modifications apportées aux règles de groupe de sécurité ou aux scripts automatisés de vérification des règles. Plusieurs interfaces réseau procurent également des options supplémentaires pour contrôler le trafic réseau, notamment la possibilité de créer des stratégies de routage basées sur l'hôte ou de tirer parti de différentes règles de routage de sous-réseau d'un VPC basées sur des interfaces réseau affectées à un sous-réseau.
-
Utilisez AWS Virtual Private Network ou Direct Connect pour établir des connexions privées de vos réseaux distants vers vos VPC. Pour plus d'informations, consultez Network-to-Amazon VPC connectivity options.
-
Utilisez des journaux de flux VPC pour surveiller la trafic atteignant vos instances.
-
Utilisez AWS Security Hub
pour rechercher les accès réseau non intentionnels à partir de vos instances. -
Utilisez AWS Network Firewall pour protéger les sous-réseaux de votre VPC contre les menaces réseau courantes.
Comparer les groupes de sécurité et les listes ACL réseau
Le tableau ci-après récapitule les différences de base entre les groupes de sécurité et les listes ACL réseau.
| Caractéristiques | Groupe de sécurité | Réseau ACL |
|---|---|---|
| Niveau de l’opération | Niveau de l'instance | Niveau du sous-réseau |
| Portée | S’applique à toutes les instances associées au groupe de sécurité | S’applique à toutes les instances présentes dans les sous-réseaux associés |
| Type de règle | Règles d’autorisation uniquement | Règles d’autorisation et de refus |
| Évaluations des règles | Evalue toutes les règles avant de décider si le trafic doit être autorisé | Évalue les règles par ordre croissant jusqu’à ce qu’une correspondance soit trouvée pour le trafic |
| Trafic de retour | Autorisé automatiquement (avec état) | Doit être explicitement autorisé (sans état) |
Le schéma ci-après illustre les couches de sécurité fournies par les groupes de sécurité et les listes ACL réseau. Par exemple, le trafic d'une passerelle Internet est routé vers le sous-réseau approprié à l'aide de routes dans la table de routage. Les règles de la liste ACL réseau associée au sous-réseau contrôlent le trafic autorisé dans le sous-réseau. Les règles du groupe de sécurité associé à une instance contrôlent le trafic autorisé dans l'instance.
Vous pouvez sécuriser vos instances en utilisant uniquement des groupes de sécurité. Toutefois, vous pouvez ajouter des ACL réseau en tant que couche supplémentaire de défense. Pour de plus amples informations, consultez Exemple : contrôler l'accès aux instances dans un sous-réseau.
