Concepts clés du directeur de la sécurité réseau - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau
Référence des résultats

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Concepts clés du directeur de la sécurité réseau

Note

AWS Shield le directeur de sécurité réseau est en version préliminaire publique et est sujet à modification.

Ressources

Les ressources de calcul, de réseau et de sécurité qui gèrent le trafic de votre application :

  • Calcul — Instances Amazon Elastic Compute Cloud

  • Mise en réseau : équilibreurs de charge des applications, passerelles d'API Amazon, CloudFront distributions Amazon, sous-réseaux VPC et interfaces réseau élastiques VPC () ENIs

  • Sécurité : AWS WAF Web ACLs, groupes de sécurité VPC et listes de contrôle d'accès au réseau VPC () NACLs

Conclusions

Alertes concernant des services de sécurité réseau manquants ou mal configurés, avec des niveaux de gravité nuls, INFORMATIONNELS, FAIBLES, MOYENS, ÉLEVÉS ou CRITIQUES. Le directeur de la sécurité réseau génère des conclusions en évaluant les paramètres de configuration et les informations sur les menaces pour chaque ressource.

Sévérité

Mesure de la vulnérabilité d'une ressource face à des événements de sécurité potentiels, basée sur les AWS meilleures pratiques et les informations sur les menaces. L'évaluation de la gravité prend en compte à la fois les vulnérabilités potentielles et les protections existantes. Le niveau de gravité d'une ressource correspond à sa constatation la plus grave, ou indique qu'il n'y en a aucun en l'absence de résultat.

Topologie du réseau

Une représentation visuelle de votre réseau qui montre les connexions aux ressources, l'exposition à Internet et les relations basées sur les balises. Utilisez la vue topologique pour étudier les ressources et leurs résultats.

Comprendre les conclusions du directeur de la sécurité réseau

Note

AWS Shield le directeur de sécurité réseau est en version préliminaire publique et est sujet à modification.

Le directeur de la sécurité réseau génère des résultats spécifiques pour chaque type de ressource qu'il analyse. Ces résultats vous aident à identifier les problèmes de sécurité et à prendre les mesures appropriées. Le tableau suivant répertorie tous les résultats possibles par type de ressource.

résultats du directeur de la sécurité réseau par type de ressource
Type de ressource Description du résultat
Application Load Balancer

  • est à l'origine d'une CloudFront distribution mais est également exposé à Internet

  • manque de protection contre les robots

  • a une activité DDo S

  • manque de protection par pare-feu

  • possède un pare-feu mal configuré

  • possède un pare-feu non configuré

  • n'est pas protégé contre les inondations de demandes

  • n'est pas protégé contre les vulnérabilités du Web
Amazon API Gateway

  • manque de protection contre les robots

  • manque de protection par pare-feu

  • possède un pare-feu mal configuré

  • possède un pare-feu non configuré

  • n'est pas protégé contre les inondations de demandes

  • n'est pas protégé contre les vulnérabilités du Web
Amazon CloudFront

  • manque de protection contre les robots

  • a une activité DDo S

  • manque de protection par pare-feu

  • possède un pare-feu mal configuré

  • possède un pare-feu non configuré

  • n'est pas protégé contre les inondations de demandes

  • n'est pas protégé contre les vulnérabilités du Web
Instance Amazon Elastic Compute Cloud (EC2)

  • autorise l'accès entrant à partir de toutes les plages d'adresses IP sur tous les ports

  • autorise l'accès entrant depuis toutes les plages d'adresses IP sur le port Remote Desktop Protocol (port 3389)

  • autorise l'accès entrant depuis toutes les plages d'adresses IP sur le port SSH (port 22)

  • permet l'accès sortant à toutes les plages d'adresses IP sur tous les ports

  • est à l'origine d'un Application Load Balancer qui n'est pas protégé par un pare-feu

  • est à l'origine d'un Application Load Balancer qui est à l'origine d'une CloudFront distribution mais qui est également exposé à Internet

  • est à l'origine d'une CloudFront distribution qui n'est pas protégée par un pare-feu

  • manque de protection contre les robots

  • n'est pas protégé contre les inondations de demandes

  • se trouve derrière un pare-feu mal configuré

  • se trouve derrière un pare-feu non configuré

  • est à l'origine d'une ressource qui n'est pas protégée contre les vulnérabilités du Web
Groupe de sécurité VPC

  • autorise l'accès entrant à partir de toutes les plages d'adresses IP sur tous les ports

  • autorise l'accès entrant depuis toutes les plages d'adresses IP sur le port Remote Desktop Protocol (port 3389)

  • autorise l'accès entrant depuis toutes les plages d'adresses IP sur le port SSH (port 22)

  • permet l'accès sortant à toutes les plages d'adresses IP sur tous les ports
Liste de contrôle d'accès au réseau VPC (NACL)

  • autorise l'accès entrant à partir de toutes les plages d'adresses IP sur tous les ports

  • autorise l'accès entrant depuis toutes les plages d'adresses IP sur le port Remote Desktop Protocol (port 3389)

  • autorise l'accès entrant depuis toutes les plages d'adresses IP sur le port SSH (port 22)

  • permet l'accès sortant à toutes les plages d'adresses IP sur tous les ports
AWS WAF ACL Web

  • a une activité de bot

  • manque de protection contre les robots

  • est mal configuré

  • n'est rattaché à aucune ressource

  • n'est pas configuré pour protéger contre les inondations de demandes

  • n'a pas de règles

  • n'est pas configuré pour se protéger contre les vulnérabilités du Web