Sécurité de l'infrastructure sur Amazon EC2 - Amazon Elastic Compute Cloud
Isolement de réseauIsolation sur les hôtes physiquesContrôle du trafic réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure sur Amazon EC2

En tant que service géré, Amazon Elastic Compute Cloud est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez des appels d'API AWS publiés pour accéder à Amazon EC2 via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.

Pour plus d'informations, voir Protection de l'infrastructure dans le pilier de sécurité — AWS Well-Architected Framework.

Isolement de réseau

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le cloud. AWS Utilisez la méthode séparée VPCs pour isoler l'infrastructure par charge de travail ou entité organisationnelle.

Un sous-réseau est une plage d’adresses IP dans un VPC. Lorsque vous lancez une instance, vous la lancez dans un sous-réseau de votre VPC. Utilisez des sous-réseaux pour isoler les niveaux de votre application (par exemple, web, application et base de données) dans un VPC unique. Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d'Internet.

Pour appeler l' EC2 API Amazon depuis votre VPC à l'aide d'adresses IP privées, utilisez. AWS PrivateLink Pour de plus amples informations, veuillez consulter Accédez à Amazon à EC2 l'aide d'un point de terminaison VPC d'interface.

Isolation sur les hôtes physiques

Les différentes EC2 instances d'un même hôte physique sont isolées les unes des autres comme si elles se trouvaient sur des hôtes physiques distincts. L’hyperviseur isole l’UC et la mémoire, et les instances sont équipées de disques virtuels au lieu d’accéder aux disques bruts.

Lorsque vous arrêtez ou résiliez une instance, la mémoire qui lui est allouée est remise à zéro par l’hyperviseur avant d’être allouée à une nouvelle instance, et chaque bloc de stockage est réinitialisé. Cela permet d’être sûr que vos données ne seront pas accidentellement exposées sur une autre instance.

Les adresses MAC du réseau sont attribuées dynamiquement aux instances par l'infrastructure AWS réseau. Les adresses IP sont soit attribuées dynamiquement aux instances par l'infrastructure AWS réseau, soit attribuées par un EC2 administrateur via des demandes d'API authentifiées. Le AWS réseau permet aux instances d'envoyer du trafic uniquement à partir des adresses MAC et IP qui leur sont attribuées. Dans le cas contraire, le trafic est abandonné.

Par défaut, une instance ne peut pas recevoir un trafic qui ne lui est pas spécifiquement adressé. Si vous avez besoin d’exécuter des services de translation d’adresse réseau (NAT), de routage ou de pare-feu sur votre instance, vous pouvez désactiver la vérification origine/destination pour l’interface réseau.

Contrôle du trafic réseau

Envisagez les options suivantes pour contrôler le trafic réseau vers vos EC2 instances :

  • Limitez l’accès à vos instances à l’aide de groupes de sécurité. Configurez des règles qui autorisent le trafic réseau minimum requis. Par exemple, vous pouvez autoriser uniquement le trafic provenant des plages d’adresses de votre réseau d’entreprise ou uniquement pour des protocoles spécifiques, tels que HTTPS. Pour les instances Windows, autorisez le trafic de gestion Windows et les connexions sortantes minimales.

  • Utilisez les groupes de sécurité comme principal mécanisme de contrôle de l'accès réseau aux EC2 instances Amazon. Si nécessaire, utilisez le réseau ACLs avec parcimonie pour fournir un contrôle du réseau sans état et grossier. Les groupes de sécurité sont plus polyvalents que les réseaux ACLs en raison de leur capacité à effectuer un filtrage dynamique des paquets et à créer des règles faisant référence à d'autres groupes de sécurité. Cependant, le réseau ACLs peut être efficace en tant que contrôle secondaire pour refuser un sous-ensemble spécifique de trafic ou fournir des barrières de sécurité de haut niveau pour les sous-réseaux. De plus, comme le réseau ACLs s'applique à l'ensemble d'un sous-réseau, ils peuvent être utilisés comme defense-in-depth dans le cas où une instance serait lancée par inadvertance sans un groupe de sécurité approprié.

  • [Instances Windows] Gérez de manière centralisée les paramètres du Pare-feu Windows avec les objets de politique de groupe (GPO) afin d’améliorer encore les contrôles réseau. Les clients utilisent souvent le Pare-feu Windows pour augmenter la visibilité sur le trafic réseau et pour compléter les filtres de groupe de sécurité, créant des règles avancées pour empêcher des applications spécifiques d’accéder au réseau ou pour filtrer le trafic à partir d’adresses IP d’un sous-ensemble. Par exemple, le pare-feu Windows peut limiter l'accès à l'adresse IP du service de EC2 métadonnées à des utilisateurs ou à des applications spécifiques. Par ailleurs, un service public peut utiliser des groupes de sécurité pour restreindre le trafic vers des ports spécifiques et le pare-feu Windows pour maintenir une liste d’adresses IP explicitement bloquées.

  • Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d’Internet. Utilisez un hôte bastion ou une passerelle NAT pour l’accès Internet à partir d’une instance d’un sous-réseau privé.

  • [Instances Windows] Utilisez des protocoles d'administration sécurisés tels que l'encapsulation RDP. SSL/TLS. The Remote Desktop Gateway Quick Start provides best practices for deploying remote desktop gateway, including configuring RDP to use SSL/TLS

  • [Instances Windows] Utilisez Active Directory ou AWS Directory Service pour contrôler et surveiller de manière étroite et centralisée l'accès interactif des utilisateurs et des groupes aux instances Windows, tout en évitant les autorisations des utilisateurs locaux. Évitez également d’utiliser les administrateurs de domaine et créez plutôt des comptes basés sur des rôles plus granulaires et spécifiques à l’application. Just Enough Administration (JEA) permet de gérer les modifications apportées aux instances Windows sans accès interactif ou administrateur. En outre, JEA permet aux entreprises de verrouiller l'accès administratif au sous-ensemble de PowerShell commandes Windows requis pour l'administration des instances. Pour plus d'informations, consultez la section « Gérer l'accès à Amazon au niveau du système d'exploitation EC2 » dans le livre blanc sur les meilleures pratiques AWS de sécurité.

  • [Instances Windows] Les administrateurs système doivent utiliser des comptes Windows avec un accès limité pour effectuer des activités quotidiennes et augmenter l’accès uniquement s’il faut effectuer des modifications de configuration spécifiques. En outre, n’accédez directement aux instances Windows que lorsque cela est absolument nécessaire. Utilisez plutôt des systèmes de gestion de configuration centralisés tels que EC2 Run Command, Systems Center Configuration Manager (SCCM), Windows PowerShell DSC ou Amazon EC2 Systems Manager (SSM) pour appliquer les modifications aux serveurs Windows.

  • Configurez les tables de routage de sous-réseau Amazon VPC avec les routes réseau minimales requises. Par exemple, placez uniquement les EC2 instances Amazon nécessitant un accès direct à Internet dans des sous-réseaux dotés de routes vers une passerelle Internet, et placez uniquement les EC2 instances Amazon nécessitant un accès direct aux réseaux internes dans des sous-réseaux dotés de routes vers une passerelle privée virtuelle.

  • Envisagez d'utiliser des groupes de sécurité ou des interfaces réseau supplémentaires pour contrôler et auditer le trafic de gestion des EC2 instances Amazon séparément du trafic normal des applications. Cette approche permet aux clients de mettre en œuvre des politiques IAM spéciales pour le contrôle des modifications, ce qui facilite l’audit des modifications apportées aux règles de groupe de sécurité ou aux scripts automatisés de vérification des règles. L'utilisation de plusieurs interfaces réseau offre également des options supplémentaires pour contrôler le trafic réseau, notamment la possibilité de créer des stratégies de routage basées sur l'hôte ou d'utiliser différentes règles de routage de sous-réseau VPC basées sur le sous-réseau assigné à l'interface réseau.

  • Utilisez AWS Virtual Private Network ou AWS Direct Connect pour établir des connexions privées entre vos réseaux distants et votre VPCs. Pour plus d'informations, consultez la section Network-to-Amazon Options de connectivité VPC.

  • Utilisez des journaux de flux VPC pour surveiller la trafic atteignant vos instances.

  • Utilisez la protection contre les GuardDuty programmes malveillants pour identifier les comportements suspects indiquant la présence de logiciels malveillants sur vos instances susceptibles de compromettre votre charge de travail, de réaffecter des ressources à des fins malveillantes et d'obtenir un accès non autorisé à vos données.

  • Utilisez la surveillance du temps GuardDuty d'exécution pour identifier les menaces potentielles qui pèsent sur vos instances et y répondre. Pour plus d'informations, consultez Comment fonctionne la surveillance du temps d'exécution avec EC2 les instances Amazon.

  • Utilisez AWS Security Hub, Reachability Analyzer, ou Analyseur d'accès réseau pour vérifier l'absence d'accessibilité involontaire au réseau depuis vos instances.

  • Utilisez EC2 Instance Connect pour vous connecter à vos instances via Secure Shell (SSH) sans avoir à partager et à gérer les clés SSH.

  • Utilisez le AWS Systems Manager gestionnaire de session pour accéder à vos instances à distance au lieu d'ouvrir des ports SSH ou RDP entrants et de gérer des paires de clés.

  • Utilisez AWS Systems Manager Run Command pour automatiser les tâches administratives courantes au lieu de vous connecter à vos instances.

  • [Instances Windows] De nombreux rôles du système d’exploitation Windows et des applications professionnelles Microsoft offrent également des fonctionnalités améliorées, notamment les restrictions de plage d’adresses IP dans IIS, les politiques de filtrage TCP/IP dans Microsoft SQL Server et les politiques de filtrage de connexion dans Microsoft Exchange. La fonctionnalité de restriction de réseau au sein de la couche d’application peut fournir des couches supplémentaires de défense pour les serveurs d’applications métier critiques.

Amazon VPC prend en charge des contrôles de sécurité réseau complémentaires, tels que des passerelles, des serveurs proxy et des options de surveillance du réseau. Pour plus d'informations, consultez Contrôler le trafic réseau dans le Guide de l'utilisateur Amazon VPC.