Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Infrastructure UO – Compte réseau

Le schéma suivant illustre les services de AWS sécurité configurés dans le compte réseau. 

Le compte réseau gère la passerelle entre votre application et Internet en général. Il est important de protéger cette interface bidirectionnelle. Le compte Réseau isole les services, la configuration et le fonctionnement du réseau des charges de travail des applications individuelles, de la sécurité et des autres infrastructures. Cette disposition permet non seulement de limiter la connectivité, les autorisations et le flux de données, mais aussi de favoriser la séparation des tâches et le moindre privilège pour les équipes qui ont besoin d’opérer sur ces comptes. En divisant le flux réseau en clouds privés virtuels entrants et sortants distincts (VPCs), vous pouvez protéger l'infrastructure et le trafic sensibles contre les accès indésirables. Le réseau entrant est généralement considéré comme présentant un risque plus élevé et doit faire l’objet d’un routage, d’une surveillance et d’une atténuation des problèmes potentiels appropriés. Ces comptes d’infrastructure hériteront des barrières de protection d’autorisation du compte de gestion de l’organisation et de l’UO de l’infrastructure. Les équipes de mise en réseau (et de sécurité) gèrent la majorité de l’infrastructure de ce compte.

Architecture réseau

Bien que la conception et les spécificités du réseau dépassent le cadre de ce document, nous recommandons les trois options suivantes pour la connectivité réseau entre les différents comptes : VPC peering et AWS Transit Gateway. AWS PrivateLink Les normes opérationnelles, les budgets et les besoins spécifiques en matière de bande passante sont des éléments importants à prendre en compte lors du choix de l’un d’entre eux. 

Entrant (entrée) VPC

L'entrée VPC est destinée à accepter, inspecter et acheminer les connexions réseau initiées en dehors de l'application. En fonction des spécificités de l'application, vous pouvez vous attendre à y voir une traduction d'adresses réseau (NAT)VPC. Les journaux de flux qui en découlent VPC sont capturés et stockés dans le compte Log Archive.

Sortant (sortie) VPC

Le trafic sortant VPC est destiné à gérer les connexions réseau initiées depuis l'application. En fonction des spécificités de l'application, vous pouvez vous attendre à y voir du traficNAT, des points de VPC terminaison AWS spécifiques au service et l'hébergement de points de API terminaison externes. VPC Les journaux de flux qui en découlent VPC sont capturés et stockés dans le compte Log Archive.

Inspection VPC

Une inspection dédiée VPC fournit une approche simplifiée et centralisée pour gérer les inspections entre VPCs (dans la même région ou dans différentes AWS régions), Internet et les réseaux locaux. Dans ce cas AWSSRA, assurez-vous que tout le trafic entre les deux VPCs passe par l'inspection VPC et évitez d'utiliser l'inspection VPC pour toute autre charge de travail.

AWS Network Firewall

AWSNetwork Firewall est un service de pare-feu réseau géré à haute disponibilité pour votreVPC. Il vous permet de déployer et de gérer sans effort l'inspection dynamique, la prévention et la détection des intrusions, ainsi que le filtrage Web pour protéger vos réseaux virtuels sur. AWS Vous pouvez utiliser Network Firewall pour déchiffrer les TLS sessions et inspecter le trafic entrant et sortant. Pour plus d'informations sur la configuration de Network Firewall, consultez le billet de VPC blog intitulé AWSNetwork Firewall — New Managed Firewall Service.

Vous utilisez un pare-feu par zone de disponibilité dans votreVPC. Pour chaque zone de disponibilité, vous choisissez un sous-réseau pour héberger le point de terminaison du pare-feu qui filtre votre trafic. Le point de terminaison du pare-feu d’une zone de disponibilité peut protéger tous les sous-réseaux de la zone, à l’exception du sous-réseau dans lequel il se trouve. Selon le cas d’utilisation et le modèle de déploiement, le sous-réseau du pare-feu peut être public ou privé. Le pare-feu est totalement transparent pour le flux de trafic et n'effectue pas de traduction d'adresses réseau (NAT). Il préserve l’adresse de la source et de la destination. Dans cette architecture de référence, les points de terminaison du pare-feu sont hébergés dans le cadre d'une inspectionVPC. Tout le trafic entrant VPC et sortant VPC est acheminé via ce sous-réseau de pare-feu à des fins d'inspection. 

Network Firewall rend l'activité du pare-feu visible en temps réel grâce aux CloudWatch métriques Amazon et offre une visibilité accrue du trafic réseau en envoyant des journaux à Amazon Simple Storage Service (Amazon S3) CloudWatch et à Amazon Data Firehose. Network Firewall est interopérable avec votre approche de sécurité existante, y compris les technologies des AWSpartenaires. Vous pouvez également importer des ensembles de règles Suricata existants, qui peuvent avoir été rédigés en interne ou provenir de fournisseurs tiers ou de plateformes open source. 

Dans le AWSSRA, Network Firewall est utilisé dans le compte réseau car les fonctionnalités du service axées sur le contrôle du réseau correspondent à l'intention du compte. 

Analyseur d’accès réseau

L'analyseur d'accès réseau est une fonctionnalité d'Amazon VPC qui identifie les accès réseau non intentionnels à vos ressources. Vous pouvez utiliser l’analyseur d’accès réseau pour valider la segmentation du réseau, identifier les ressources accessibles depuis Internet ou accessibles uniquement à partir de plages d’adresses IP fiables, et vérifier que vous disposez des contrôles réseau appropriés sur tous les chemins réseau.

Network Access Analyzer utilise des algorithmes de raisonnement automatisés pour analyser les chemins réseau qu'un paquet peut emprunter entre les ressources d'un AWS réseau et produit des résultats pour les chemins correspondant à l'étendue d'accès réseau que vous avez définie. L’analyseur d’accès réseau effectue une analyse statique de la configuration d’un réseau, ce qui signifie qu’aucun paquet n’est transmis sur le réseau dans le cadre de cette analyse.

Les règles d’accessibilité du réseau Amazon Inspector fournissent une fonctionnalité connexe. Les résultats générés par ces règles sont utilisés dans le compte de l’application. Network Access Analyzer et Network Reachability utilisent tous deux les dernières technologies issues de l'initiative AWS Provable Security, et ils appliquent cette technologie dans différents domaines d'intérêt. Le package Network Reachability se concentre spécifiquement sur les EC2 instances et leur accessibilité à Internet. 

Le compte réseau définit l'infrastructure réseau critique qui contrôle le trafic entrant et sortant de votre AWS environnement. Ce trafic doit être étroitement surveillé. Dans le AWSSRA, l'analyseur d'accès réseau est utilisé dans le compte réseau pour aider à identifier les accès réseau non intentionnels, à identifier les ressources accessibles à Internet via des passerelles Internet et à vérifier que les contrôles réseau appropriés tels que les pare-feux et les passerelles réseau sont présents sur tous les chemins réseau entre les ressources et les NAT passerelles Internet. 

AWS RAM

AWSResource Access Manager (AWSRAM) vous permet de partager en toute sécurité les AWS ressources que vous créez dans un AWS compte avec d'autres AWS comptes. AWSRAMfournit un emplacement central pour gérer le partage des ressources et pour standardiser cette expérience entre les comptes. Cela simplifie la gestion des ressources tout en tirant parti de l’isolation administrative et de la facturation, et réduit la portée des avantages en matière de limitation de l’impact offerts par une stratégie de plusieurs comptes. Si votre compte est géré par AWS Organizations, il vous AWS RAM permet de partager des ressources avec tous les comptes de l'organisation, ou uniquement avec les comptes d'une ou de plusieurs unités organisationnelles spécifiées (OUs). Vous pouvez également partager avec des AWS comptes spécifiques par identifiant de compte, que le compte fasse partie ou non d'une organisation. Vous pouvez également partager certains types de ressources pris en charge avec IAM des rôles et des utilisateurs spécifiques.

AWSRAMvous permet de partager des ressources qui ne prennent pas en charge les politiques IAM basées sur les ressources, telles que les VPC sous-réseaux et les règles Route 53. De plus, avec AWSRAM, les propriétaires d'une ressource peuvent voir quels principaux ont accès aux ressources individuelles qu'ils ont partagées. IAMles entités peuvent récupérer directement la liste des ressources partagées avec elles, ce qu'elles ne peuvent pas faire avec les ressources partagées par les politiques de IAM ressources. S'il AWS RAM est utilisé pour partager des ressources en dehors de votre AWS organisation, un processus d'invitation est lancé. Le destinataire doit accepter l’invitation avant que l’accès aux ressources ne soit accordé. Cela permet de renforcer les contrôles et les équilibres.

AWSRAMest invoqué et géré par le propriétaire de la ressource, dans le compte sur lequel la ressource partagée est déployée. Un cas d'utilisation courant AWS RAM illustré dans le AWS SRA est que les administrateurs réseau partagent des VPC sous-réseaux et des passerelles de transit avec l'ensemble AWS de l'organisation. Cela permet de dissocier les fonctions de gestion des AWS comptes et du réseau et contribue à la séparation des tâches. Pour plus d'informations sur le VPC partage, consultez le billet de AWS blog sur le VPCpartage : une nouvelle approche en matière de VPC gestion et de comptes multiples et le livre blanc sur l'infrastructure AWS réseau. 

Accès vérifié AWS

AWSVerified Access fournit un accès sécurisé aux applications d'entreprise sansVPN. Il améliore le niveau de sécurité en évaluant chaque demande d’accès en temps réel par rapport à des exigences prédéfinies. Vous pouvez définir une stratégie d’accès unique pour chaque application avec des conditions basées sur les données d’identité et la position de l’appareil. L’accès vérifié simplifie également les opérations de sécurité en aidant les administrateurs à définir et à surveiller efficacement les stratégies d’accès. Cela libère du temps pour mettre à jour les stratégies, répondre aux incidents de sécurité et de connectivité, et effectuer des audits de conformité. Verified Access prend également en charge l'intégration AWS WAF pour vous aider à filtrer les menaces courantes telles que l'SQLinjection et les scripts intersites ()XSS. Verified Access est parfaitement intégré à AWS IAM Identity Center, qui permet aux utilisateurs de s'authentifier auprès SAML de fournisseurs d'identité tiers (IdPs). Si vous disposez déjà d'une solution IdP personnalisée compatible avec OpenID Connect (OIDC), Verified Access peut également authentifier les utilisateurs en se connectant directement à votre IdP. L’accès vérifié enregistre chaque tentative d’accès afin que vous puissiez répondre rapidement aux incidents de sécurité et aux demandes d’audit. Verified Access prend en charge la livraison de ces journaux à Amazon Simple Storage Service (Amazon S3), Amazon Logs et CloudWatch Amazon Data Firehose.

L’accès vérifié prend en charge deux modèles d’applications d’entreprise courants : internes et orientées vers Internet. L’accès vérifié s’intègre aux applications à l’aide d’Application Load Balancer ou d’interfaces réseau élastiques. Si vous utilisez un Application Load Balancer, l’accès vérifié nécessite un équilibreur de charge interne. Comme Verified Access est compatible AWS WAF au niveau de l'instance, une application existante intégrée à un Application Load Balancer peut déplacer les politiques de l'équilibreur de charge vers l'instance Verified Access. AWS WAF Une application d’entreprise est représentée sous la forme d’un point de terminaison d’accès vérifié. Chaque point de terminaison est associé à un groupe d’accès vérifié et hérite de la stratégie d’accès du groupe. Un groupe d’accès vérifié est un ensemble de points de terminaison d’accès vérifié et une stratégie d’accès vérifié au niveau du groupe. Les groupes simplifient la gestion des stratégies et permettent aux administrateurs informatiques de définir des critères de base. Les propriétaires d’applications peuvent en outre définir des stratégies détaillées en fonction de la sensibilité de l’application.

Dans le AWSSRA, l'accès vérifié est hébergé dans le compte réseau. L’équipe informatique centrale met en place des configurations gérées de manière centralisée. Par exemple, les membres de l’équipe peuvent connecter des fournisseurs de confiance tels que des fournisseurs d’identité (par exemple, Okta) et des fournisseurs de confiance d’appareils (par exemple, Jamf), créer des groupes et déterminer la stratégie au niveau du groupe. Ces configurations peuvent ensuite être partagées avec des dizaines, des centaines ou des milliers de comptes de charge de travail à l'aide de AWS Resource Access Manager (AWSRAM). Cela permet aux équipes chargées des applications de gérer les points de terminaison sous-jacents qui gèrent leurs applications sans que d’autres équipes aient à s’en soucier. AWSRAMfournit un moyen évolutif de tirer parti de l'accès vérifié pour les applications d'entreprise hébergées sur différents comptes de charge de travail.

Amazon VPC Lattice

Amazon VPC Lattice est un service de mise en réseau d'applications qui connecte, surveille et sécurise les communications service-to-service. Un service, souvent appelé microservice, est une unité logicielle déployable indépendante qui exécute une tâche spécifique. VPCLattice gère automatiquement la connectivité réseau et le routage au niveau de la couche application entre les services VPCs et les AWS comptes sans que vous ayez à gérer la connectivité réseau sous-jacente, les équilibreurs de charge frontaux ou les proxys annexes. Il s’agit d’un proxy entièrement géré au niveau de l’application qui fournit un routage au niveau de l’application basé sur les caractéristiques de la demande telles que les chemins et les en-têtes. VPCLattice est intégré à l'VPCinfrastructure, de sorte qu'il fournit une approche cohérente pour un large éventail de types de calcul tels qu'Amazon Elastic Compute Cloud (AmazonEC2), Amazon Elastic Kubernetes Service EKS (Amazon) et Lambda. AWS VPCLattice prend également en charge le routage pondéré pour les déploiements bleu/vert et de type canary. Vous pouvez utiliser VPC Lattice pour créer un réseau de services avec une limite logique qui implémente automatiquement la découverte de services et la connectivité. VPCLattice s'intègre à AWS Identity and Access Management (IAM) pour service-to-service l'authentification et l'autorisation à l'aide de politiques d'authentification.

VPCLattice s'intègre à AWS Resource Access Manager (AWSRAM) pour permettre le partage de services et de réseaux de services. AWSSRAdécrit une architecture distribuée dans laquelle les développeurs ou les propriétaires de services créent des services VPC Lattice dans leur compte d'application. Les propriétaires de services définissent les écouteurs, les règles de routage et les groupes cibles ainsi que les stratégies d’authentification. Ils partagent ensuite les services avec d'autres comptes et les associent aux réseaux de services VPC Lattice. Ces réseaux sont créés par les administrateurs réseau dans le compte réseau et partagés avec le compte d’application. Les administrateurs réseau configurent les stratégies d’authentification au niveau du réseau de services et la surveillance. Les administrateurs associent VPCs les services VPC Lattice à un ou plusieurs réseaux de services. Pour une présentation détaillée de cette architecture distribuée, consultez le billet de AWS blog Créez une VPC connectivité multi-comptes sécurisée pour vos applications avec Amazon VPC Lattice.

Sécurit à la périphérie

La sécurité périphérique implique généralement trois types de protection : la diffusion sécurisée du contenu, la protection du réseau et de la couche applicative, et l'atténuation des attaques par déni de service distribué (DDoS). Les contenus tels que les données, les vidéos, les applications APIs doivent être diffusés rapidement et en toute sécurité, en utilisant la version recommandée de TLS pour crypter les communications entre les points de terminaison. Le contenu doit également être soumis à des restrictions d'accès via des cookies signés et une authentification par jeton. URLs La sécurité au niveau des applications doit être conçue pour contrôler le trafic des robots, bloquer les modèles d'attaque courants tels que l'SQLinjection ou les scripts intersites (XSS) et fournir une visibilité sur le trafic Web. À la périphérie, l'DDoSatténuation fournit une couche de défense importante qui garantit la disponibilité continue des opérations et des services commerciaux critiques. Les applications APIs doivent également être protégées contre SYN les inondations, UDP les inondations ou autres attaques par réflexion, et disposer d'un dispositif d'atténuation intégré pour stopper les attaques de base au niveau de la couche réseau.

AWSpropose plusieurs services destinés à fournir un environnement sécurisé, du cloud central à la périphérie du AWS réseau. Amazon CloudFront, AWS Certificate Manager (ACM) AWSWAF, AWS Shield et Amazon Route 53 travaillent ensemble pour créer un périmètre de sécurité flexible à plusieurs niveaux. Avec Amazon CloudFrontAPIs, le contenu ou les applications peuvent être diffusés HTTPS en utilisant TLSv1 .3 pour crypter et sécuriser les communications entre les clients spectateurs et CloudFront. Vous pouvez l'utiliser ACM pour créer un SSLcertificat personnalisé et le déployer gratuitement sur une CloudFront distribution. ACMgère automatiquement le renouvellement des certificats. AWSShield est un service de DDoS protection géré qui permet de protéger les applications qui s'exécutent surAWS. Il offre une détection dynamique et des mesures d’atténuation automatiques en ligne qui minimisent les temps d’arrêt et de latence des applications. AWSWAFvous permet de créer des règles pour filtrer le trafic Web en fonction de conditions spécifiques (adresses IP, HTTP en-têtes et corps, ou personnaliséURIs), des attaques Web courantes et des robots omniprésents. Route 53 est un service DNS Web hautement disponible et évolutif. Route 53 connecte les demandes des utilisateurs aux applications Internet qui s'exécutent sur site AWS ou sur site. Il AWS SRA adopte une architecture d'entrée réseau centralisée en utilisant AWS Transit Gateway, hébergé dans le compte Network, de sorte que l'infrastructure de sécurité périphérique est également centralisée dans ce compte.

Amazon CloudFront

Amazon CloudFront est un réseau de diffusion de contenu sécurisé (CDN) qui fournit une protection intrinsèque contre les couches réseau communes et les DDoS tentatives de transport. Vous pouvez diffuser votre contenu ou vos applications à l'aide de TLS certificats, et les TLS fonctionnalités avancées sont activées automatiquement. APIs Vous pouvez l'utiliser ACM pour créer un TLS certificat personnalisé et renforcer les HTTPS communications entre les utilisateurs CloudFront, comme décrit plus loin dans la ACMsection. Vous pouvez également exiger que les communications entre CloudFront et votre origine personnalisée mettent en œuvre end-to-end le chiffrement pendant le transit. Pour ce scénario, vous devez installer un TLS certificat sur votre serveur d'origine. Si votre origine est un équilibreur de charge élastique, vous pouvez utiliser un certificat généré par une autorité de certification tierce ACM ou un certificat validé par une autorité de certification (CA) tierce et importé dansACM. Si les points de terminaison du site Web du compartiment S3 servent d'origine à CloudFront, vous ne pouvez pas le configurer CloudFront pour l'utiliser HTTPS avec votre origine, car Amazon S3 ne prend pas en charge les points de terminaison HTTPS de sites Web. (Cependant, vous pouvez toujours exiger HTTPS entre les spectateurs et CloudFront.) Pour toutes les autres origines prenant en charge l'installation de HTTPS certificats, vous devez utiliser un certificat signé par une autorité de certification tierce de confiance.

CloudFront propose plusieurs options pour sécuriser et restreindre l'accès à votre contenu. Par exemple, il peut restreindre l'accès à votre origine Amazon S3 en utilisant des cookies signés URLs et signés. Pour plus d'informations, consultez la section Configuration de l'accès sécurisé et restriction de l'accès au contenu dans la CloudFront documentation.

Cela AWS SRA illustre les CloudFront distributions centralisées dans le compte Network, car elles s'alignent sur le modèle de réseau centralisé mis en œuvre à l'aide de Transit Gateway. En déployant et en gérant les CloudFront distributions dans le compte réseau, vous bénéficiez des avantages des contrôles centralisés. Vous pouvez gérer toutes les CloudFront distributions en un seul endroit, ce qui facilite le contrôle de l'accès, la configuration des paramètres et le suivi de l'utilisation sur tous les comptes. En outre, vous pouvez gérer les ACM certificats, les DNS enregistrements et la CloudFront journalisation à partir d'un seul compte centralisé. Le tableau CloudFront de bord de sécurité fournit de la AWS WAF visibilité et des contrôles directement dans votre CloudFront distribution. Vous bénéficiez d'une visibilité sur les principales tendances en matière de sécurité de votre application, le trafic autorisé et bloqué et l'activité des robots. Vous pouvez utiliser des outils d'investigation tels que des analyseurs visuels de journaux et des contrôles de blocage intégrés pour isoler les modèles de trafic et bloquer le trafic sans interroger les journaux ni écrire de règles de sécurité.

AWS WAF

AWSWAFest un pare-feu pour applications Web qui aide à protéger vos applications Web contre les exploits Web tels que les vulnérabilités courantes et les robots susceptibles d'affecter la disponibilité des applications, de compromettre la sécurité ou de consommer des ressources excessives. Il peut être intégré à une CloudFront distribution Amazon, à Amazon API Gateway RESTAPI, à un Application Load Balancer, à un AWS AppSync GraphQL, à un groupe d'utilisateurs API Amazon Cognito et au service App Runner. AWS

AWSWAFutilise des listes de contrôle d'accès Web (ACLs) pour protéger un ensemble de AWS ressources. Un site Web ACL est un ensemble de règles qui définit les critères d'inspection et une action associée à effectuer (bloquer, autoriser, compter ou exécuter un contrôle par bot) si une requête Web répond aux critères. AWSWAFfournit un ensemble de règles gérées qui fournissent une protection contre les vulnérabilités courantes des applications. Ces règles sont élaborées et gérées par AWS AWS nos partenaires. AWSWAFpropose également un langage de règles puissant pour créer des règles personnalisées. Vous pouvez utiliser des règles personnalisées pour définir des critères d’inspection adaptés à vos besoins particuliers. Il peut s’agir par exemple de restrictions IP, de restrictions géographiques ou de versions personnalisées de règles gérées qui s’adaptent mieux au comportement de votre application spécifique.

AWSWAFfournit un ensemble de règles intelligentes gérées par niveaux pour les robots courants et ciblés et la protection contre le piratage de compte ()ATP. Des frais d'abonnement et des frais d'inspection du trafic vous sont facturés lorsque vous utilisez le contrôle du bot et les groupes de ATP règles. C’est pourquoi nous vous recommandons de surveiller d’abord votre trafic et de décider ensuite de ce que vous allez utiliser. Vous pouvez utiliser les tableaux de bord de gestion des bots et de prise de contrôle de compte disponibles gratuitement sur la AWS WAF console pour surveiller ces activités, puis décider si vous avez besoin d'un groupe de AWS WAF règles de niveau intelligent.

Dans le AWSSRA, AWS WAF est intégré CloudFront au compte réseau. Dans cette configuration, le traitement des WAF règles s'effectue aux emplacements périphériques plutôt qu'à l'intérieur duVPC. Cela permet de filtrer le trafic malveillant plus près de l’utilisateur final qui a demandé le contenu, et d’empêcher le trafic malveillant d’entrer dans votre réseau principal.

Vous pouvez envoyer AWS WAF des journaux complets vers un compartiment S3 dans le compte Log Archive en configurant l'accès entre comptes au compartiment S3. Pour plus d'informations, consultez l'article AWS Re:Post à ce sujet.

AWS Shield

AWSShield est un service de DDoS protection géré qui protège les applications qui s'exécutent surAWS. Il existe deux niveaux de Shield : Shield Standard et Shield Advanced. Shield Standard fournit à tous les AWS clients une protection contre les événements d'infrastructure les plus courants (couches 3 et 4) sans frais supplémentaires. Shield Advanced fournit des mesures d'atténuation automatiques plus sophistiquées pour les événements non autorisés qui ciblent les applications sur les zones hébergées Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) CloudFront, Amazon, AWS Global Accelerator et Route 53 protégées. Si vous possédez des sites Web très visibles ou si vous êtes sujet à de fréquentes DDoS attaques, vous pouvez envisager les fonctionnalités supplémentaires proposées par Shield Advanced.

Vous pouvez utiliser la fonction DDoS d'atténuation automatique de la couche d'application de Shield Advanced pour configurer Shield Advanced afin de réagir automatiquement afin d'atténuer les attaques de la couche application (couche 7) contre vos CloudFront distributions protégées et vos équilibreurs de charge d'application. Lorsque vous activez cette fonctionnalité, Shield Advanced génère automatiquement des AWS WAF règles personnalisées pour atténuer les DDoS attaques. Shield Advanced vous donne également accès à la AWSShield Response Team (SRT). Vous pouvez nous contacter SRT à tout moment pour créer et gérer des mesures d'atténuation personnalisées pour votre application ou lors d'une DDoS attaque active. Si vous SRT souhaitez surveiller de manière proactive vos ressources protégées et vous contacter lors d'une DDoS tentative, pensez à activer la fonctionnalité d'engagement proactif.

AWSCertificate Manager

AWSCertificate Manager (ACM) vous permet de fournir, de gérer et de déployer des TLS certificats publics et privés à utiliser avec les AWS services et vos ressources internes connectées. AvecACM, vous pouvez rapidement demander un certificat, le déployer sur des AWS ressources ACM intégrées, telles que les équilibreurs de charge Elastic Load Balancing, les CloudFront distributions Amazon et sur APIs Amazon API Gateway, et vous laisser ACM gérer les renouvellements de certificats. Lorsque vous demandez des certificats ACM publics, il n'est pas nécessaire de générer une paire de clés ou une demande de signature de certificat (CSR), de soumettre une demande CSR à une autorité de certification (CA) ou de télécharger et d'installer le certificat lorsqu'il est reçu. ACMoffre également la possibilité d'importer des TLS certificats émis par des tiers CAs et de les déployer avec des services ACM intégrés. Lorsque vous gérez des certificats, les clés privées des certificats sont protégées et stockées de manière sécurisée en utilisant un cryptage renforcé et les meilleures pratiques de gestion des clés. ACM Il n'ACMy a aucun frais supplémentaire pour le provisionnement des certificats publics et ACM gère le processus de renouvellement.

ACMest utilisé dans le compte Network pour générer un TLS certificat public, qui, à son tour, est utilisé par les CloudFront distributions pour établir la HTTPS connexion entre les spectateurs et CloudFront. Pour plus d'informations, consultez la CloudFront documentation.

Amazon Route 53

Amazon Route 53 est un service DNS Web évolutif et hautement disponible. Vous pouvez utiliser Route 53 pour exécuter trois fonctions principales : enregistrement de domaine, DNS routage et vérification de l'état de santé.

Vous pouvez utiliser Route 53 en tant que DNS service pour mapper des noms de domaine à vos EC2 instances, compartiments S3, CloudFront distributions et autres AWS ressources. La nature distribuée des AWS DNS serveurs permet de garantir que vos utilisateurs finaux sont acheminés de manière cohérente vers votre application. Des fonctionnalités telles que le flux de trafic et le contrôle du routage de Route 53 vous aident à améliorer la fiabilité. Si le point de terminaison principal de votre application devient indisponible, vous pouvez configurer votre basculement pour rediriger vos utilisateurs vers un autre emplacement. Route 53 Resolver fournit une solution récursive DNS pour vos réseaux VPC et ceux sur site via Direct AWS Connect ou gérés. AWS VPN

En utilisant le service AWS Identity and Access Management (IAM) avec Route 53, vous pouvez contrôler avec précision qui peut mettre à jour vos DNS données. Vous pouvez activer DNS la signature des extensions de sécurité (DNSSEC) pour permettre aux DNS résolveurs de vérifier qu'une DNS réponse provient de Route 53 et qu'elle n'a pas été modifiée.

Route 53 Resolver DNS Firewall protège les DNS demandes sortantes provenant de votre. VPCs Ces demandes passent par Route 53 Resolver pour la résolution du nom de domaine. L'une des principales utilisations des protections par DNS pare-feu est d'empêcher l'DNSexfiltration de vos données. Avec DNS Firewall, vous pouvez surveiller et contrôler les domaines que vos applications peuvent interroger. Vous pouvez refuser l’accès aux domaines malveillants et autoriser le passage de toutes les autres requêtes. Vous pouvez également refuser l’accès à tous les domaines, sauf ceux que vous approuvez explicitement. Vous pouvez également utiliser le DNS pare-feu pour bloquer les demandes de résolution adressées aux ressources des zones hébergées privées (partagées ou locales), y compris les noms des points de VPC terminaison. Il peut également bloquer les demandes de noms d'EC2instances publics ou privés.

Les résolveurs Route 53 sont créés par défaut dans le cadre de chaqueVPC. Dans le AWSSRA, la Route 53 est utilisée dans le compte réseau principalement pour la fonctionnalité de DNS pare-feu.