Sécurité de l'infrastructure sur Amazon VPC - Amazon Virtual Private Cloud
Isolement de réseauContrôler le trafic réseauComparer les groupes de sécurité et le réseau ACLs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure sur Amazon VPC

Amazon Virtual Private Cloud est un service géré, protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et la manière dont AWS protège l'infrastructure, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez Protection de l'infrastructure dans Pilier Sécurité du cadre AWS Well‐Architected.

Vous pouvez utiliser API les appels AWS publiés par pour accéder VPC à Amazon via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous exigeons TLS 1.2 et recommandons TLS 1.3.

  • Ses suites de chiffrement parfaitement secrètes (PFS) comme (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrète associée à un IAM mandataire. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un Virtual Private Cloud (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le AWS cloud. Utilisez le concept distinct VPCs pour isoler l'infrastructure par charge de travail ou entité organisationnelle.

Un sous-réseau est une plage d'adresses IP dans unVPC. Lorsque vous lancez une instance, vous la lancez sur un sous-réseau de votreVPC. Utilisez des sous-réseaux pour isoler les niveaux de votre application (par exemple, web, application et base de données) dans un. VPC Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d’Internet.

Vous pouvez utiliser AWS PrivateLinkpour permettre aux ressources de vous connecter VPC à Services AWS l'aide d'adresses IP privées, comme si ces services étaient hébergés directement dans votreVPC. Par conséquent, pour accéder aux, vous n'avez pas besoin de passerelle Internet ou de NAT périphérique Internet Services AWS.

Contrôler le trafic réseau

Vous devez prendre en compte les éléments suivants pour le contrôle du trafic réseau vers les ressources qu'VPCil contient, comme EC2 les instances :

  • Utilisez les groupes de sécurité comme mécanisme principal pour contrôler l'accès réseau à votreVPCs. Si nécessaire, utilisez le réseau ACLs pour fournir un contrôle de réseau sans état et à grain grossier. Les groupes de sécurité sont plus polyvalents que le réseau ACLs en raison de leur capacité à effectuer un filtrage des paquets avec état et à créer des règles qui référencent d'autres groupes de sécurité. Le réseau ACLs peut être efficace en tant que contrôle secondaire (par exemple, pour refuser un sous-ensemble spécifique de trafic) ou garde-fous de sous-réseau de haut niveau. En outre, étant donné que le réseau ACLs s'applique à un sous-réseau entier, ils peuvent être utilisés comme defense-in-depth si une instance était lancée sans le groupe de sécurité correct.

  • Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d’Internet. Utilisez un hôte bastion ou une NAT passerelle pour l'accès Internet à partir d'instances de sous-réseaux privés.

  • Configurez des tables de routage de sous-réseau avec les routes réseau minimales pour répondre à vos exigences de connectivité.

  • Envisagez l'utilisation de groupes de sécurité supplémentaires ou d'interfaces réseau pour contrôler et vérifier le trafic de gestion d'EC2instance Amazon séparément du trafic d'application régulier. Ainsi, vous pouvez mettre en œuvre des IAM stratégies spéciales pour le contrôle des modifications, ce qui facilite l'audit des modifications apportées aux règles de groupe de sécurité ou aux scripts automatisés de vérification des règles. Plusieurs interfaces réseau procurent également des options supplémentaires pour contrôler le trafic réseau, notamment la possibilité de créer des stratégies de routage basées sur l'hôte ou de tirer parti de différentes règles de routage de VPC sous-réseau basées sur des interfaces réseau affectées à un sous-réseau.

  • Utilisez AWS Virtual Private Network ou AWS Direct Connect pour établir des connexions privées de vos réseaux distants vers votreVPCs. Pour plus d'informations, reportez-vous à la section Options de Network-to-Amazon VPC connectivité.

  • Utilisez des journaux de VPC flux pour surveiller la trafic atteignant vos instances.

  • Utilisez AWS Security Hub pour rechercher les accès réseau non intentionnels à partir de vos instances.

  • Utilisez AWS Network Firewallpour protéger les sous-réseaux de votre réseau VPC contre les menaces réseau courantes.

Comparer les groupes de sécurité et le réseau ACLs

Le tableau ci-après récapitule les différences de base entre les groupes de sécurité et le réseauACLs.

Groupe de sécurité Réseau ACL
Fonctionne au niveau de l'instance Fonctionne au niveau du sous-réseau
S'applique à une instance uniquement si elle est associée à l'instance S'applique à toutes les instances déployées dans le sous-réseau associé (forme une couche de défense supplémentaire si les règles du groupe de sécurité sont trop permissives)
Prend en charge les règles d'autorisation uniquement Prend en charge les règles d'autorisation et les règles de refus
Evalue toutes les règles avant de décider si le trafic doit être autorisé Les règles sont évaluées dans l'ordre, en commençant par la règle numérotée la plus basse, lorsque nous décidons d'autoriser le trafic
Est avec état : le trafic de retour est autorisé quelles que soient les règles Sans état : le trafic de retour doit être explicitement autorisé par des règles

Le schéma ci-après illustre les couches de sécurité fournies par les groupes de sécurité et le réseauACLs. Par exemple, le trafic d'une passerelle Internet est routé vers le sous-réseau approprié à l'aide de routes dans la table de routage. Les règles du réseau ACL associé au sous-réseau contrôlent le trafic autorisé dans le sous-réseau. Les règles du groupe de sécurité associé à une instance contrôlent le trafic autorisé dans l'instance.

Le trafic est contrôlé à l'aide de groupes de sécurité et d'un réseau ACLs

Vous pouvez sécuriser vos instances en utilisant uniquement des groupes de sécurité. Cependant, vous pouvez ajouter un réseau ACLs en tant que couche supplémentaire de défense. Pour de plus amples informations, veuillez consulter Exemple : contrôler l'accès aux instances dans un sous-réseau.