Sécurité de l'infrastructure sur Amazon VPC - Amazon Virtual Private Cloud
Isolement de réseauContrôler le trafic réseauComparez les groupes de sécurité et le réseau ACLs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure sur Amazon VPC

En tant que service géré, Amazon Virtual Private Cloud est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez les API appels AWS publiés pour accéder à Amazon VPC via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le AWS cloud. Utilisez la méthode séparée VPCs pour isoler l'infrastructure par charge de travail ou entité organisationnelle.

Un sous-réseau est une plage d'adresses IP dans unVPC. Lorsque vous lancez une instance, vous la lancez dans un sous-réseau de votreVPC. Utilisez des sous-réseaux pour isoler les niveaux de votre application (par exemple, le Web, l'application et la base de données) en un seulVPC. Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d’Internet.

Vous pouvez utiliser AWS PrivateLinkpour activer les ressources de votre compte VPC pour vous connecter à Services AWS l'aide d'adresses IP privées, comme si ces services étaient hébergés directement dans votreVPC. Par conséquent, vous n'avez pas besoin d'utiliser une passerelle Internet ou un NAT appareil pour y accéder Services AWS.

Contrôler le trafic réseau

Envisagez les options suivantes pour contrôler le trafic réseau vers les ressources de votre ordinateurVPC, telles que EC2 les instances :

  • Utilisez les groupes de sécurité comme principal mécanisme de contrôle de l'accès réseau à votreVPCs. Si nécessaire, utilisez le réseau ACLs pour fournir un contrôle du réseau sans état et grossier. Les groupes de sécurité sont plus polyvalents que les réseauxACLs, en raison de leur capacité à effectuer un filtrage dynamique des paquets et à créer des règles faisant référence à d'autres groupes de sécurité. Le réseau ACLs peut être efficace en tant que contrôle secondaire (par exemple, pour refuser un sous-ensemble spécifique de trafic) ou en tant que garde-corps de haut niveau. De plus, comme le réseau ACLs s'applique à l'ensemble d'un sous-réseau, il peut être utilisé comme defense-in-depth si une instance était lancée sans le groupe de sécurité approprié.

  • Utilisez des sous-réseaux privés pour vos instances si elles ne doivent pas être accessibles directement à partir d’Internet. Utilisez un hôte ou une NAT passerelle bastion pour accéder à Internet à partir d'instances situées dans des sous-réseaux privés.

  • Configurez des tables de routage de sous-réseau avec les routes réseau minimales pour répondre à vos exigences de connectivité.

  • Envisagez d'utiliser des groupes de sécurité ou des interfaces réseau supplémentaires pour contrôler et auditer le trafic de gestion des EC2 instances Amazon séparément du trafic normal des applications. Par conséquent, vous pouvez mettre en œuvre des IAM politiques spéciales pour le contrôle des modifications, ce qui facilite l'audit des modifications apportées aux règles des groupes de sécurité ou aux scripts de vérification automatique des règles. Les interfaces réseau multiples offrent également des options supplémentaires pour contrôler le trafic réseau, notamment la possibilité de créer des politiques de routage basées sur l'hôte ou de tirer parti de différentes règles de routage de VPC sous-réseau basées sur les interfaces réseau attribuées à un sous-réseau.

  • Utilisez AWS Virtual Private Network ou AWS Direct Connect pour établir des connexions privées entre vos réseaux distants et votreVPCs. Pour plus d'informations, consultez la section Options de Network-to-Amazon VPC connectivité.

  • Utilisez les journaux de VPC flux pour surveiller le trafic qui atteint vos instances.

  • Utilisez AWS Security Hub pour rechercher les accès réseau non intentionnels à partir de vos instances.

  • AWS Network FirewallÀ utiliser pour protéger les sous-réseaux de votre réseau VPC contre les menaces réseau courantes.

Comparez les groupes de sécurité et le réseau ACLs

Le tableau suivant récapitule les principales différences entre les groupes de sécurité et le réseauACLs.

Groupe de sécurité Réseau ACL
Fonctionne au niveau de l'instance Fonctionne au niveau du sous-réseau
S'applique à une instance uniquement si elle est associée à l'instance S'applique à toutes les instances déployées dans le sous-réseau associé (forme une couche de défense supplémentaire si les règles du groupe de sécurité sont trop permissives)
Prend en charge les règles d'autorisation uniquement Prend en charge les règles d'autorisation et les règles de refus
Evalue toutes les règles avant de décider si le trafic doit être autorisé Les règles sont évaluées dans l'ordre, en commençant par la règle numérotée la plus basse, lorsque nous décidons d'autoriser le trafic
Est avec état : le trafic de retour est autorisé quelles que soient les règles Sans état : le trafic de retour doit être explicitement autorisé par des règles

Le schéma suivant illustre les couches de sécurité fournies par les groupes de sécurité et le réseauACLs. Par exemple, le trafic d'une passerelle Internet est routé vers le sous-réseau approprié à l'aide de routes dans la table de routage. Les règles du réseau ACL associé au sous-réseau contrôlent le trafic autorisé vers le sous-réseau. Les règles du groupe de sécurité associé à une instance contrôlent le trafic autorisé dans l'instance.

Le trafic est contrôlé à l'aide de groupes de sécurité et d'un réseau ACLs

Vous pouvez sécuriser vos instances en utilisant uniquement des groupes de sécurité. Cependant, vous pouvez ajouter un réseau ACLs comme couche de défense supplémentaire. Pour de plus amples informations, veuillez consulter Exemple : contrôler l'accès aux instances dans un sous-réseau.