Utilisation des politiques de groupe de sécurité dans Firewall Manager pour gérer les groupes de sécurité Amazon VPC - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Bonnes pratiques en matière de politique des groupes de sécuritéMises en garde et limites relatives à la politique des groupes de sécuritéCas d'utilisation des stratégies de groupe de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des politiques de groupe de sécurité dans Firewall Manager pour gérer les groupes de sécurité Amazon VPC

Cette page explique comment utiliser les politiques des groupes AWS Firewall Manager de sécurité pour gérer les groupes de sécurité Amazon Virtual Private Cloud pour votre organisation dans AWS Organizations. Vous pouvez appliquer des stratégies de groupe de sécurité contrôlées de manière centralisée à l'ensemble de votre organisation ou à un sous-ensemble sélectionné de vos comptes et ressources. Vous pouvez également surveiller et gérer les stratégies de groupe de sécurité utilisées dans votre organisation, avec des stratégies de groupe de sécurité d'audit et d'utilisation.

Firewall Manager gère en permanence vos politiques et les applique aux comptes et aux ressources à mesure qu'ils sont ajoutés ou mis à jour au sein de votre organisation. Pour plus d'informations AWS Organizations, consultez le Guide de AWS Organizations l'utilisateur.

Pour plus d'informations sur les groupes de sécurité Amazon Virtual Private Cloud, consultez la section Groupes de sécurité pour votre VPC dans le guide de l'utilisateur Amazon VPC.

Vous pouvez utiliser les politiques de groupe de sécurité de Firewall Manager pour effectuer les opérations suivantes au sein de votre AWS entreprise :

  • Appliquer des groupes de sécurité communs aux comptes et ressources spécifiés.

  • Auditer des règles de groupe de sécurité pour rechercher et corriger les règles non conformes.

  • Auditer l'utilisation des groupes de sécurité pour nettoyer les groupes de sécurité inutilisés et redondants.

Cette section décrit le fonctionnement des politiques des groupes de sécurité de Firewall Manager et fournit des conseils pour les utiliser. Pour les procédures de création de politiques de groupe de sécurité, voirCréation d'une AWS Firewall Manager politique.

Bonnes pratiques pour les stratégies de groupe de sécurité

Cette section répertorie les recommandations relatives à la gestion des groupes de sécurité à l'aide d' AWS Firewall Manager.

Exclure le compte administrateur de Firewall Manager

Lorsque vous définissez le champ d'application de la politique, excluez le compte administrateur de Firewall Manager. Lorsque vous créez une stratégie de groupe de sécurité d'audit d'utilisation via la console, il s'agit de l'option par défaut.

Désactiver le lancement avec la correction automatique

Pour les stratégies de groupe de sécurité d'audit de contenu ou d'utilisation, démarrez avec la résolution automatique désactivée. Examinez les informations détaillées de la stratégie pour déterminer les effets qu'aurait la résolution automatique aurait. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie pour activer la résolution automatique.

Éviter les conflits en cas d'utilisation de sources externes pour gérer des groupes de sécurité

Si vous utilisez un outil ou un service autre que Firewall Manager pour gérer les groupes de sécurité, veillez à éviter les conflits entre les paramètres de Firewall Manager et ceux de votre source externe. Si vous avez recours à la correction automatique et que vos paramètres se contredisent, vous pouvez créer un cycle de résolution sans fin qui consomme des ressources des deux côtés.

Supposons, par exemple, que vous configuriez un autre service pour gérer un groupe de sécurité pour un ensemble de AWS ressources, et que vous configuriez une politique de Firewall Manager afin de maintenir un groupe de sécurité différent pour certaines ou toutes les mêmes ressources. Si vous configurez l'un des deux services pour interdire l'association d'un autre groupe de sécurité aux ressources concernées, celui-ci supprimera l'association de ce groupe de sécurité dans l'autre service. Si les deux services sont configurés de cette manière, vous pouvez vous retrouver avec un cycle de désassociations et d'associations sans fin.

Supposons également que vous créiez une politique d'audit de Firewall Manager pour appliquer une configuration de groupe de sécurité en conflit avec la configuration de groupe de sécurité de l'autre service. Les mesures correctives appliquées par la politique d'audit de Firewall Manager peuvent mettre à jour ou supprimer ce groupe de sécurité, le rendant ainsi non conforme pour l'autre service. Si l'autre service est configuré pour surveiller et résoudre automatiquement les problèmes détectés, il recréera ou mettra à jour le groupe de sécurité, le rendant ainsi non conforme à la politique d'audit de Firewall Manager. Si la politique d'audit de Firewall Manager est configurée avec une correction automatique, elle met à jour ou supprime à nouveau le groupe de sécurité externe, etc.

Pour éviter de tels conflits, créez des configurations qui s'excluent mutuellement entre Firewall Manager et toute source externe.

Vous pouvez utiliser le balisage pour exclure les groupes de sécurité extérieurs de la correction automatique prévue par vos politiques de Firewall Manager. Pour ce faire, ajoutez une ou plusieurs balises aux groupes de sécurité ou à d'autres ressources gérées par la source externe. Ensuite, lorsque vous définissez le champ d'application de la politique de Firewall Manager, dans la spécification de vos ressources, excluez les ressources qui possèdent le ou les tags que vous avez ajoutés.

De même, dans votre outil ou service externe, excluez les groupes de sécurité gérés par Firewall Manager de toute activité de gestion ou d'audit. N'importez pas les ressources de Firewall Manager ou utilisez le balisage spécifique à Firewall Manager pour les exclure de la gestion externe.

Bonnes pratiques en matière d'audit d'utilisation, politiques de groupe de sécurité

Suivez ces directives lorsque vous utilisez des politiques de groupe de sécurité d'audit d'utilisation.

  • Évitez de modifier plusieurs fois le statut d'association d'un groupe de sécurité dans un court laps de temps, par exemple dans un délai de 15 minutes. Cela peut empêcher Firewall Manager de rater certains ou tous les événements correspondants. Par exemple, n'associez et ne dissociez pas rapidement un groupe de sécurité à une interface elastic network.

Mises en garde et limites relatives à la politique des groupes de sécurité

Cette section répertorie les mises en garde et les limites liées à l'utilisation des politiques de groupe de sécurité de Firewall Manager.

Type de ressource : EC2 instance Amazon

Cette section répertorie les mises en garde et les limites relatives à la protection des EC2 instances Amazon avec les politiques de groupe de sécurité de Firewall Manager.

  • Avec les groupes de sécurité qui protègent les interfaces réseau EC2 élastiques d'Amazon (ENIs), les modifications apportées à un groupe de sécurité ne sont pas immédiatement visibles par Firewall Manager. Firewall Manager détecte généralement les modifications en quelques heures, mais la détection peut être retardée jusqu'à six heures.

  • Firewall Manager ne prend pas en charge les groupes de sécurité pour Amazon EC2 ENIs créés par Amazon Relational Database Service.

  • Firewall Manager ne prend pas en charge la mise à jour des groupes de sécurité pour Amazon EC2 ENIs créés à l'aide du type de service Fargate. Vous pouvez toutefois mettre à jour les groupes de sécurité pour Amazon ECS ENIs avec le type EC2 de service Amazon.

  • Firewall Manager ne prend pas en charge la mise à jour des groupes de sécurité pour Amazon géré par les demandeurs EC2 ENIs, car Firewall Manager n'est pas autorisé à les modifier.

  • Pour les politiques de groupe de sécurité courantes, ces mises en garde concernent l'interaction entre le nombre d'interfaces réseau élastiques (ENIs) associées à l' EC2 instance et l'option de stratégie qui indique s'il faut corriger uniquement les EC2 instances sans pièces jointes ajoutées ou corriger toutes les instances. Chaque EC2 instance possède une ENI principale par défaut, et vous pouvez en attacher d'autres ENIs. Dans l'API, le paramètre de l'option de politique pour ce choix estApplyToAllEC2InstanceENIs.

    Si une EC2 instance comprise dans le champ d'application comporte des pièces ENIs jointes supplémentaires et que la politique est configurée pour inclure uniquement les EC2 instances comportant uniquement l'ENI principal, Firewall Manager ne tentera aucune correction pour l' EC2 instance. En outre, si l'instance sort du champ d'application des règles, Firewall Manager n'essaie pas de dissocier les associations de groupes de sécurité qu'il aurait pu établir pour l'instance.

    Dans les cas extrêmes suivants, pendant le nettoyage des ressources, Firewall Manager peut laisser intactes les associations de groupes de sécurité répliquées, quelles que soient les spécifications de nettoyage des ressources de la politique :

    • Lorsqu'une instance comportant des éléments supplémentaires ENIs a été précédemment corrigée par une stratégie configurée pour inclure toutes les EC2 instances, soit l'instance est sortie du champ d'application de la stratégie, soit le paramètre de stratégie a été modifié pour inclure uniquement les instances sans ajout d'instances supplémentaires ENIs.

    • Lorsqu'une instance sans ajout ENIs a été corrigée par une politique configurée pour inclure uniquement les instances sans ajout ENIs, un autre ENI a été attaché à l'instance, puis l'instance est sortie du champ d'application de la politique.

Autres mises en garde et limites

Vous trouverez ci-dessous diverses mises en garde et limitations relatives aux politiques de groupe de sécurité de Firewall Manager.

  • La mise à jour d'Amazon ECS n' ENIs est possible que pour les services Amazon ECS qui utilisent le contrôleur de déploiement de mise à jour continue (Amazon ECS). Pour les autres contrôleurs de déploiement Amazon ECS tels que CODE_DEPLOY ou les contrôleurs externes, Firewall Manager ne peut actuellement pas mettre à jour le. ENIs

  • Firewall Manager ne prend pas en charge la mise à jour des groupes de sécurité ENIs pour les équilibreurs de charge réseau.

  • Dans les politiques de groupe de sécurité courantes, si un VPC partagé est ultérieurement départagé avec un compte, Firewall Manager ne supprimera pas les répliques de groupes de sécurité du compte.

  • Avec les politiques de groupe de sécurité d'audit d'utilisation, si vous créez plusieurs politiques avec un paramètre de délai personnalisé qui ont toutes le même champ d'application, la première stratégie contenant des résultats de conformité sera celle qui communique les résultats.

Cas d'utilisation des stratégies de groupe de sécurité

Vous pouvez utiliser des politiques de groupe de sécurité AWS Firewall Manager communes pour automatiser la configuration du pare-feu hôte pour les communications entre les instances Amazon VPC. Cette section répertorie les architectures Amazon VPC standard et décrit comment les sécuriser à l'aide des politiques de groupe de sécurité communes de Firewall Manager. Ces politiques de groupe de sécurité peuvent vous aider à appliquer un ensemble unifié de règles pour sélectionner les ressources de différents comptes et à éviter les configurations par compte dans Amazon Elastic Compute Cloud et Amazon VPC.

Grâce aux politiques de groupe de sécurité communes de Firewall Manager, vous pouvez étiqueter uniquement les interfaces réseau EC2 élastiques dont vous avez besoin pour communiquer avec les instances d'un autre Amazon VPC. Les autres instances du même Amazon VPC sont alors plus sécurisées et isolées.

Cas d'utilisation : surveillance et contrôle des demandes adressées aux équilibreurs de charge d'application et aux équilibreurs de charge classiques

Vous pouvez utiliser une politique de groupe de sécurité commune de Firewall Manager pour définir les demandes que vos équilibreurs de charge intégrés doivent traiter. Vous pouvez le configurer via la console Firewall Manager. Seules les demandes conformes aux règles entrantes du groupe de sécurité peuvent atteindre vos équilibreurs de charge, et les équilibreurs de charge distribueront uniquement les demandes conformes aux règles sortantes.

Cas d'utilisation : Amazon VPC public et accessible par Internet

Vous pouvez utiliser une politique de groupe de sécurité commune de Firewall Manager pour sécuriser un Amazon VPC public, par exemple pour autoriser uniquement le port entrant 443. Cela revient au même que d'autoriser uniquement le trafic HTTPS entrant pour un VPC public. Vous pouvez étiqueter les ressources publiques au sein du VPC (par exemple, en tant que « PublicVPC »), puis définir le champ d'application de la politique de Firewall Manager de manière à ce que seules les ressources dotées de cette balise soient définies. Firewall Manager applique automatiquement la politique à ces ressources.

Cas d'utilisation : instances Amazon VPC publiques et privées

Vous pouvez utiliser la même politique de groupe de sécurité commune pour les ressources publiques que celle recommandée dans le cas d'utilisation précédent pour les instances publiques Amazon VPC accessibles sur Internet. Vous pouvez utiliser une deuxième stratégie de groupe de sécurité commune pour limiter la communication entre les ressources publiques et les ressources privées. Marquez les ressources des instances Amazon VPC publiques et privées avec quelque chose comme « PublicPrivate » pour leur appliquer la deuxième politique. Vous pouvez utiliser une troisième politique pour définir la communication autorisée entre les ressources privées et d'autres instances privées ou privées d'Amazon VPC. Pour cette stratégie, vous pouvez utiliser une autre balise d'identification sur les ressources privées.

Cas d'utilisation : instances Amazon VPC Hub and Spoke

Vous pouvez utiliser une politique de groupe de sécurité commune pour définir les communications entre l'instance Amazon VPC hub et les instances Amazon VPC parlées. Vous pouvez utiliser une deuxième politique pour définir la communication entre chaque instance Amazon VPC en étoile et l'instance Amazon VPC du hub.

Cas d'utilisation : interface réseau par défaut pour les EC2 instances Amazon

Vous pouvez utiliser une stratégie de groupe de sécurité commune pour autoriser uniquement les communications standard, par exemple les services SSH et de mise à jour de correctif/système d'exploitation internes, et pour interdire d'autres communications non sécurisées.

Cas d'utilisation : identifier les ressources avec des autorisations ouvertes

Vous pouvez utiliser une stratégie de groupe de sécurité d'audit pour identifier toutes les ressources de votre organisation qui sont autorisées à communiquer avec des adresses IP publiques ou qui possèdent des adresses IP appartenant à des fournisseurs tiers.