SEC05-BP03 Mettre en œuvre une protection basée sur l’inspection - Framework AWS Well-Architected
Directives d’implémentationÉtapes d’implémentationRessources

SEC05-BP03 Mettre en œuvre une protection basée sur l’inspection

Configurez des points d’inspection du trafic entre les couches de votre réseau afin de vous assurer que les données en transit correspondent aux catégories et aux modèles attendus.  Analysez les flux de trafic, les métadonnées et les modèles pour identifier et détecter les événements, et y répondre plus efficacement.

Résultat souhaité : le trafic qui passe d’une couche à l’autre de votre réseau est inspecté et autorisé.  Les décisions d’autorisation et de refus sont basées sur des règles explicites, des informations sur les menaces et des écarts par rapport aux comportements de base.  Les protections deviennent plus strictes à mesure que le trafic se rapproche des données sensibles.

Anti-modèles courants :

  • S’appuyer uniquement sur les règles de pare-feu basées sur les ports et les protocoles. Ne pas tirer parti des systèmes intelligents.

  • Créer des règles de pare-feu basées sur des modèles de menaces actuels spécifiques susceptibles de changer.

  • Inspecter uniquement le trafic transitant des sous-réseaux privés vers des sous-réseaux publics, ou des sous-réseaux publics vers Internet.

  • Ne pas disposer d’une vue de base de votre trafic réseau à utiliser à titre de comparaison afin de détecter les anomalies de comportement.

Avantages du respect de cette bonne pratique : les systèmes d’inspection vous permettent de créer des règles intelligentes, telles que l’autorisation ou le refus du trafic uniquement lorsque certaines conditions relatives aux données de trafic existent. Bénéficiez d’ensembles de règles gérées établis par AWS et des partenaires, en fonction des dernières informations sur les menaces, à mesure que le paysage des menaces évolue.  Cela réduit les frais liés à la mise à jour des règles et à la recherche d’indicateurs de compromis, réduisant ainsi le risque de faux positifs.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Contrôlez avec précision votre trafic réseau avec et sans état à l’aide de AWS Network Firewall ou d’autres pare-feux et systèmes de prévention des intrusions (IPS) sur AWS Marketplace que vous pouvez déployer derrière un Gateway Load Balancer (GWLB). AWS Network Firewall prend en charge les spécifications IPS open source compatibles avec Suricata pour protéger votre charge de travail.

AWS Network Firewall et les solutions fournisseurs qui utilisent un GWLB prennent en charge différents modèles de déploiement de l’inspection en ligne.  Par exemple, vous pouvez effectuer une inspection par VPC, centraliser dans un VPC d’inspection ou déployer dans un modèle hybride dans lequel le trafic est-ouest passe par un VPC d’inspection et l’entrée Internet est inspectée par VPC.  Vous devez également chercher à savoir si la solution prend en charge le désencapsulage du protocole TLS (Transport Layer Security), permettant une inspection approfondie des paquets pour les flux de trafic lancés dans les deux sens. Pour plus d’informations et des détails détaillés sur ces configurations, consultez le guide des bonnes pratiques AWS Network Firewall.

Si vous utilisez des solutions qui effectuent des inspections hors bande, telles que l’analyse pcap des données par paquets provenant d’interfaces réseau fonctionnant en mode promiscuité, vous pouvez configurer la mise en miroir du trafic VPC. Le trafic en miroir est pris en compte dans la bande passante disponible de vos interfaces et il est soumis aux mêmes frais de transfert de données que le trafic non mis en miroir. Vous pouvez voir si des versions virtuelles de ces appliances sont disponibles sur AWS Marketplace, qui peut prendre en charge le déploiement en ligne derrière un GWLB.

Pour les composants qui effectuent des transactions via des protocoles HTTP, protégez votre application contre les menaces courantes à l’aide d’un pare-feu d’application Web (WAF). AWS WAF est un pare-feu d’application web qui vous permet de surveiller et de bloquer les requêtes HTTP(S) conformes à vos règles configurables avant de les envoyer vers Amazon API Gateway, Amazon CloudFront, AWS AppSync ou un Application Load Balancer. Envisagez une inspection approfondie des paquets lorsque vous évaluez le déploiement de votre pare-feu d’applications Web, car certains exigent que vous mettiez fin au protocole TLS avant l’inspection du trafic. Pour commencer à utiliser AWS WAF, vous pouvez utiliser AWS Managed Rules en combinaison des vôtres ou des intégrations de partenaires existantes.

Vous pouvez gérer de manière centralisée AWS WAF, AWS Shield Advanced, AWS Network Firewall et les groupes de sécurité Amazon VPC au sein de votre organisation AWS avec AWS Firewall Manager

Étapes d’implémentation

  1. Déterminez si vous pouvez étendre la portée des règles d’inspection, par exemple par le biais d’un VPC d’inspection, ou si vous avez besoin d’une approche plus granulaire par VPC.

  2. Pour les solutions d’inspection en ligne :

    1. Si vous utilisez AWS Network Firewall, créez des règles, des politiques de pare-feu et le pare-feu lui-même. Une fois ceux-ci configurés, vous pouvez acheminer le trafic vers le point de terminaison du pare-feu pour permettre l’inspection. 

    2. Si vous utilisez un appareil tiers doté d’un Gateway Load Balancer (GWLB), déployez et configurez cet appareil dans une ou plusieurs zones de disponibilité. Créez ensuite votre GWLB, le service de point de terminaison et le point de terminaison, et configurez le routage pour votre trafic.

  3. Pour les solutions d’inspection hors bande :

    1. Activez la mise en miroir du trafic VPC sur les interfaces où le trafic entrant et sortant doit être mis en miroir. Vous pouvez utiliser des règles Amazon EventBridge pour invoquer une fonction AWS Lambda afin d’activer la mise en miroir du trafic sur les interfaces lorsque de nouvelles ressources sont créées. Dirigez les sessions de mise en miroir du trafic vers le Network Load Balancer situé devant votre appareil qui traite le trafic.

  4. Pour les solutions de trafic Web entrant :

    1. Pour configurer AWS WAF, commencez par configurer une liste de contrôle d’accès Web (ACL Web). L’ACL Web est un ensemble de règles comportant une action par défaut traitée en série (AUTORISER ou REFUSER) qui définit la manière dont votre WAF gère le trafic. Vous pouvez créer vos propres règles et groupes ou utiliser des groupes de règles gérées par AWS dans votre ACL Web.

    2. Une fois votre ACL Web configurée, associez-la à une ressource AWS (telle qu’un Application Load Balancer, une API Gateway API REST ou une distribution CloudFront) pour commencer à protéger le trafic Web.

Ressources

Documents connexes :

Exemples connexes :

Outils associés :