Sécurité de l'infrastructure dans Elastic Load Balancing - Elastic Load Balancing
Isolement de réseauContrôle du trafic réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité de l'infrastructure dans Elastic Load Balancing

En tant que service géré, Elastic Load Balancing est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section Sécurité du AWS cloud. Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section Protection de l'infrastructure dans le cadre AWS bien architecturé du pilier de sécurité.

Vous utilisez des API appels AWS publiés pour accéder à Elastic Load Balancing via le réseau. Les clients doivent prendre en charge les éléments suivants :

  • Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.

En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations d'identification de sécurité temporaires et signer les demandes.

Isolement de réseau

Un cloud privé virtuel (VPC) est un réseau virtuel situé dans votre propre zone logiquement isolée dans le AWS cloud. Un sous-réseau est une plage d'adresses IP dans unVPC. Lorsque vous créez un équilibreur de charge, vous pouvez spécifier un ou plusieurs sous-réseaux pour les nœuds d'équilibreur de charge. Vous pouvez déployer EC2 des instances dans vos sous-réseaux VPC et les enregistrer auprès de votre équilibreur de charge. Pour plus d'informations sur les sous-réseaux VPC et les sous-réseaux, consultez le guide de VPC l'utilisateur Amazon.

Lorsque vous créez un équilibreur de charge dans unVPC, il peut être connecté à Internet ou interne. Un équilibreur de charge interne ne peut acheminer que les demandes provenant de clients ayant accès à l'équilibreur VPC de charge.

Votre équilibreur de charge envoie des demandes à ses cibles enregistrées en utilisant des adresses IP privées. Par conséquent, vos cibles n'ont pas besoin d'adresses IP publiques pour recevoir des demandes de la part d'un équilibreur de charge.

Pour appeler Elastic Load Balancing API depuis vos VPC adresses IP privées, utilisez AWS PrivateLink. Pour de plus amples informations, veuillez consulter Accés à Elastic Load Balancing à l'aide d'un point de terminaison d'interface (AWS PrivateLink).

Contrôle du trafic réseau

Tenez compte des options suivantes pour sécuriser le trafic réseau lorsque vous utilisez un équilibreur de charge :

  • Utilisez des écouteurs sécurisés pour prendre en charge les communications chiffrées entre les clients et vos équilibreurs de charge. Les équilibreurs de charge d'application prennent en charge les HTTPS auditeurs. Les Network Load Balancers prennent en charge les TLS auditeurs. Les équilibreurs de charge classiques prennent en charge à la fois les TLS auditeurs HTTPS et les auditeurs. Vous pouvez choisir parmi les stratégies de sécurité prédéfinies de sorte que votre équilibreur de charge spécifie les suites de chiffrement et les versions de protocole prises en charge par votre application. Vous pouvez utiliser AWS Certificate Manager (ACM) ou AWS Identity and Access Management (IAM) pour gérer les certificats de serveur installés sur votre équilibreur de charge. Vous pouvez utiliser le protocole Server Name Indication (SNI) pour desservir plusieurs sites Web sécurisés à l'aide d'un seul écouteur sécurisé. SNIest automatiquement activé pour votre équilibreur de charge lorsque vous associez plusieurs certificats de serveur à un écouteur sécurisé.

  • Configurez les groupes de sécurité pour vos Application Load Balancers et Classic Load Balancers de manière à accepter le trafic provenant uniquement de clients spécifiques. Ces groupes de sécurité doivent autoriser le trafic entrant en provenance des clients sur les ports d'écoute et le trafic sortant vers les clients.

  • Configurez les groupes de sécurité pour vos EC2 instances Amazon afin d'accepter uniquement le trafic provenant de l'équilibreur de charge. Ces groupes de sécurité doivent autoriser le trafic entrant à partir de l'équilibreur de charge sur les ports d'écoute et les ports de vérification de l'état.

  • Configurez votre Application Load Balancer pour authentifier en toute sécurité les utilisateurs via un fournisseur d'identité ou à l'aide d'identités d'entreprise. Pour plus d'informations, consultez Authentification des utilisateurs à l'aide d'un Application Load Balancer.

  • AWS WAFUtilisez-le avec vos équilibreurs de charge d'application pour autoriser ou bloquer les demandes en fonction des règles d'une liste de contrôle d'accès Web (WebACL).