Bonnes pratiques - AWS Directives prescriptives

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques

Nous vous recommandons de suivre les bonnes pratiques suivantes pour la migration de vos applications de zone périmétrique vers le AWS Cloud :

  • Concevez votre architecture cible pour prendre en charge les pare-feux réseau tiers, uniquement si vous pouvez exposer les pare-feux au réseau VPC de l'application via un Gateway Load Balancer.

  • Utilisez un réseau fiable pour sécuriser le flux de trafic entre le VPC de votre AWS application et votre environnement sur site. Vous pouvez générer un réseau fiable en utilisant AWS Direct Connect ou AWS Site-to-Site VPN.

  • Utilisez votre architecture cible pour exposer les applications Web à des réseaux non fiables, mais évitez de l'utiliser avec une API.

  • Utilisez Journaux de flux VPC pendant la phase de test. En effet, plusieurs composants interconnectés peuvent nécessiter une configuration et une vérification correctes.

  • Validez les règles entrantes et sortantes requises pour chaque application et leur disponibilité AWS Network Firewall lors de la phase de conception de la migration.

  • Si un service externe Service AWS tel qu'Amazon Simple Storage Service (Amazon S3) ou Amazon DynamoDB est requis, nous vous recommandons d'exposer ce service au VPC de l'application via des points de terminaison (au sein du sous-réseau du point de terminaison). Cela empêche la communication sur le réseau non fiable.

  • Fournissez un accès aux ressources (Amazon EC2, dans ce cas) AWS Systems Manager Session Managerpour éviter un accès SSH direct aux ressources.

  • L'Application Load Balancer assure la haute disponibilité de l'application et le routage du trafic entrant et sortant à l'aide de Network Firewall. Aucun équilibreur de charge distinct n'est requis pour le sous-réseau de sécurité.

  • N'oubliez pas que l'Application Load Balancer est un équilibreur de charge connecté à Internet, même si le sous-réseau du point de terminaison ne dispose pas d'un accès direct à Internet. Il n'y a pas de passerelle Internet sur Point de terminaison A de la table de routage et Point de terminaison B de la table de routage dans le schéma de la section Architecture de zone périmétrique basée sur Network Firewall de ce guide. Le sous-réseau est protégé par Network Firewall et dispose d'un accès Internet via Network Firewall.

  • Utilisez Network Firewall pour assurer le filtrage du trafic Web non chiffré entrant et sortant.