Recommandations en matière de contrôle de sécurité pour protéger l'infrastructure - AWS Directives prescriptives
CloudFront objets racines par défautScannez le code de l'applicationCréation de couches réseauUtiliser uniquement les ports autorisésAccès public aux documents de Systems ManagerAccès public aux fonctions LambdaMettre à jour le groupe de sécurité par défautDétectez les vulnérabilités et l'exposition du réseauConfigurez AWS WAFProtections avancées contre les attaques DDo SContrôler le trafic réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recommandations en matière de contrôle de sécurité pour protéger l'infrastructure

La protection de l'infrastructure est un élément clé de tout programme de sécurité. Il inclut des méthodologies de contrôle qui vous aident à protéger vos réseaux et vos ressources informatiques. Les exemples de protection de l'infrastructure incluent les limites de confiance, une defense-in-depth approche, le renforcement de la sécurité, la gestion des correctifs, ainsi que l'authentification et l'autorisation du système d'exploitation. Pour plus d'informations, consultez la section Protection de l'infrastructure dans le AWS Well-Architected Framework. Les contrôles de sécurité présentés dans cette section peuvent vous aider à mettre en œuvre les meilleures pratiques en matière de protection de l'infrastructure.

Spécifier les objets racines par défaut pour les CloudFront distributions

Amazon CloudFront accélère la diffusion de votre contenu Web en le diffusant via un réseau mondial de centres de données, ce qui réduit le temps de latence et améliore les performances. Si vous ne définissez pas un objet racine par défaut, des demandes pour la racine de votre distribution sont transmises à votre serveur d’origine. Si vous utilisez une origine Amazon Simple Storage Service (Amazon S3), la demande peut renvoyer une liste du contenu de votre compartiment S3 ou une liste des contenus privés de votre origine. La spécification d'un objet racine par défaut vous permet d'éviter d'exposer le contenu de votre distribution.

Pour plus d’informations, consultez les ressources suivantes :

Scannez le code de l'application pour identifier les problèmes de sécurité courants

Le AWS Well-Architected Framework vous recommande de scanner les bibliothèques et les dépendances pour détecter les problèmes et les défauts. Il existe de nombreux outils d'analyse de code source que vous pouvez utiliser pour analyser le code source. Par exemple, Amazon CodeGuru peut rechercher les problèmes de sécurité courants dans Java or Python applications et fournir des recommandations pour les mesures correctives.

Pour plus d’informations, consultez les ressources suivantes :

Créez des couches réseau à l'aide de réseaux dédiés VPCs et de sous-réseaux

Le AWS Well-Architected Framework vous recommande de regrouper les composants qui partagent des exigences de sensibilité en couches. Cela permet de minimiser l'impact potentiel d'un accès non autorisé. Par exemple, un cluster de base de données qui ne nécessite pas d'accès à Internet doit être placé dans un sous-réseau privé de son VPC pour s'assurer qu'il n'existe aucune route vers ou depuis Internet.

AWS propose de nombreux services qui peuvent vous aider à tester et à identifier l'accessibilité du public. Par exemple, Reachability Analyzer est un outil d'analyse de configuration qui vous permet de tester la connectivité entre une ressource source et une ressource de destination dans votre. VPCs Network Access Analyzer peut également vous aider à identifier les accès réseau involontaires aux ressources.

Pour plus d’informations, consultez les ressources suivantes :

Limitez le trafic entrant aux seuls ports autorisés

L'accès illimité, tel que le trafic provenant de l'adresse IP 0.0.0.0/0 source, augmente le risque d'activités malveillantes, telles que le piratage, les attaques denial-of-service (DoS) et la perte de données. Les groupes de sécurité fournissent un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Aucun groupe de sécurité ne doit autoriser un accès d'entrée illimité à des ports connus, tels que SSH et Windows protocole RDP (Remote Desktop Protocol). Pour le trafic entrant, dans vos groupes de sécurité, autorisez uniquement les connexions TCP ou UDP sur les ports autorisés. Pour vous connecter aux instances Amazon Elastic Compute Cloud (Amazon EC2), utilisez le gestionnaire de session ou Run Command au lieu d'un accès SSH ou RDP direct.

Pour plus d’informations, consultez les ressources suivantes :

Bloquer l'accès public aux documents de Systems Manager

À moins que votre cas d'utilisation ne nécessite l'activation du partage public, les AWS Systems Manager meilleures pratiques recommandent de bloquer le partage public des documents de Systems Manager. Le partage public peut fournir un accès involontaire à des documents. Un document public de Systems Manager peut exposer des informations précieuses et sensibles sur votre compte, vos ressources et vos processus internes.

 Pour plus d’informations, consultez les ressources suivantes :

Bloquer l'accès public aux fonctions Lambda

AWS Lambda est un service de calcul qui vous aide à exécuter du code sans avoir à allouer ni à gérer des serveurs. Les fonctions Lambda ne doivent pas être accessibles au public car cela pourrait permettre un accès involontaire au code de la fonction.

Nous vous recommandons de configurer des politiques basées sur les ressources pour les fonctions Lambda afin de refuser l'accès depuis l'extérieur de votre compte. Vous pouvez y parvenir en supprimant les autorisations ou en ajoutant la AWS:SourceAccount condition à l'instruction autorisant l'accès. Vous pouvez mettre à jour les politiques basées sur les ressources pour les fonctions Lambda via l'API Lambda ou (). AWS Command Line Interface AWS CLI

Nous vous recommandons également d'activer la fonction [Lambda.1] Les politiques de la fonction Lambda devraient interdire le contrôle d'accès public dans. AWS Security Hub Ce contrôle confirme que les politiques basées sur les ressources pour les fonctions Lambda interdisent l'accès public.

Pour plus d’informations, consultez les ressources suivantes :

Restreindre le trafic entrant et sortant dans le groupe de sécurité par défaut

Si vous n'associez pas de groupe de sécurité personnalisé lorsque vous AWS provisionnez une ressource, celle-ci est associée au groupe de sécurité par défaut du VPC. Les règles par défaut de ce groupe de sécurité autorisent tout le trafic entrant provenant de toutes les ressources attribuées à ce groupe de sécurité, ainsi que l'ensemble du trafic sortant et du trafic sortant IPv4 . IPv6 Cela peut permettre un trafic involontaire vers la ressource.

AWS recommande de ne pas utiliser le groupe de sécurité par défaut. Créez plutôt des groupes de sécurité personnalisés pour des ressources ou des groupes de ressources spécifiques.

Le groupe de sécurité par défaut ne pouvant pas être supprimé, nous vous recommandons de modifier les règles du groupe de sécurité par défaut afin de limiter le trafic entrant et sortant. Lorsque vous configurez les règles des groupes de sécurité, suivez le principe du moindre privilège.

Nous vous recommandons également d'activer le [EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le contrôle du trafic entrant ou sortant dans Security Hub. Ce contrôle confirme que le groupe de sécurité par défaut d'un VPC refuse le trafic entrant et sortant.

Pour plus d’informations, consultez les ressources suivantes :

Détectez les vulnérabilités logicielles et les risques d'exposition involontaire au réseau

Nous vous recommandons d'activer Amazon Inspector dans tous vos comptes. Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos EC2 instances Amazon, les images des conteneurs Amazon Elastic Container Registry (Amazon ECR) et les fonctions Lambda pour détecter les vulnérabilités logicielles et les expositions involontaires au réseau. Il prend également en charge l'inspection approfondie des EC2 instances Amazon. Lorsqu'Amazon Inspector identifie une vulnérabilité ou un chemin réseau ouvert, il produit un résultat que vous pouvez examiner. Si Amazon Inspector et Security Hub sont tous deux configurés dans votre compte, Amazon Inspector envoie automatiquement les résultats de sécurité à Security Hub pour une gestion centralisée.

Pour plus d’informations, consultez les ressources suivantes :

Configurez AWS WAF

AWS WAFest un pare-feu d'applications Web qui vous permet de surveiller et de bloquer les requêtes HTTP ou HTTPS transmises aux ressources protégées de votre application Web, telles qu'Amazon API Gateway APIs, les CloudFront distributions Amazon ou les équilibreurs de charge d'application. Selon les critères que vous spécifiez, le service répond aux demandes soit avec le contenu demandé, soit avec un code d'état HTTP 403 (Interdit), soit avec une réponse personnalisée. AWS WAF peuvent aider à protéger les applications Web ou APIs contre les exploits Web courants susceptibles d'affecter la disponibilité, de compromettre la sécurité ou de consommer des ressources excessives. Envisagez de configurer AWS WAF Comptes AWS et d'utiliser une combinaison de règles AWS gérées, de règles personnalisées et d'intégrations de partenaires pour protéger vos applications contre les attaques de la couche application (couche 7).

Pour plus d’informations, consultez les ressources suivantes :

Configurer des protections avancées contre les attaques DDo S

AWS Shieldfournit des protections contre les attaques par déni de service (DDoS) distribué visant les AWS ressources au niveau des couches réseau et transport (couches 3 et 4) et de la couche application (couche 7). Ce service est disponible en deux options : AWS Shield Standard et AWS Shield Advanced. Shield Standard protège automatiquement les AWS ressources prises en charge, sans frais supplémentaires.

Nous vous recommandons de vous abonner à Shield Advanced, qui fournit une protection étendue contre les attaques DDo S pour les ressources protégées. Les protections que vous offre Shield Advanced varient en fonction de votre architecture et de vos choix de configuration. Envisagez de mettre en œuvre les protections Shield Advanced pour les applications où vous avez besoin de l'un des éléments suivants :

  • Disponibilité garantie pour les utilisateurs de l'application.

  • Accès rapide à des experts en mitigation DDo S si l'application est affectée par une attaque DDo S.

  • Prise de conscience par AWS du fait que l'application peut être affectée par une attaque DDo S, notification des attaques émanant d'AWS et remontée à vos équipes chargées de la sécurité ou des opérations.

  • La prévisibilité des coûts de votre cloud, y compris lorsqu'une attaque DDo S affecte votre utilisation de Services AWS.

Pour plus d’informations, consultez les ressources suivantes :

Utiliser une defense-in-depth approche pour contrôler le trafic réseau

AWS Network Firewall est un pare-feu réseau géré et dynamique ainsi qu'un service de détection et de prévention des intrusions pour les clouds privés virtuels (VPCs) dans le AWS Cloud. Il vous aide à déployer des protections réseau essentielles sur le périmètre du VPC. Cela inclut le filtrage du trafic à destination et en provenance d'une passerelle Internet, d'une passerelle NAT ou via un VPN ou AWS Direct Connect. Network Firewall inclut des fonctionnalités qui contribuent à la protection contre les menaces réseau les plus courantes. Le pare-feu dynamique de Network Firewall peut intégrer le contexte des flux de trafic, tels que les connexions et les protocoles, pour appliquer les politiques.

Pour plus d’informations, consultez les ressources suivantes :