Confidentialité du trafic inter-réseau dans Amazon VPC - Amazon Virtual Private Cloud

Confidentialité du trafic inter-réseau dans Amazon VPC

Amazon Virtual Private Cloud propose trois fonctionnalités que vous pouvez utiliser pour accroître et surveiller la sécurité de votre Virtual Private Cloud (VPC) :

  • Groupes de sécurité : les groupes de sécurité autorisent ou refusent un trafic entrant et sortant spécifique au niveau des ressources (comme une instance EC2). Lorsque vous lancez une instance, vous pouviez l’associer à un ou plusieurs groupes de sécurité. Chaque instance de votre VPC pourrait appartenir à un ensemble de groupes de sécurité différent. Si vous ne spécifiez pas de groupe de sécurité lorsque vous lancez une instance, celle-ci est automatiquement associée au groupe de sécurité par défaut pour sont VPC. Pour plus d'informations, consultez Contrôler le trafic vers les ressources à l'aide de groupes de sécurité.

  • Listes de contrôle d'accès (ACL) réseau : les ACL réseau autorisent ou refusent un trafic entrant et sortant spécifique au niveau du sous-réseau. Pour plus d'informations, consultez Contrôle du trafic vers les sous-réseaux avec des ACL de réseau.

  • Journaux de flux : les journaux de flux capturent les informations sur le trafic IP circulant vers et depuis les interfaces réseau de votre VPC. Vous pouvez créer un journal de flux pour un VPC, un sous-réseau ou une interface réseau. Les données des journaux de flux sont publiées vers CloudWatch Logs ou Amazon S3 et elles peuvent vous aider à diagnostiquer les règles ACL réseau et les groupe de sécurité trop restrictifs ou trop permissifs. Pour plus d'informations, consultez Journalisation du trafic IP à l’aide des journaux de flux VPC.

  • Mise en miroir du trafic : vous pouvez copier le trafic réseau à partir d'une interface réseau Elastic d'une instance Amazon EC2. Vous pouvez ensuite envoyer le trafic vers des appliances de sécurité et de surveillance hors bande. Pour de plus amples informations, veuillez consulter le Guide de mise en miroir du trafic.

Vous pouvez utiliser AWS Identity and Access Management (IAM) pour contrôler les personnes de votre organisation qui sont autorisées à créer et à gérer les groupes de sécurité, les listes ACL réseaux et les journaux de flux. Par exemple, vous pouvez accorder uniquement ce droit à vos administrateurs réseau, et non au personnel qui a uniquement besoin de lancer des instances. Pour plus d'informations, consultez Identity and Access Management pour Amazon VPC.

Les groupes de sécurité et les listes de contrôle d’accès réseau Amazon ne filtrent pas le trafic vers et en provenance des services suivants :

  • Amazon Domain Name Services (DNS)

  • Amazon Dynamic Host Configuration Protocol (DHCP)

  • Métadonnées d'instance Amazon EC2.

  • Points de terminaison des métadonnées de tâches Amazon ECS

  • Activation de licence pour les instances Windows

  • Amazon Time Sync Service

  • Adresses IP réservées utilisées par le routeur VPC par défaut

Comparer les groupes de sécurité et les listes ACL réseau

Le tableau ci-après récapitule les différences de base entre les groupes de sécurité et les listes ACL réseau.

Groupe de sécurité ACL réseau

Fonctionne au niveau de l'instance

Fonctionne au niveau du sous-réseau

Prend en charge les règles d'autorisation uniquement

Prend en charge les règles d'autorisation et les règles de refus

Est avec état : le trafic de retour est automatiquement autorisé, quelles que soient les règles

Est sans état : le trafic de retour doit être explicitement autorisé par des règles

Nous évaluons toutes les règles avant de décider si le trafic doit être autorisé

Nous évaluons les règles dans l'ordre, en commençant par la règle numérotée la plus basse, lorsque nous décidons d'autoriser le trafic

S'applique à une instance uniquement si quelqu'un indique le groupe de sécurité lors du lancement de l'instance, ou associe ultérieurement le groupe de sécurité à l'instance

S'applique automatiquement à toutes les instances dans les sous-réseaux auxquels il est associé (forme donc une couche de défense supplémentaire si les règles des groupes de sécurité sont trop permissives)

Le schéma ci-après illustre les couches de sécurité fournies par les groupes de sécurité et les listes ACL réseau. Par exemple, le trafic d'une passerelle Internet est routé vers le sous-réseau approprié à l'aide de routes dans la table de routage. Les règles de la liste ACL réseau associée au sous-réseau contrôlent le trafic autorisé dans le sous-réseau. Les règles du groupe de sécurité associé à une instance contrôlent le trafic autorisé dans l'instance.


        Le trafic est contrôlé à l'aide de groupes de sécurité et de listes ACL réseau

Vous pouvez sécuriser vos instances en utilisant uniquement des groupes de sécurité. Toutefois, vous pouvez ajouter des ACL réseau en tant que couche supplémentaire de défense. Pour obtenir un exemple, veuillez consulter Exemple : contrôler l'accès aux instances dans un sous-réseau.