Politiques des groupes de sécurité - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Stratégies de groupe de sécurité communesStratégies de groupe de sécurité d'audit de contenuStratégies de groupe de sécurité d'audit d'utilisationBonnes pratiquesMises en garde et limites relatives à la politique des groupes de sécuritéCas d'utilisation des stratégies de groupe de sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques des groupes de sécurité

Vous pouvez utiliser les politiques des groupes de AWS Firewall Manager sécurité pour gérer les groupes de sécurité Amazon Virtual Private Cloud pour votre organisation dans AWS Organizations. Vous pouvez appliquer des stratégies de groupe de sécurité contrôlées de manière centralisée à l'ensemble de votre organisation ou à un sous-ensemble sélectionné de vos comptes et ressources. Vous pouvez également surveiller et gérer les stratégies de groupe de sécurité utilisées dans votre organisation, avec des stratégies de groupe de sécurité d'audit et d'utilisation.

Firewall Manager gère en permanence vos politiques et les applique aux comptes et aux ressources au fur et à mesure qu'ils sont ajoutés ou mis à jour au sein de votre organisation. Pour plus d'informations AWS Organizations, consultez le Guide de AWS Organizations l'utilisateur.

Pour plus d'informations sur les groupes de sécurité Amazon Virtual Private Cloud, consultez la section Groupes de sécurité pour votre VPC dans le guide de l'utilisateur Amazon VPC.

Vous pouvez utiliser les politiques de groupe de sécurité de Firewall Manager pour effectuer les opérations suivantes au sein de votre AWS entreprise :

  • Appliquer des groupes de sécurité communs aux comptes et ressources spécifiés.

  • Auditer des règles de groupe de sécurité pour rechercher et corriger les règles non conformes.

  • Auditer l'utilisation des groupes de sécurité pour nettoyer les groupes de sécurité inutilisés et redondants.

Cette section décrit le fonctionnement des politiques des groupes de sécurité de Firewall Manager et fournit des conseils pour les utiliser. Pour les procédures de création de politiques de groupe de sécurité, voirCréation d'une AWS Firewall Manager politique.

Stratégies de groupe de sécurité communes

Grâce à une politique de groupe de sécurité commune, Firewall Manager fournit une association contrôlée de manière centralisée des groupes de sécurité aux comptes et aux ressources de votre entreprise. Vous spécifiez où et comment appliquer la stratégie dans votre organisation.

Vous pouvez appliquer des politiques de groupe de sécurité communes aux types de ressources suivants :

  • Instance Amazon Elastic Compute Cloud (Amazon EC2)

  • Interface réseau élastique

  • Application Load Balancer

  • Classic Load Balancer

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité commune à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité commune.

VPC partagés

Dans les paramètres de la portée de la stratégie pour une stratégie de groupe de sécurité commune, vous pouvez choisir d'inclure des VPC partagés. Ce choix inclut les VPC appartenant à un autre compte et partagés avec un compte concerné. Les VPC appartenant à des comptes concernés sont toujours inclus. Pour plus d'informations sur les VPC partagés, consultez la section Travailler avec des VPC partagés dans le guide de l'utilisateur Amazon VPC.

Les mises en garde suivantes s'appliquent à l'inclusion de VPC partagés. Elles s'ajoutent aux mises en garde générales relatives aux politiques des groupes de sécurité figurant à l'adresse. Mises en garde et limites relatives à la politique des groupes de sécurité

  • Firewall Manager réplique le groupe de sécurité principal dans les VPC pour chaque compte concerné. Pour un VPC partagé, Firewall Manager réplique le groupe de sécurité principal une fois pour chaque compte concerné avec lequel le VPC est partagé. Cela peut se traduire par plusieurs réplicas dans un seul VPC partagé.

  • Lorsque vous créez un nouveau VPC partagé, vous ne le verrez pas représenté dans les détails de la politique de groupe de sécurité de Firewall Manager tant que vous n'aurez pas créé au moins une ressource dans le VPC relevant du champ d'application de cette stratégie.

  • Lorsque vous désactivez les VPC partagés dans une politique dans laquelle les VPC partagés étaient activés, Firewall Manager supprime les répliques des groupes de sécurité qui ne sont associés à aucune ressource dans les VPC partagés. Firewall Manager laisse les groupes de sécurité répliques restants en place, mais arrête de les gérer. La suppression de ces groupes de sécurité restants nécessite une gestion manuelle dans chaque instance de VPC partagé.

Groupes de sécurité principaux

Pour chaque stratégie de groupe de sécurité commune, vous AWS Firewall Manager fournissez un ou plusieurs groupes de sécurité principaux :

  • Les groupes de sécurité principaux doivent être créés par le compte administrateur de Firewall Manager et peuvent résider dans n'importe quelle instance Amazon VPC du compte.

  • Vous gérez vos principaux groupes de sécurité via Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de l'utilisateur Amazon VPC.

  • Vous pouvez nommer un ou plusieurs groupes de sécurité comme principaux pour une politique de groupe de sécurité Firewall Manager. Par défaut, le nombre de groupes de sécurité autorisés dans une stratégie est limité à un, mais vous pouvez envoyer une demande pour augmenter cette limite. Pour plus d’informations, veuillez consulter AWS Firewall Manager quotas.

Paramètres des règles de stratégie

Vous pouvez choisir un ou plusieurs des comportements de contrôle des modifications suivants pour les groupes de sécurité et les ressources de votre stratégie de groupe de sécurité commune :

  • Identifiez et signalez les modifications apportées par les utilisateurs locaux aux groupes de sécurité répliqués.

  • Dissociez tous les autres groupes de sécurité des AWS ressources relevant du champ d'application de la politique.

  • Distribuez les balises du groupe principal aux groupes de sécurité répliqués.

    Important

    Firewall Manager ne distribuera pas les balises système ajoutées par les AWS services dans les groupes de sécurité répliqués. Les balises système commencent par le préfixe aws:. En outre, Firewall Manager ne met pas à jour les balises des groupes de sécurité existants et ne crée pas de nouveaux groupes de sécurité si la politique contient des balises en conflit avec la politique de balises de l'entreprise. Pour plus d'informations sur les politiques relatives aux balises, consultez la section Politiques relatives aux balises dans le guide de AWS Organizations l'utilisateur.

  • Distribuez les références aux groupes de sécurité du groupe principal aux groupes de sécurité répliqués.

    Cela vous permet d'établir facilement des règles communes de référencement des groupes de sécurité pour toutes les ressources incluses dans le champ d'application pour les instances associées au VPC du groupe de sécurité spécifié. Lorsque vous activez cette option, Firewall Manager ne propage les références aux groupes de sécurité que si les groupes de sécurité font référence à des groupes de sécurité homologues dans Amazon Virtual Private Cloud. Si les groupes de sécurité répliqués ne font pas correctement référence au groupe de sécurité homologue, Firewall Manager marque ces groupes de sécurité répliqués comme non conformes. Pour plus d'informations sur la façon de référencer les groupes de sécurité homologues dans Amazon VPC, consultez Mettre à jour vos groupes de sécurité pour référencer les groupes de sécurité homologues dans le guide d'appairage Amazon VPC.

    Si vous n'activez pas cette option, Firewall Manager ne propage pas les références aux groupes de sécurité aux répliques de groupes de sécurité. Pour plus d'informations sur le peering VPC dans Amazon VPC, consultez le guide d'appairage Amazon VPC.

Création et gestion des stratégies

Lorsque vous créez votre politique de groupe de sécurité commune, Firewall Manager réplique les principaux groupes de sécurité sur chaque instance Amazon VPC comprise dans le champ d'application de la politique, et associe les groupes de sécurité répliqués aux comptes et aux ressources concernés par la politique. Lorsque vous modifiez un groupe de sécurité principal, Firewall Manager propage la modification aux répliques.

Lorsque vous supprimez une stratégie de groupe de sécurité commune, vous pouvez choisir de nettoyer les ressources créées par la stratégie. Pour les groupes de sécurité courants de Firewall Manager, ces ressources sont les répliques des groupes de sécurité. Choisissez l'option de nettoyage, sauf si vous souhaitez gérer manuellement chaque réplica après la suppression de la stratégie. Dans la plupart des situations, choisir l'option de nettoyage est l'approche la plus simple.

Mode de gestion des réplicas

Les groupes de sécurité répliqués dans les instances Amazon VPC sont gérés comme les autres groupes de sécurité Amazon VPC. Pour plus d'informations, consultez la section Groupes de sécurité pour votre VPC dans le guide de l'utilisateur Amazon VPC.

Stratégies de groupe de sécurité d'audit de contenu

Utilisez les politiques des groupes de sécurité d'audit de AWS Firewall Manager contenu pour auditer et appliquer des actions de stratégie aux règles utilisées dans les groupes de sécurité de votre organisation. Les politiques des groupes de sécurité d'audit de contenu s'appliquent à tous les groupes de sécurité créés par les clients et utilisés dans votre AWS organisation, selon le périmètre que vous définissez dans la politique.

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité d'audit de contenu à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité d'audit de contenu.

Type de ressource concerné par une stratégie

Vous pouvez appliquer des politiques de groupe de sécurité d'audit de contenu aux types de ressources suivants :

  • Instance Amazon Elastic Compute Cloud (Amazon EC2)

  • Interface réseau élastique

  • Groupe de sécurité Amazon VPC

Les groupes de sécurité sont considérés comme étant concernés par la stratégie s'ils sont explicitement dans la portée de la stratégie ou s'ils sont associés à des ressources qui sont dans la portée.

Options de règles de politique

Vous pouvez utiliser des règles de stratégie gérées ou des règles de stratégie personnalisées pour chaque stratégie d'audit de contenu, mais pas les deux.

  • Règles de stratégie gérées : dans une politique comportant des règles gérées, vous pouvez utiliser des listes d'applications et de protocoles pour contrôler les règles que Firewall Manager audite et marque comme conformes ou non conformes. Vous pouvez utiliser des listes gérées par Firewall Manager. Vous pouvez également créer et utiliser vos propres listes d'applications et de protocoles. Pour plus d'informations sur ces types de listes et sur les options de gestion des listes personnalisées, consultezListes gérées.

  • Règles de stratégie personnalisées : dans une politique comportant des règles de stratégie personnalisées, vous spécifiez un groupe de sécurité existant comme groupe de sécurité d'audit pour votre stratégie. Vous pouvez utiliser les règles du groupe de sécurité d'audit comme modèle qui définit les règles que Firewall Manager audite et marque comme conformes ou non conformes.

Audit des groupes de sécurité

Vous devez créer des groupes de sécurité d'audit à l'aide de votre compte administrateur Firewall Manager avant de pouvoir les utiliser dans votre politique. Vous pouvez gérer les groupes de sécurité via Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de l'utilisateur Amazon VPC.

Un groupe de sécurité que vous utilisez pour une stratégie de groupe de sécurité d'audit de contenu est utilisé par Firewall Manager uniquement comme référence de comparaison pour les groupes de sécurité concernés par cette stratégie. Firewall Manager ne l'associe à aucune ressource de votre organisation.

La façon dont vous définissez les règles dans le groupe de sécurité d'audit dépend de vos choix dans les paramètres des règles de politique :

  • Règles de stratégie gérées : pour les paramètres des règles de stratégie gérées, vous utilisez un groupe de sécurité d'audit pour remplacer les autres paramètres de la stratégie, afin d'autoriser ou de refuser explicitement les règles qui, autrement, pourraient avoir un autre résultat de conformité.

    • Si vous choisissez de toujours autoriser les règles définies dans le groupe de sécurité d'audit, toute règle correspondant à celle définie dans le groupe de sécurité d'audit est considérée comme conforme à la stratégie, quels que soient les autres paramètres de stratégie.

    • Si vous choisissez de toujours refuser les règles définies dans le groupe de sécurité d'audit, toute règle correspondant à une règle définie dans le groupe de sécurité d'audit est considérée comme non conforme à la stratégie, quels que soient les autres paramètres de stratégie.

  • Règles de stratégie personnalisées : pour les paramètres des règles de stratégie personnalisées, le groupe de sécurité d'audit fournit un exemple de ce qui est acceptable ou non acceptable dans les règles du groupe de sécurité incluses dans le champ de compétence :

    • Si vous choisissez d'autoriser l'utilisation des règles, tous les groupes de sécurité concernés ne doivent disposer que de règles se situant dans la plage autorisée par les règles de groupe de sécurité d'audit de la politique. Dans ce cas, les règles de groupe de sécurité de la politique fournissent un exemple de ce qu'il est acceptable de faire.

    • Si vous choisissez de refuser l'utilisation des règles, tous les groupes de sécurité concernés ne doivent avoir que des règles qui ne se situent pas dans la plage autorisée par les règles de groupe de sécurité d'audit de la politique. Dans ce cas, le groupe de sécurité de la politique fournit un exemple de ce qu'il n'est pas acceptable de faire.

Création et gestion des stratégies

Lorsque vous créez une stratégie de groupe de sécurité d'audit, la résolution automatique doit être désactivée. La pratique recommandée consiste à examiner les effets de la création d'une stratégie avant d'activer la résolution automatique. Après avoir examiné les effets attendus, vous pouvez modifier la stratégie et activer la résolution automatique. Lorsque la correction automatique est activée, Firewall Manager met à jour ou supprime les règles non conformes dans les groupes de sécurité concernés.

Groupes de sécurité affectés par une stratégie de groupe de sécurité d'audit

Tous les groupes de sécurité de votre organisation qui sont créés par les clients peuvent être concernés par une stratégie de groupe de sécurité d'audit.

Les groupes de sécurité de réplica ne sont pas créés par les clients et ne peuvent donc pas être directement concernés par une stratégie de groupe de sécurité d'audit. Cependant, ils peuvent être mis à jour suite à des activités de résolution automatique de la stratégie. Le groupe de sécurité principal d'une stratégie de groupe de sécurité commune est créé par le client et peut être concerné par une stratégie de groupe de sécurité d'audit. Si une politique de groupe de sécurité d'audit apporte des modifications à un groupe de sécurité principal, Firewall Manager propage automatiquement ces modifications aux répliques.

Stratégies de groupe de sécurité d'audit d'utilisation

Utilisez les politiques des groupes de sécurité AWS Firewall Manager d'audit d'utilisation pour surveiller les groupes de sécurité inutilisés et redondants dans votre organisation et éventuellement effectuer un nettoyage. Lorsque vous activez la correction automatique de cette politique, Firewall Manager effectue les opérations suivantes :

  1. Consolide les groupes de sécurité redondants, si vous avez choisi cette option.

  2. Supprime les groupes de sécurité non utilisés, si vous avez choisi cette option.

Vous pouvez appliquer des politiques de groupe de sécurité d'audit d'utilisation au type de ressource suivant :

  • Groupe de sécurité Amazon VPC

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité d'audit d'utilisation à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité d'audit d'utilisation.

Comment Firewall Manager détecte et corrige les groupes de sécurité redondants

Pour que les groupes de sécurité soient considérés comme redondants, ils doivent avoir exactement les mêmes règles définies et se trouver dans la même instance Amazon VPC.

Pour remédier à un ensemble de groupes de sécurité redondant, Firewall Manager sélectionne l'un des groupes de sécurité à conserver, puis l'associe à toutes les ressources associées aux autres groupes de sécurité de l'ensemble. Firewall Manager dissocie ensuite les autres groupes de sécurité des ressources auxquelles ils étaient associés, ce qui les rend inutilisés.

Note

Si vous avez également choisi de supprimer les groupes de sécurité inutilisés, Firewall Manager s'en charge ensuite. Cela peut entraîner la suppression des groupes de sécurité qui se trouvent dans l'ensemble redondant.

Comment Firewall Manager détecte et corrige les groupes de sécurité non utilisés

Firewall Manager considère qu'un groupe de sécurité n'est pas utilisé si les deux conditions suivantes sont réunies :

  • Le groupe de sécurité n'est utilisé par aucune instance Amazon EC2 ou par l'interface Elastic Network Interface Amazon EC2.

  • Firewall Manager n'a pas reçu d'élément de configuration correspondant dans le délai de minutes spécifié dans la période définie par les règles de politique.

La durée de la règle de politique est définie par défaut à zéro minute, mais vous pouvez l'augmenter jusqu'à 365 jours (525 600 minutes), afin de vous donner le temps d'associer de nouveaux groupes de sécurité aux ressources.

Important

Si vous spécifiez un nombre de minutes autre que la valeur par défaut de zéro, vous devez activer les relations indirectes dans AWS Config. Dans le cas contraire, vos politiques de groupe de sécurité d'audit d'utilisation ne fonctionneront pas comme prévu. Pour plus d'informations sur les relations indirectes dans AWS Config, voir Relations indirectes AWS Config dans le Guide du AWS Config développeur.

Firewall Manager corrige les groupes de sécurité inutilisés en les supprimant de votre compte conformément aux paramètres de vos règles, si possible. Si Firewall Manager ne parvient pas à supprimer un groupe de sécurité, il le marque comme non conforme à la politique. Firewall Manager ne peut pas supprimer un groupe de sécurité référencé par un autre groupe de sécurité.

La durée de la correction varie selon que vous utilisez le paramètre de période par défaut ou un paramètre personnalisé :

  • Période définie sur zéro, valeur par défaut : avec ce paramètre, un groupe de sécurité est considéré comme inutilisé dès qu'il n'est pas utilisé par une instance Amazon EC2 ou une interface elastic network.

    Pour ce paramètre de période zéro, Firewall Manager corrige immédiatement le groupe de sécurité.

  • Période supérieure à zéro — Avec ce paramètre, un groupe de sécurité est considéré comme inutilisé lorsqu'il n'est pas utilisé par une instance Amazon EC2 ou Elastic Network Interface et que Firewall Manager n'a pas reçu d'élément de configuration correspondant dans le délai spécifié.

    Pour le paramètre de période différent de zéro, Firewall Manager corrige le groupe de sécurité après qu'il soit resté inutilisé pendant 24 heures.

Spécification du compte par défaut

Lorsque vous créez une politique de groupe de sécurité d'audit d'utilisation via la console, Firewall Manager choisit automatiquement d'exclure les comptes spécifiés et d'inclure tous les autres. Le service place ensuite le compte administrateur de Firewall Manager dans la liste à exclure. Il s'agit de l'approche recommandée, qui vous permet de gérer manuellement les groupes de sécurité appartenant au compte administrateur de Firewall Manager.

Bonnes pratiques pour les stratégies de groupe de sécurité

Cette section répertorie les recommandations relatives à la gestion des groupes de sécurité à l'aide d' AWS Firewall Manager.

Exclure le compte administrateur de Firewall Manager

Lorsque vous définissez le champ d'application de la politique, excluez le compte administrateur de Firewall Manager. Lorsque vous créez une stratégie de groupe de sécurité d'audit d'utilisation via la console, il s'agit de l'option par défaut.

Désactiver le lancement avec la correction automatique

Pour les stratégies de groupe de sécurité d'audit de contenu ou d'utilisation, démarrez avec la résolution automatique désactivée. Examinez les informations détaillées de la stratégie pour déterminer les effets qu'aurait la résolution automatique aurait. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie pour activer la résolution automatique.

Éviter les conflits en cas d'utilisation de sources externes pour gérer des groupes de sécurité

Si vous utilisez un outil ou un service autre que Firewall Manager pour gérer les groupes de sécurité, veillez à éviter les conflits entre les paramètres de Firewall Manager et ceux de votre source externe. Si vous avez recours à la correction automatique et que vos paramètres se contredisent, vous pouvez créer un cycle de résolution sans fin qui consomme des ressources des deux côtés.

Supposons, par exemple, que vous configuriez un autre service pour gérer un groupe de sécurité pour un ensemble de AWS ressources, et que vous configuriez une politique de Firewall Manager afin de maintenir un groupe de sécurité différent pour certaines ou toutes les mêmes ressources. Si vous configurez l'un des deux services pour interdire l'association d'un autre groupe de sécurité aux ressources concernées, celui-ci supprimera l'association de ce groupe de sécurité dans l'autre service. Si les deux services sont configurés de cette manière, vous pouvez vous retrouver avec un cycle de désassociations et d'associations sans fin.

Supposons également que vous créiez une politique d'audit de Firewall Manager pour appliquer une configuration de groupe de sécurité en conflit avec la configuration de groupe de sécurité de l'autre service. Les mesures correctives appliquées par la politique d'audit de Firewall Manager peuvent mettre à jour ou supprimer ce groupe de sécurité, le rendant ainsi non conforme pour l'autre service. Si l'autre service est configuré pour surveiller et résoudre automatiquement les problèmes détectés, il recréera ou mettra à jour le groupe de sécurité, le rendant ainsi non conforme à la politique d'audit de Firewall Manager. Si la politique d'audit de Firewall Manager est configurée avec une correction automatique, elle met à jour ou supprime à nouveau le groupe de sécurité externe, etc.

Pour éviter de tels conflits, créez des configurations qui s'excluent mutuellement entre Firewall Manager et toute source externe.

Vous pouvez utiliser le balisage pour exclure les groupes de sécurité extérieurs de la correction automatique prévue par vos politiques de Firewall Manager. Pour ce faire, ajoutez une ou plusieurs balises aux groupes de sécurité ou à d'autres ressources gérées par la source externe. Ensuite, lorsque vous définissez le champ d'application de la politique de Firewall Manager, dans la spécification de vos ressources, excluez les ressources qui possèdent le ou les tags que vous avez ajoutés.

De même, dans votre outil ou service externe, excluez les groupes de sécurité gérés par Firewall Manager de toute activité de gestion ou d'audit. N'importez pas les ressources de Firewall Manager ou utilisez le balisage spécifique à Firewall Manager pour les exclure de la gestion externe.

Bonnes pratiques en matière d'audit d'utilisation, politiques de groupe de sécurité

Suivez ces directives lorsque vous utilisez des politiques de groupe de sécurité d'audit d'utilisation.

  • Évitez de modifier plusieurs fois le statut d'association d'un groupe de sécurité dans un court laps de temps, par exemple dans un délai de 15 minutes. Cela peut empêcher Firewall Manager de rater certains ou tous les événements correspondants. Par exemple, n'associez et ne dissociez pas rapidement un groupe de sécurité à une interface elastic network.

Mises en garde et limites relatives à la politique des groupes de sécurité

Cette section répertorie les mises en garde et les limites liées à l'utilisation des politiques de groupe de sécurité de Firewall Manager :

  • La mise à jour des groupes de sécurité pour les interfaces réseau élastiques Amazon EC2 créées à l'aide du type de service Fargate n'est pas prise en charge. Vous pouvez toutefois mettre à jour les groupes de sécurité pour les interfaces réseau élastiques Amazon ECS avec le type de service Amazon EC2.

  • Firewall Manager ne prend pas en charge les groupes de sécurité pour les interfaces réseau élastiques Amazon EC2 créées par Amazon Relational Database Service.

  • La mise à jour des interfaces réseau élastiques Amazon ECS n'est possible que pour les services Amazon ECS qui utilisent le contrôleur de déploiement de mise à jour continue (Amazon ECS). Pour les autres contrôleurs de déploiement Amazon ECS tels que CODE_DEPLOY ou les contrôleurs externes, Firewall Manager ne peut actuellement pas mettre à jour les interfaces réseau élastiques.

  • Avec les groupes de sécurité pour les interfaces réseau élastiques Amazon EC2, les modifications apportées à un groupe de sécurité ne sont pas immédiatement visibles par Firewall Manager. Firewall Manager détecte généralement les modifications en quelques heures, mais la détection peut être retardée jusqu'à six heures.

  • Firewall Manager ne prend pas en charge la mise à jour des groupes de sécurité dans les interfaces réseau élastiques pour les Network Load Balancers.

  • Dans les politiques de groupe de sécurité courantes, si un VPC partagé est ultérieurement départagé avec un compte, Firewall Manager ne supprimera pas les répliques de groupes de sécurité du compte.

  • Avec les politiques de groupe de sécurité d'audit d'utilisation, si vous créez plusieurs politiques avec un paramètre de délai personnalisé qui ont toutes le même champ d'application, la première stratégie contenant des résultats de conformité sera celle qui communique les résultats.

Cas d'utilisation des stratégies de groupe de sécurité

Vous pouvez utiliser des politiques de groupe de sécurité AWS Firewall Manager communes pour automatiser la configuration du pare-feu hôte pour les communications entre les instances Amazon VPC. Cette section répertorie les architectures Amazon VPC standard et décrit comment les sécuriser à l'aide des politiques de groupe de sécurité communes de Firewall Manager. Ces politiques de groupe de sécurité peuvent vous aider à appliquer un ensemble unifié de règles pour sélectionner les ressources de différents comptes et à éviter les configurations par compte dans Amazon Elastic Compute Cloud et Amazon VPC.

Grâce aux politiques de groupe de sécurité communes de Firewall Manager, vous pouvez étiqueter uniquement les interfaces réseau élastiques EC2 dont vous avez besoin pour communiquer avec les instances d'un autre Amazon VPC. Les autres instances du même Amazon VPC sont alors plus sécurisées et isolées.

Cas d'utilisation : surveillance et contrôle des demandes adressées aux équilibreurs de charge d'application et aux équilibreurs de charge classiques

Vous pouvez utiliser une politique de groupe de sécurité commune de Firewall Manager pour définir les demandes que vos équilibreurs de charge intégrés doivent traiter. Vous pouvez le configurer via la console Firewall Manager. Seules les demandes conformes aux règles entrantes du groupe de sécurité peuvent atteindre vos équilibreurs de charge, et les équilibreurs de charge distribueront uniquement les demandes conformes aux règles sortantes.

Cas d'utilisation : Amazon VPC public et accessible par Internet

Vous pouvez utiliser une politique de groupe de sécurité commune de Firewall Manager pour sécuriser un Amazon VPC public, par exemple, afin d'autoriser uniquement le port entrant 443. Cela revient au même que d'autoriser uniquement le trafic HTTPS entrant pour un VPC public. Vous pouvez étiqueter les ressources publiques au sein du VPC (par exemple, en tant que « PublicVPC »), puis définir le champ d'application de la politique de Firewall Manager de manière à ce que seules les ressources dotées de cette balise soient définies. Firewall Manager applique automatiquement la politique à ces ressources.

Cas d'utilisation : instances Amazon VPC publiques et privées

Vous pouvez utiliser la même politique de groupe de sécurité commune pour les ressources publiques que celle recommandée dans le cas d'utilisation précédent pour les instances publiques Amazon VPC accessibles sur Internet. Vous pouvez utiliser une deuxième stratégie de groupe de sécurité commune pour limiter la communication entre les ressources publiques et les ressources privées. Marquez les ressources des instances Amazon VPC publiques et privées avec quelque chose comme « PublicPrivate » pour leur appliquer la deuxième politique. Vous pouvez utiliser une troisième politique pour définir la communication autorisée entre les ressources privées et d'autres instances privées ou privées d'Amazon VPC. Pour cette stratégie, vous pouvez utiliser une autre balise d'identification sur les ressources privées.

Cas d'utilisation : instances Amazon VPC Hub and Spoke

Vous pouvez utiliser une politique de groupe de sécurité commune pour définir les communications entre l'instance Amazon VPC hub et les instances Amazon VPC parlées. Vous pouvez utiliser une deuxième politique pour définir la communication entre chaque instance Amazon VPC en étoile et l'instance Amazon VPC du hub.

Cas d'utilisation : interface réseau par défaut pour les instances Amazon EC2

Vous pouvez utiliser une stratégie de groupe de sécurité commune pour autoriser uniquement les communications standard, par exemple les services SSH et de mise à jour de correctif/système d'exploitation internes, et pour interdire d'autres communications non sécurisées.

Cas d'utilisation : identifier les ressources avec des autorisations ouvertes

Vous pouvez utiliser une stratégie de groupe de sécurité d'audit pour identifier toutes les ressources de votre organisation qui sont autorisées à communiquer avec des adresses IP publiques ou qui possèdent des adresses IP appartenant à des fournisseurs tiers.