SEC05-BP01 Créer des couches réseau - AWS Well-Architected Framework
Directives d'implémentationRessources

SEC05-BP01 Créer des couches réseau

Créez des groupes multicouches pour les composants qui partagent des exigences en matière de sensibilité afin de réduire au minimum la portée potentielle des répercussions d'un accès non autorisé. Par exemple, un cluster de bases de données dans un cloud privé virtuel (VPC) n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans routage vers ou depuis Internet. Le trafic ne doit provenir que de la ressource adjacente suivante la moins sensible. Réfléchissez au cas d'une application web se trouvant derrière un équilibreur de charge. Votre base de données ne doit pas être accessible directement depuis l'équilibreur de charge. La logique métier ou le serveur web doivent être les seuls à avoir un accès direct à votre base de données.

Résultat souhaité : créer un réseau multicouche. Les réseaux multicouches permettent de regrouper logiquement des composants de réseau similaires. Ils réduisent également la portée potentielle de l'impact de l'accès non autorisé au réseau. Un réseau multicouche approprié complique les choses pour les utilisateurs non autorisés qui souhaitent accéder à des ressources supplémentaires au sein de votre environnement AWS. En plus de sécuriser les chemins réseau internes, vous devez également protéger votre périphérie de réseau, comme les applications web et les points de terminaison d'API.

Anti-modèles courants :

  • Créer toutes les ressources dans un seul VPC ou sous-réseau.

  • Utiliser des groupes de sécurité trop permissifs.

  • Ne pas utiliser de sous-réseaux.

  • Autoriser un accès direct aux stockages de données tels que les bases de données.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : élevé

Directives d'implémentation

Les composants, tels que les instances Amazon Elastic Compute Cloud (Amazon EC2), les clusters de bases de données Amazon Relational Database Service (Amazon RDS) et les fonctions AWS Lambda qui partagent les exigences d'accessibilité, peuvent être segmentés en couches formées par des sous-réseaux. Envisagez de déployer des charges de travail sans serveur, comme les fonctions Lambda dans un VPC ou derrière un Amazon API Gateway. Les tâches AWS Fargate qui n'ont pas besoin d'accès à Internet doivent être placées dans des sous-réseaux sans routage vers ou depuis Internet. Cette approche multicouche réduit l'impact d'une mauvaise configuration de couche unique, ce qui pourrait autoriser un accès involontaire. Pour AWS Lambda, vous pouvez exécuter vos fonctions dans votre VPC pour anticiper les contrôles basés sur un VPC.

Pour une connectivité réseau pouvant inclure des milliers de VCP, des Comptes AWS et des réseaux sur site, vous devez utiliser AWS Transit Gateway. Transit Gateway agit comme un hub qui contrôle la façon dont le trafic est acheminé entre tous les réseaux connectés, qui agissent comme des rayons. Le trafic entre Amazon Virtual Private Cloud (Amazon VPC) et Transit Gateway reste sur le réseau privé AWS, ce qui réduit l'exposition externe aux utilisateurs non autorisés et les problèmes de sécurité potentiels. L'appairage inter-région Transit Gateway chiffre également le trafic inter-région sans point unique de défaillance ni goulot d'étranglement sur la bande passante.

Étapes d'implémentation

  • Utilisez Reachability Analyzer pour analyser le chemin entre une source et une destination en fonction de la configuration : Reachability Analyzer vous permet d'automatiser la vérification de la connectivité vers et depuis les ressources connectées VPC. Notez que cette analyse se fait en examinant la configuration (aucun paquet réseau n'est envoyé lors de l'analyse).

  • Utilisez l'analyseur d'accès réseau Amazon VPC pour identifier l'accès involontaire aux ressources du réseau : l'analyseur d'accès réseau Amazon VPC vous permet de spécifier vos besoins d'accès réseau et d'identifier les chemins réseau potentiels.

  • Déterminez si les ressources doivent être dans un sous-réseau public : ne placez pas les ressources dans les sous-réseaux publics de votre VPC à moins qu'elles doivent absolument recevoir du trafic réseau entrant de sources publiques.

  • Créez des sous-réseaux dans vos VPC : créez des sous-réseaux pour chaque couche réseau (dans les groupes qui comprennent plusieurs zones de disponibilité) pour améliorer la micro-segmentation. Vérifiez également que vous avez associé les tables de routage appropriées à vos sous-réseaux pour contrôler le routage et la connectivité Internet.

  • Utilisez AWS Firewall Manager pour gérer vos groupes de sécurité VPC : AWS Firewall Manager permet d'alléger la complexité de gestion liée à l'utilisation de plusieurs groupes de sécurité.

  • Utilisez AWS WAF pour vous protéger contre les vulnérabilités web courantes : AWS WAF peut permettre d'améliorer la sécurité de la périphérie en inspectant le trafic à la recherche des vulnérabilités web courantes, telles que l'injection de SQL. Il vous permet également de limiter le trafic des adresses IP provenant de certains pays ou emplacements géographiques.

  • Utilisez Amazon CloudFront comme réseau de distribution de contenu (CDN) : Amazon CloudFront peut vous aider à accélérer votre application web en stockant les données plus près de vos utilisateurs. Il peut également améliorer la sécurité de la périphérie en appliquant HTTPS, en limitant l'accès aux zones géographiques et en veillant à ce que le trafic réseau ne puisse accéder aux ressources que lorsqu'il est acheminé via CloudFront.

  • Utilisez Amazon API Gateway lors de la création d'interfaces de programmation d'applications (API) : Amazon API Gateway permet de publier, surveiller et sécuriser les API REST, HTTPS et WebSocket.

Ressources

Documents connexes :

Vidéos connexes :

Exemples connexes :