SEC05-BP03 Mettre en œuvre une protection basée sur l'inspection

Configurez des points d’inspection du trafic entre les couches de votre réseau afin de vous assurer que les données en transit correspondent aux catégories et aux modèles attendus.  Analysez les flux de trafic, les métadonnées et les modèles pour identifier et détecter les événements, et y répondre plus efficacement.

Résultat souhaité : le trafic qui passe d’une couche à l’autre de votre réseau est inspecté et autorisé.  Les décisions d’autorisation et de refus sont basées sur des règles explicites, des informations sur les menaces et des écarts par rapport aux comportements de base.  Les protections deviennent plus strictes à mesure que le trafic se rapproche des données sensibles.

Anti-modèles courants :

• S’appuyer uniquement sur les règles de pare-feu basées sur les ports et les protocoles. Ne pas tirer parti des systèmes intelligents.

• Créer des règles de pare-feu basées sur des modèles de menaces actuels spécifiques susceptibles de changer.

• Inspecter uniquement le trafic transitant des sous-réseaux privés vers des sous-réseaux publics, ou des sous-réseaux publics vers Internet.

• Ne pas disposer d’une vue de base de votre trafic réseau à utiliser à titre de comparaison afin de détecter les anomalies de comportement.

Avantages du respect de cette bonne pratique : les systèmes d’inspection vous permettent de créer des règles intelligentes, telles que l’autorisation ou le refus du trafic uniquement lorsque certaines conditions relatives aux données de trafic existent. Bénéficiez d'ensembles de règles gérés par les partenaires AWS et basés sur les informations les plus récentes sur les menaces, à mesure que le paysage des menaces évolue au fil du temps.  Cela réduit les frais liés à la mise à jour des règles et à la recherche d’indicateurs de compromis, réduisant ainsi le risque de faux positifs.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Contrôlez avec précision votre trafic réseau dynamique et apatride à l'aide AWS Network Firewall d'autres pare-feux et systèmes de prévention des intrusions (IPS) AWS Marketplace que vous pouvez déployer derrière un Gateway Load Balancer (). GWLB AWS Network Firewall prend en charge les IPS spécifications open source compatibles avec Suricata pour protéger votre charge de travail.

Les solutions AWS Network Firewall des fournisseurs qui utilisent un GWLB prennent en charge différents modèles de déploiement de l'inspection en ligne.  Par exemple, vous pouvez effectuer une inspection sur une VPC base individuelle, la centraliser dans le cadre d'une inspection VPC ou la déployer dans un modèle hybride dans lequel le trafic est-ouest passe par une inspection VPC et où les entrées Internet sont inspectées par inspection. VPC  Une autre considération est de savoir si la solution prend en charge le déballage de Transport Layer Security (TLS), permettant une inspection approfondie des paquets pour les flux de trafic initiés dans les deux sens. Pour plus d’informations et des détails détaillés sur ces configurations, consultez le guide des bonnes pratiques AWS Network Firewall.

Si vous utilisez des solutions qui effectuent des out-of-band inspections, telles que l'analyse pcap des données par paquets provenant d'interfaces réseau fonctionnant en mode promiscuité, vous pouvez configurer VPC la mise en miroir du trafic. Le trafic en miroir est pris en compte dans la bande passante disponible de vos interfaces et il est soumis aux mêmes frais de transfert de données que le trafic non mis en miroir. Vous pouvez voir si des versions virtuelles de ces appliances sont disponibles sur le AWS Marketplace, qui peut prendre en charge le déploiement en ligne derrière unGWLB.

Pour les composants qui effectuent des transactions via des protocoles HTTP basés, protégez votre application contre les menaces courantes à l'aide d'un pare-feu pour applications Web (WAF). AWS WAFest un pare-feu d'applications Web qui vous permet de surveiller et de bloquer les demandes HTTP (S) conformes à vos règles configurables avant de les envoyer à Amazon API Gateway CloudFront, Amazon AWS AppSync ou à un Application Load Balancer. Envisagez une inspection approfondie des paquets lorsque vous évaluez le déploiement de votre pare-feu d'applications Web, car certains nécessitent que vous vous arrêtiez TLS avant d'inspecter le trafic. Pour commencer AWS WAF, vous pouvez l'utiliser AWS Managed Rulesen combinaison avec les vôtres ou utiliser les intégrations de partenaires existantes.

Vous pouvez gérer de manière centralisée AWS WAF, AWS Shield Advanced AWS Network Firewall, et les groupes VPC de sécurité Amazon au sein de votre AWS organisation avec AWS Firewall Manager. 

Étapes d’implémentation

1. Déterminez si vous pouvez élargir la portée des règles d'inspection, par exemple par le biais d'une inspectionVPC, ou si vous avez besoin d'une approche plus précise par VPC approche.

2. Pour les solutions d’inspection en ligne :

   1. Si vous l'utilisez AWS Network Firewall, créez des règles, des politiques de pare-feu et le pare-feu lui-même. Une fois ceux-ci configurés, vous pouvez acheminer le trafic vers le point de terminaison du pare-feu pour permettre l’inspection. 

   2. Si vous utilisez une appliance tierce avec un Gateway Load Balancer (GWLB), déployez et configurez votre appliance dans une ou plusieurs zones de disponibilité. Créez ensuite votreGWLB, le service de point de terminaison, le point de terminaison et configurez le routage de votre trafic.

3. Pour les solutions out-of-band d'inspection :

   1. Activez la mise en miroir VPC du trafic sur les interfaces où le trafic entrant et sortant doit être reflété. Vous pouvez utiliser EventBridge les règles Amazon pour appeler une AWS Lambda fonction afin d'activer la mise en miroir du trafic sur les interfaces lorsque de nouvelles ressources sont créées. Dirigez les sessions de mise en miroir du trafic vers le Network Load Balancer situé devant votre appareil qui traite le trafic.

4. Pour les solutions de trafic Web entrant :

   1. Pour configurer AWS WAF, commencez par configurer une liste de contrôle d'accès Web (WebACL). Le Web ACL est un ensemble de règles comportant une action par défaut (ALLOWouDENY) traitée en série qui définit la manière dont vous gérez le WAF trafic. Vous pouvez créer vos propres règles et groupes ou utiliser des groupes de règles AWS gérés sur votre site WebACL.

   2. Une fois votre site Web ACL configuré, associez-le à une AWS ressource (Application Load Balancer, API Gateway REST API ou CloudFront distribution, par exemple) pour commencer à protéger le trafic Web. ACL

Ressources

Documents connexes :

• Qu’est-ce que le Traffic Mirroring ?

• Mise en œuvre de l’inspection du trafic en ligne à l’aide d’appareils de sécurité tiers

• AWS Network Firewall exemples d'architectures avec routage

• Architecture d'inspection centralisée avec AWS Gateway Load Balancer et AWS Transit Gateway

Exemples connexes :

• Bonnes pratiques pour le déploiement de Gateway Load Balancer

• TLSconfiguration d'inspection pour le trafic de sortie crypté et AWS Network Firewall

Outils associés :

• AWS Marketplace IDS/IPS