SEC05-BP02 Contrôler le flux de trafic au sein de vos couches réseau - AWS Well-Architected Framework
Directives d’implémentationRessources

SEC05-BP02 Contrôler le flux de trafic au sein de vos couches réseau

Au sein des couches de votre réseau, segmentez davantage pour limiter le trafic uniquement aux flux nécessaires à chaque charge de travail. Tout d’abord, concentrez-vous sur le contrôle du trafic entre Internet ou d’autres systèmes externes vers une charge de travail et votre environnement (trafic nord-sud). Ensuite, examinez les flux entre les différents composants et systèmes (trafic est-ouest).

Résultat souhaité : vous autorisez uniquement les flux réseau nécessaires pour que les composants de vos charges de travail puissent communiquer entre eux et avec leurs clients, ainsi qu’avec tout autre service dont ils dépendent. Votre conception prend en compte des facteurs tels que les entrées et sorties publiques par rapport aux entrées et sorties privées, la classification des données, les réglementations régionales et les exigences en matière de protocole. Dans la mesure du possible, vous privilégiez les flux point à point plutôt que l’appairage du réseau dans le cadre d’une conception reposant sur le principe du moindre privilège.

Anti-modèles courants :

  • Vous adoptez une approche de la sécurité du réseau basée sur le périmètre et vous ne contrôlez le flux de trafic qu’à la limite des couches de votre réseau.

  • Vous supposez que tout le trafic au sein d’une couche réseau est authentifié et autorisé.

  • Vous appliquez des contrôles à votre trafic d’entrée ou de sortie, mais pas aux deux.

  • Vous vous fiez uniquement aux composants de votre charge de travail et aux contrôles réseau pour authentifier et autoriser le trafic.

Avantages de la mise en place de cette bonne pratique : cette pratique permet de réduire le risque de mouvements non autorisés au sein de votre réseau et ajoute une couche d’autorisation supplémentaire à vos charges de travail. En contrôlant le flux de trafic, vous pouvez limiter l’ampleur de l’impact d’un incident de sécurité et accélérer la détection et la réponse.

Niveau d’exposition au risque si cette bonne pratique n’est pas établie : élevé

Directives d’implémentation

Alors que les couches réseau aident à définir les limites entre les composants de votre charge de travail qui remplissent une fonction, un niveau de sensibilité des données et un comportement similaires, vous pouvez créer un niveau de contrôle du trafic nettement plus précis en utilisant des techniques permettant de segmenter davantage les composants au sein de ces couches, conformément au principe du moindre privilège. Dans AWS, les couches réseau sont principalement définies à l’aide de sous-réseaux en fonction de plages d’adresses IP au sein d’un Amazon VPC. Les couches peuvent également être définies à l’aide de différents VPC, par exemple pour regrouper les environnements de microservices par domaine d’activité. Lorsque vous utilisez plusieurs VPC, trouvez un compromis pour l’acheminement en utilisant une AWS Transit Gateway. Bien que cela fournisse un contrôle du trafic au niveau de la couche 4 (plages d’adresses IP et de ports) à l’aide de groupes de sécurité et de tables de routage, vous pouvez obtenir un contrôle supplémentaire à l’aide de services supplémentaires, par exemple AWS PrivateLink, Amazon Route 53 Resolver DNS Firewall, AWS Network Firewall et AWS WAF.

Comprenez et inventoriez les exigences en matière de flux de données et de communication de vos charges de travail en termes de parties initiatrices de connexion, de ports, de protocoles et de couches réseau. Évaluez les protocoles disponibles pour établir des connexions et transmettre des données afin de sélectionner ceux qui répondent à vos exigences de protection (par exemple, HTTPS plutôt que HTTP). Capturez ces exigences à la fois aux limites de vos réseaux et au sein de chaque couche. Une fois ces exigences identifiées, explorez les options permettant d’autoriser uniquement le trafic requis à circuler à chaque point de connexion. Un bon point de départ consiste à utiliser des groupes de sécurité au sein de votre VPC, car ils peuvent être associés à des ressources utilisant une interface réseau Elastic (ENI), par exemple des instances Amazon EC2, des tâches Amazon ECS, des pods Amazon EKS ou des bases de données Amazon RDS. Contrairement à un pare-feu de couche 4, un groupe de sécurité peut avoir une règle qui autorise le trafic provenant d’un autre groupe de sécurité en fonction de son identifiant, minimisant ainsi les mises à jour à mesure que les ressources du groupe changent au fil du temps. Vous pouvez également filtrer le trafic à l’aide de règles entrantes et sortantes à l’aide de groupes de sécurité.

Lorsque le trafic se déplace entre des VPC, il est courant d’utiliser l’appairage de VPC pour un routage simple ou AWS Transit Gateway pour un routage complexe. Grâce à ces approches, vous facilitez les flux de trafic entre la plage d’adresses IP des réseaux source et de destination. Toutefois, si votre charge de travail requiert uniquement des flux de trafic entre des composants spécifiques de différents VPC, envisagez d’utiliser une connexion point à point avec AWS PrivateLink. Pour ce faire, identifiez quel service doit agir en tant que producteur et lequel doit agir en tant que consommateur. Déployez un équilibreur de charge compatible pour le producteur, activez PrivateLink en conséquence, puis acceptez une demande de connexion du consommateur. Le service du producteur se voit ensuite attribuer une adresse IP privée depuis le VPC du consommateur. Cette adresse peut alors être utilisée par le consommateur pour effectuer des demandes ultérieures. Cette approche réduit le besoin d’appairage entre les réseaux. Incluez les coûts du traitement des données et de l’équilibrage de charge dans le cadre de l’évaluation de PrivateLink.

Bien que les groupes de sécurité et PrivateLink aident à contrôler le flux entre les composants de vos charges de travail, il est également extrêmement important de savoir comment contrôler les domaines DNS auxquels vos ressources sont autorisées à accéder (le cas échéant). En fonction de la configuration DHCP de vos VPC, vous pouvez envisager d’utiliser deux services AWS différents à cette fin. La plupart des clients utilisent le service Route 53 Resolver DNS par défaut (également appelé serveur Amazon DNS ou AmazonProvidedDNS) disponible pour les VPC à l’adresse +2 de sa plage d’adresses CIDR. Avec cette approche, vous pouvez créer des règles de pare-feu DNS et les associer à votre VPC afin de déterminer les actions à entreprendre pour les listes de domaines que vous fournissez.

Si vous n’utilisez pas le Route 53 Resolver, ou si vous souhaitez le compléter par des fonctionnalités d’inspection et de contrôle de flux plus approfondies allant au-delà du filtrage de domaine, envisagez de déployer un AWS Network Firewall. Ce service inspecte les paquets individuels en utilisant des règles sans ou avec état afin de déterminer s’il est nécessaire de refuser ou d’autoriser le trafic. Vous pouvez adopter une approche similaire pour filtrer le trafic Web entrant vers vos points de terminaison publics à l’aide d’AWS WAF. Pour plus d’informations sur ces services, consultez SEC05-BP03 Mettre en œuvre une protection basée sur l’inspection.

Étapes d’implémentation

  1. Identifiez les flux de données requis entre les composants de vos charges de travail.

  2. Appliquez plusieurs contrôles avec une approche de défense en profondeur pour le trafic entrant et sortant, notamment en utilisant des groupes de sécurité et des tables de routage. 

  3. Utilisez des pare-feux pour définir un contrôle précis du trafic réseau entrant, sortant et transitant par vos VPC, comme Route 53 Resolver DNS Firewall, AWS Network Firewall et AWS WAF. Envisagez d’utiliser AWS Firewall Manager pour configurer et gérer de manière centralisée vos règles de pare-feu dans l’ensemble de votre organisation.

Ressources

Bonnes pratiques associées :

Documents connexes :

Outils associés :

Vidéos connexes :

Exemples connexes :