Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS
SEC05-BP04 Automatiser la protection du réseau - Pilier Sécurité
Directives d’implémentationÉtapes d’implémentationRessources

SEC05-BP04 Automatiser la protection du réseau

PDFRSS

Automatisez le déploiement des protections de votre réseau à l'aide de DevOps pratiques telles que l'infrastructure sous forme de code (IaC) et les pipelines CI/CD.  Ces pratiques peuvent vous aider à suivre les modifications apportées aux protections de votre réseau via un système de contrôle de version, à réduire le temps nécessaire au déploiement des modifications et à détecter si les protections de votre réseau s’écartent de la configuration souhaitée.  

Résultat souhaité : vous définissez les protections du réseau à l’aide de modèles et vous les validez dans un système de contrôle de version.  Les pipelines automatisés sont lancés lorsque de nouvelles modifications sont apportées pour orchestrer les tests et le déploiement.  Des vérifications des politiques et d’autres tests statiques sont en place pour valider les modifications avant le déploiement.  Vous déployez les modifications dans un environnement intermédiaire afin de vérifier que les contrôles fonctionnent comme prévu.  Le déploiement dans vos environnements de production est également effectué automatiquement une fois les contrôles approuvés.

Anti-modèles courants :

  • Attendre de chaque équipe responsable de la charge de travail qu’elle définisse individuellement sa pile réseau complète, ses protections et ses automatisations.  Ne pas publier les aspects standard de la pile réseau et des protections de manière centralisée pour que les équipes chargées de la charge de travail puissent les utiliser.

  • S’appuyer sur une équipe réseau centrale pour définir tous les aspects du réseau, les protections et les automatisations.  Ne pas déléguer les aspects spécifiques à la charge de travail de la pile réseau et des protections à l’équipe responsable de cette charge de travail.

  • Trouver le juste équilibre entre la centralisation et la délégation entre une équipe réseau et les équipes responsables des charges de travail, sans appliquer des normes de test et de déploiement cohérentes à vos modèles IaC et à vos pipelines CI/CD.  Ne pas capturer les configurations requises dans les outils qui vérifient la conformité de vos modèles.

Avantages du respect de cette bonne pratique : l’utilisation de modèles pour définir les protections de votre réseau vous permet de suivre et de comparer les modifications au fil du temps avec un système de contrôle de version.  L’utilisation de l’automatisation pour tester et déployer les modifications crée de la standardisation et de la prévisibilité, ce qui augmente les chances de réussite du déploiement et réduit les configurations manuelles répétitives.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen 

Directives d’implémentation

Un certain nombre de contrôles de protection réseau décrits dans SEC05-BP02 Contrôlez les flux de trafic au sein de vos couches réseau et SEC05-BP03 Mettre en œuvre une protection basée sur l'inspection s'accompagnent de systèmes de règles gérés qui peuvent être mis à jour automatiquement en fonction des dernières informations sur les menaces.  Les exemples de protection de vos points de terminaison Web incluent les règles AWS WAF gérées et l'DDoSatténuation AWS Shield Advanced automatique de la couche d'application. Utilisez des groupes de règles gérées AWS Network Firewall pour vous tenir au courant des listes de domaines de mauvaise réputation et des signatures de menaces.

Au-delà des règles gérées, nous vous recommandons d'utiliser DevOps des pratiques pour automatiser le déploiement des ressources de votre réseau, des protections et des règles que vous spécifiez.  Vous pouvez capturer ces définitions dans AWS CloudFormation ou dans un autre outil d’infrastructure en tant que code (IaC) de votre choix, les valider dans un système de contrôle de version et les déployer à l’aide de pipelines CI/CD.  Utilisez cette approche DevOps pour bénéficier des avantages traditionnels de la gestion des contrôles de votre réseau, tels que des versions plus prévisibles, des tests automatisés à l'aide d'outils tels que AWS CloudFormation Guard, et la détection des écarts entre votre environnement déployé et la configuration souhaitée.

Sur la base des décisions que vous avez prises dans le cadre de SEC05-BP01 Create network layers, vous pouvez avoir adopté une approche de gestion centralisée pour créer VPCs des couches dédiées aux flux d'entrée, de sortie et d'inspection.  Comme décrit dans l'architecture AWS de référence de sécurité (AWS SRA), vous pouvez les définir VPCs dans un compte d'infrastructure réseau dédié.  Vous pouvez utiliser des techniques similaires pour définir de manière centralisée les charges de travail VPCs utilisées dans d'autres comptes, leurs groupes de sécurité, leurs AWS Network Firewall déploiements, les règles du résolveur Route 53 et les configurations de DNS pare-feu, ainsi que d'autres ressources réseau.  Vous pouvez partager ces ressources avec vos autres comptes grâce à AWS Resource Access Manager.  Cette approche vous permet de simplifier les tests automatisés et le déploiement de vos contrôles réseau sur le compte Réseau, en ne gérant qu’une seule destination.  Vous pouvez le faire dans un modèle hybride, dans lequel vous déployez et partagez certains contrôles de manière centralisée et déléguez d’autres contrôles aux différentes équipes responsables des charges de travail et à leurs comptes respectifs.

Étapes d’implémentation

  1. Déterminez quels aspects du réseau et des protections sont définis de manière centralisée et quels aspects peuvent être gérés par vos équipes qui s’occupent des charges de travail.

  2. Créez des environnements pour tester et déployer les modifications apportées à votre réseau et à ses protections.  Par exemple, utilisez un compte de test réseau et un compte de production réseau.

  3. Déterminez comment vous allez stocker et gérer vos modèles dans un système de contrôle de version.  Stockez les modèles centraux dans un référentiel distinct des référentiels de charge de travail, tandis que les modèles de charge de travail peuvent être stockés dans des référentiels spécifiques à cette charge de travail.

  4. Créez des pipelines CI/CD pour tester et déployer des modèles.  Définissez des tests pour vérifier les erreurs de configuration et vérifier que les modèles sont conformes aux normes de votre entreprise.

Ressources

Bonnes pratiques associées :

Documents connexes :

Exemples connexes :

Outils associés :

Rubrique suivante :

Protection du calcul

Avez-vous besoin d’aide ?

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.