Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Groupes de sécurité et réseau ACLs (BP5)
Amazon Virtual Private Cloud (AmazonVPC) vous permet de fournir une section isolée de manière logique AWS Cloud où vous pouvez lancer AWS des ressources dans un réseau virtuel que vous définissez.
Les groupes de sécurité et le réseau ACLs sont similaires en ce sens qu'ils vous permettent de contrôler l'accès aux AWS ressources de votreVPC. Mais les groupes de sécurité vous permettent de contrôler le trafic entrant et sortant au niveau de l'instance, tandis que le réseau ACLs offre des fonctionnalités similaires au niveau du VPC sous-réseau. L'utilisation des groupes de sécurité ou du réseau est gratuiteACLs.
Vous pouvez choisir de spécifier des groupes de sécurité lorsque vous lancez une instance ou d'associer l'instance à un groupe de sécurité ultérieurement. Tout le trafic Internet vers un groupe de sécurité est implicitement refusé, sauf si vous créez une règle d'autorisation pour autoriser le trafic.
Par exemple, lorsque des EC2 instances Amazon sont associées à un Elastic Load Balancer, il n'est pas nécessaire que les instances elles-mêmes soient accessibles au public et doivent être uniquement privéesIPs. Vous pouvez plutôt fournir à Elastic Load Balancer l'accès aux ports d'écoute cibles requis en utilisant une règle de groupe de sécurité qui autorise l'accès à 0.0.0.0/0 (pour éviter les problèmes de suivi des connexions, voir note ci-dessous) en conjonction avec une liste de contrôle d'accès réseau (NACL) sur le sous-réseau du groupe cible afin d'autoriser uniquement les plages d'adresses IP d'Elastic Load Balancing à communiquer avec les instances. Cela garantit que le trafic Internet ne peut pas communiquer directement avec vos EC2 instances Amazon, ce qui rend plus difficile pour un attaquant de découvrir et d'influencer votre application.
Lorsque vous créez un réseauACLs, vous pouvez définir des règles d'autorisation et de refus. Cela est utile si vous souhaitez refuser explicitement certains types de trafic vers votre application. Par exemple, vous pouvez définir des adresses IP (sous forme de CIDR plages), des protocoles et des ports de destination auxquels l'accès à l'ensemble du sous-réseau est refusé. Si votre application est utilisée uniquement pour TCP le trafic, vous pouvez créer une règle pour refuser tout UDP trafic, ou vice versa. Cette option est utile lorsque vous répondez à DDoS des attaques, car elle vous permet de créer vos propres règles pour atténuer l'attaque lorsque vous connaissez la source IPs ou une autre signature.
Si vous êtes abonné AWS Shield Advanced, vous pouvez enregistrer les adresses IP Elastic en tant que ressources protégées. DDoSles attaques contre les adresses IP Elastic enregistrées en tant que ressources protégées sont détectées plus rapidement, ce qui permet de réduire les délais d'atténuation. Lorsqu'une attaque est détectée, les systèmes DDoS d'atténuation lisent le réseau ACL correspondant à l'adresse IP élastique ciblée et l'appliquent à la frontière du AWS réseau plutôt qu'au niveau du sous-réseau. Cela réduit considérablement le risque d'impact d'un certain nombre d'DDoSattaques au niveau de l'infrastructure.
Pour plus d'informations sur la configuration des groupes de sécurité et du réseau ACLs afin d'optimiser DDoS la résilience, consultez Comment vous préparer aux DDoS attaques en réduisant votre surface d'attaque
Pour plus d'informations sur l'utilisation de Shield Advanced avec des adresses IP élastiques en tant que ressources protégées, reportez-vous aux étapes de souscription AWS Shield Advanced.
