Inspection entrante centralisée - Création d'une infrastructure VPC AWS multiréseau évolutive et sécurisée
AWS WAF et AWS Firewall Manager pour inspecter le trafic entrant en provenance d'Internet

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inspection entrante centralisée

De par leur nature, les applications connectées à Internet ont une plus grande surface d'attaque et sont exposées à des catégories de menaces auxquelles la plupart des autres types d'applications n'ont pas à faire face. La protection nécessaire contre les attaques visant ce type d'applications et la minimisation de la surface d'impact sont au cœur de toute stratégie de sécurité.

Lorsque vous déployez des applications dans votre zone de destination, de nombreuses applications seront accessibles aux utilisateurs via Internet public (par exemple, via un réseau de diffusion de contenu (CDN) ou via une application Web destinée au public) via un équilibreur de charge public, une passerelle API ou directement via une passerelle Internet. Dans ce cas, vous pouvez sécuriser vos charges de travail et vos applications en utilisant AWS Web Application Firewall (AWS WAF) pour l'inspection des applications entrantes, ou bien l'inspection entrante IDS/IPS à l'aide de Gateway Load Balancer ou. AWS Network Firewall

Au fur et à mesure que vous déployez des applications dans votre zone d'atterrissage, vous devrez peut-être inspecter le trafic Internet entrant. Vous pouvez y parvenir de plusieurs manières, en utilisant des architectures d'inspection distribuées, centralisées ou combinées en utilisant Gateway Load Balancer exécutant vos dispositifs de pare-feu tiers ou AWS Network Firewall en utilisant des fonctionnalités DPI et IDS/IPS avancées grâce à l'utilisation de règles Suricata open source. Cette section couvre à la fois Gateway Load Balancer et un déploiement centralisé, AWS Network Firewall en faisant AWS Transit Gateway office de hub central pour le routage du trafic.

AWS WAF et AWS Firewall Manager pour inspecter le trafic entrant en provenance d'Internet

AWS WAF est un pare-feu pour applications Web qui aide à protéger vos applications Web ou vos API contre les exploits Web courants et les robots susceptibles d'affecter la disponibilité, de compromettre la sécurité ou de consommer des ressources excessives. AWS WAF vous permet de contrôler la manière dont le trafic atteint vos applications en vous permettant de créer des règles de sécurité qui contrôlent le trafic des robots et bloquent les modèles d'attaque courants, tels que l'injection SQL ou les scripts intersites (XSS). Vous pouvez également personnaliser les règles qui filtrent des modèles de trafic spécifiques.

Vous pouvez déployer AWS WAF sur Amazon dans le CloudFront cadre de votre solution CDN, l'Application Load Balancer qui fait face à vos serveurs Web, Amazon API Gateway pour vos API REST AWS AppSync ou pour vos API GraphQL.

Une fois le déploiement AWS WAF effectué, vous pouvez créer vos propres règles de filtrage du trafic à l'aide du générateur de règles visuel, du code en JSON, des règles gérées gérées par AWS, ou vous pouvez vous abonner à des règles tierces à partir du AWS Marketplace. Ces règles peuvent filtrer le trafic indésirable en évaluant le trafic par rapport aux modèles spécifiés. Vous pouvez également utiliser Amazon CloudWatch pour surveiller les statistiques du trafic entrant et la journalisation.

Pour une gestion centralisée de tous vos comptes et applications AWS Organizations, vous pouvez utiliser AWS Firewall Manager. AWS Firewall Manager est un service de gestion de la sécurité qui vous permet de configurer et de gérer de manière centralisée les règles de pare-feu. Au fur et à mesure que vos nouvelles applications sont créées, AWS Firewall Manager vous pouvez facilement mettre en conformité les nouvelles applications et ressources en appliquant un ensemble commun de règles de sécurité.

À l'aide de AWS Firewall Manager, vous pouvez facilement déployer des AWS WAF règles pour vos équilibreurs de charge d'application, vos instances d'API Gateway et vos CloudFront distributions Amazon. AWS Firewall Manager s'intègre AWS Managed Rules à for AWS WAF, qui vous permet de déployer facilement des AWS WAF règles préconfigurées et sélectionnées sur vos applications. Pour plus d'informations sur la gestion centralisée AWS WAF avec AWS Firewall Manager, reportez-vous à Gestion centralisée AWS WAF (API v2) et AWS Managed Rules à grande échelle avec AWS Firewall Manager.

Schéma illustrant l'inspection centralisée du trafic entrant à l'aide de AWS WAF

Inspection centralisée du trafic entrant à l'aide de AWS WAF

Dans l'architecture précédente, les applications s'exécutent sur des instances Amazon EC2 dans plusieurs zones de disponibilité des sous-réseaux privés. Un Application Load Balancer (ALB) destiné au public est déployé devant les instances Amazon EC2 pour équilibrer la charge des demandes entre les différentes cibles. Le AWS WAF est associé à l'ALB.

Avantages

  • Avec AWS WAF Bot Control, vous bénéficiez d'une visibilité et d'un contrôle sur le trafic de bots courant et omniprésent vers vos applications.

  • Avec Managed Rules for AWS WAF, vous pouvez démarrer rapidement et protéger votre application Web ou vos API contre les menaces courantes. Vous pouvez choisir parmi de nombreux types de règles, notamment celles qui traitent de problèmes tels que les 10 principaux risques de sécurité de l'Open Web Application Security Project (OWASP), les menaces spécifiques aux systèmes de gestion de contenu (CMS) tels que Joomla WordPress ou même les vulnérabilités et expositions communes émergentes (CVE). Les règles gérées sont automatiquement mises à jour à mesure que de nouveaux problèmes apparaissent, ce qui vous permet de consacrer plus de temps à la création d'applications.

  • AWS WAF est un service géré et aucune appliance n'est nécessaire pour l'inspection dans cette architecture. En outre, il fournit des journaux en temps quasi réel via Amazon Data Firehose. AWS WAF donne une visibilité en temps quasi réel de votre trafic Web, que vous pouvez utiliser pour créer de nouvelles règles ou alertes sur Amazon. CloudWatch

Considérations clés

  • Cette architecture convient parfaitement à l'inspection des en-têtes HTTP et aux inspections distribuées, car elle AWS WAF est intégrée à un ALB, à une CloudFront distribution et à une API Gateway. AWS WAF n'enregistre pas le corps de la demande.

  • Le trafic destiné à un deuxième ensemble d'ALB (le cas échéant) peut ne pas être inspecté par la même AWS WAF instance, car une nouvelle demande serait envoyée au deuxième ensemble d'ALB.