SEC 5: Comment protégez-vous vos ressources réseau ?

Pour toute charge de travail ayant une forme quelconque de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, plusieurs couches de défense sont nécessaires pour vous protéger contre les menaces externes et internes basées sur le réseau.

Ressources

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

Bonnes pratiques:

• Créer des couches réseau: Regroupez en couches les composants qui partagent les exigences d'accessibilité. Par exemple, un cluster de bases de données dans un VPC n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Dans une charge de travail sans serveur fonctionnant sans VPC, une superposition et une segmentation similaires avec des microservices peuvent atteindre le même objectif.

• Contrôler le trafic sur toutes les couches: Appliquez des contrôles avec une approche de défense approfondie pour le trafic entrant et sortant. Pour Amazon Virtual Private Cloud (VPC) par exemple, ceci inclut les groupes de sécurité, les ACL réseau et les sous-réseaux. Pour AWS Lambda, pensez à l'exécution dans votre VPC privé avec des contrôles basés sur VPC.

• Automatiser la protection du réseau: Automatisez les mécanismes de protection pour disposer d'un réseau capable de se défendre lui-même grâce à l'intelligence des menaces et à la détection des anomalies. Par exemple, des outils de détection et de prévention des intrusions capables de s'adapter de manière proactive aux menaces actuelles et de réduire leur impact.

• Mettre en œuvre l'inspection et la protection: Inspectez et filtrez votre trafic au niveau de chaque couche. Par exemple, utilisez un pare-feu d'application Web pour vous protéger contre tout accès accidentel au niveau de la couche réseau de l'application. Pour les fonctions Lambda, des outils tiers peuvent ajouter un pare-feu de couche application à votre environnement d'exécution.

Plan d'amélioration

Créer des couches réseau

Créer des sous-réseaux dans un VPC: Créez des sous-réseaux pour chaque couche (dans des groupes qui incluent plusieurs zones de disponibilité) et associez des tables de routage pour contrôler le routage.
VPCs and subnets
Route tables

Contrôler le trafic sur toutes les couches

Contrôler le trafic réseau dans un VPC: Mettre en œuvre les bonnes pratiques VPC pour contrôler le trafic
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs

Contrôler le trafic en périphérie: Implémentez des services périphériques comme Amazon CloudFront pour fournir une couche supplémentaire de protection et d'autres fonctions.
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing

Contrôler le trafic réseau privé: Implémentez des services qui protègent votre trafic privé pour votre charge de travail.
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points

Automatiser la protection du réseau

Automatiser la protection du trafic Web: AWS propose une solution qui utilise AWS CloudFormation pour déployer automatiquement un ensemble de règles AWS WAF conçues pour filtrer les attaques courantes sur le Web. Les utilisateurs peuvent choisir parmi des fonctions de protection préconfigurées qui définissent les règles incluses dans une liste de contrôle d'accès (ACL Web) AWS WAF.
AWS WAF security automations

Penser à utiliser des solutions de partenaires APN: Les partenaires APN proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité complète et d'avoir une expérience plus homogène dans votre cloud et vos environnements sur site.
Infrastructure security

Mettre en œuvre l'inspection et la protection

Configurer Amazon GuardDuty: Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Configurer des journaux de flux VPC: La fonctionnalité de journaux de flux VPC vous permet de capturer des informations sur le trafic IP circulant vers et depuis les interfaces réseau dans votre VPC. Les données des journaux de flux peuvent être publiées dans Amazon CloudWatch Logs et Amazon S3. Une fois que vous avez créé un journal de flux, vous pouvez extraire et afficher ses données dans la destination de votre choix.

Penser à mettre en miroir le trafic VPC: La mise en miroir du trafic est une fonction Amazon VPC que vous pouvez utiliser pour copier le trafic réseau à partir d'une interface réseau Elastic d'instances Amazon EC2, puis l'envoyer à des appareils de sécurité et de surveillance hors bande pour l'inspection du contenu, la surveillance des menaces et le dépannage.
VPC traffic mirroring