# SEC05-BP01 Créer des couches réseau
<a name="sec_network_protection_create_layers"></a>

 Regroupez en couches les composants qui partagent les exigences d'accessibilité. Par exemple, un cluster de bases de données dans un cloud privé virtuel (VPC) n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Dans une charge de travail sans serveur fonctionnant sans VPC, une superposition et une segmentation similaires avec des microservices peuvent atteindre le même objectif. 

les composants, tels que les instances Amazon Elastic Compute Cloud (Amazon EC2), les clusters de bases de données Amazon Relational Database Service (Amazon RDS) et les fonctions AWS Lambda qui partagent les exigences d'accessibilité, peuvent être segmentés en couches formées par des sous-réseaux. Par exemple, un cluster de bases de données Amazon RDS dans un VPC n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Cette approche multicouche pour les contrôles réduit l'impact d'une mauvaise configuration de couche unique, ce qui pourrait autoriser un accès involontaire. Pour Lambda, vous pouvez exécuter vos fonctions dans votre VPC pour anticiper les contrôles basés sur VPC.

Pour une connectivité réseau qui peut inclure des milliers de VPC, de comptes AWS et de réseaux sur site, utilisez [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Il fait office de hub qui contrôle la façon dont le trafic est routé entre tous les réseaux connectés qui agissent comme terminaisons. Le trafic entre un Amazon Virtual Private Cloud et AWS Transit Gateway reste sur le réseau privé AWS, ce qui réduit les vecteurs de menace externes tels que les attaques par déni de service distribué (DDoS) et les exploits courants, tels que l'injection SQL, les scripts de site à site, la falsification de requête entre sites ou la violation du code d'authentification. L'appairage inter-région AWS Transit Gateway chiffre également le trafic inter-région sans point unique de défaillance ni goulot d'étranglement sur la bande passante.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Créer des sous-réseaux dans un VPC : créez des sous-réseaux pour chaque couche (dans des groupes qui incluent plusieurs zones de disponibilité) et associez des tables de routage pour contrôler le routage. 
  +  [VPC et sous-réseaux ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tables de routage ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)