# SEC 5  Comment protéger vos ressources réseau ?
<a name="w2aac19b7c11b5"></a>

Pour toute charge de travail ayant une forme quelconque de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, plusieurs couches de défense sont nécessaires pour vous protéger contre les menaces externes et internes basées sur le réseau.

**Topics**
+ [SEC05-BP01 Créer des couches réseau](sec_network_protection_create_layers.md)
+ [SEC05-BP02 Contrôler le trafic sur toutes les couches](sec_network_protection_layered.md)
+ [SEC05-BP03 Automatiser la protection du réseau](sec_network_protection_auto_protect.md)
+ [SEC05-BP04 Mettre en œuvre l'inspection et la protection](sec_network_protection_inspection.md)

# SEC05-BP01 Créer des couches réseau
<a name="sec_network_protection_create_layers"></a>

 Regroupez en couches les composants qui partagent les exigences d'accessibilité. Par exemple, un cluster de bases de données dans un cloud privé virtuel (VPC) n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Dans une charge de travail sans serveur fonctionnant sans VPC, une superposition et une segmentation similaires avec des microservices peuvent atteindre le même objectif. 

les composants, tels que les instances Amazon Elastic Compute Cloud (Amazon EC2), les clusters de bases de données Amazon Relational Database Service (Amazon RDS) et les fonctions AWS Lambda qui partagent les exigences d'accessibilité, peuvent être segmentés en couches formées par des sous-réseaux. Par exemple, un cluster de bases de données Amazon RDS dans un VPC n'ayant pas besoin d'accès à Internet doit être placé dans des sous-réseaux sans route vers Internet ou depuis Internet. Cette approche multicouche pour les contrôles réduit l'impact d'une mauvaise configuration de couche unique, ce qui pourrait autoriser un accès involontaire. Pour Lambda, vous pouvez exécuter vos fonctions dans votre VPC pour anticiper les contrôles basés sur VPC.

Pour une connectivité réseau qui peut inclure des milliers de VPC, de comptes AWS et de réseaux sur site, utilisez [AWS Transit Gateway](http://aws.amazon.com/transit-gateway). Il fait office de hub qui contrôle la façon dont le trafic est routé entre tous les réseaux connectés qui agissent comme terminaisons. Le trafic entre un Amazon Virtual Private Cloud et AWS Transit Gateway reste sur le réseau privé AWS, ce qui réduit les vecteurs de menace externes tels que les attaques par déni de service distribué (DDoS) et les exploits courants, tels que l'injection SQL, les scripts de site à site, la falsification de requête entre sites ou la violation du code d'authentification. L'appairage inter-région AWS Transit Gateway chiffre également le trafic inter-région sans point unique de défaillance ni goulot d'étranglement sur la bande passante.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Créer des sous-réseaux dans un VPC : créez des sous-réseaux pour chaque couche (dans des groupes qui incluent plusieurs zones de disponibilité) et associez des tables de routage pour contrôler le routage. 
  +  [VPC et sous-réseaux ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html)
  +  [Tables de routage ](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 
+ [ Amazon Inspector ](https://aws.amazon.com/inspector)
+  [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs ](https://youtu.be/9Nikqn_02Oc)
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP02 Contrôler le trafic sur toutes les couches
<a name="sec_network_protection_layered"></a>

  lorsque vous créez l'architecture de votre topologie réseau, vous devez examiner les exigences de connectivité de chaque composant. Par exemple, si un composant nécessite d'accéder à Internet (en entrée et en sortie), une connectivité aux VPC, aux services périphériques et aux centres de données externes. 

 Un VPC vous permet de définir votre topologie de réseau qui s'étend sur une Région AWS avec une plage d'adresses IPv4 privée que vous définissez, ou une plage d'adresses IPv6 que sélectionne AWS. Vous devez appliquer des contrôles multiples avec une approche de défense en profondeur pour le trafic entrant et sortant, y compris l'utilisation de groupes de sécurité (pare-feu à inspection permanente), de listes de contrôle d'accès (ACL) réseau, de sous-réseaux et de tables de routage. Au sein d'un VPC, vous pouvez créer des sous-réseaux dans une zone de disponibilité. Chaque sous-réseau peut avoir une table de routage associée qui définit les règles de routage pour gérer les chemins que le trafic emprunte au sein du sous-réseau. Vous pouvez définir un sous-réseau routable Internet en ayant une route qui accède à une passerelle Internet ou NAT connectée au VPC, ou passant par un autre VPC. 

 Lorsqu'une instance, une base de données Amazon Relational Database Service(Amazon RDS) ou un autre service sont lancés au sein d'un VPC, ils disposent de leur propre groupe de sécurité sur chaque interface réseau. Ce pare-feu se situe en dehors de la couche du système d'exploitation et peut être utilisé pour définir des règles pour le trafic entrant et sortant autorisé. Vous pouvez également définir les relations entre les groupes de sécurité. Par exemple, les instances d'un groupe de sécurité de la couche base de données n'acceptent que le trafic des instances de la couche application, par référence aux groupes de sécurité appliqués aux instances concernées. Si vous utilisez des protocoles non-TCP, il n'est pas nécessaire de laisser une instance Amazon Elastic Compute Cloud(Amazon EC2) directement accessible par Internet (même avec des ports restreints par des groupes de sécurité) sans utiliser d'équilibreur de charge ou [CloudFront](https://aws.amazon.com/cloudfront). Cela permet de la protéger contre un accès involontaire en cas de problème de système d'exploitation ou d'application. Un sous-réseau peut également avoir une liste ACL réseau qui fait office de pare-feu sans état. Vous devez configurer la liste de contrôle d'accès(ACL) au réseau de manière à réduire l'étendue du trafic autorisé entre les couches. Notez que vous devez définir des règles à la fois pour les flux entrants et sortants. 

 Certains services AWS nécessitent que des composants accèdent à Internet pour effectuer des appels d'API, là où [les points de terminaison d'API AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) sont situés. D'autres services AWS utilisent les [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) dans vos Amazon VPC. De nombreux services AWS, notamment Amazon S3 et Amazon DynamoDB, prennent en charge les points de terminaison d'un VPC, et cette technologie a été généralisée dans . [AWS PrivateLink](https://aws.amazon.com/privatelink/). Nous vous recommandons d'utiliser cette approche pour accéder en toute sécurité aux services AWS, aux services tiers et à vos propres services hébergés dans d'autres VPC. Tout le trafic réseau sur AWS PrivateLink reste sur la dorsale mondiale AWS et ne traverse jamais Internet. La connectivité ne peut être initiée que par le consommateur du service, et non par le fournisseur du service. Utiliser AWS PrivateLink pour l'accès au service externe vous permet de créer des VPC isolés sans accès à Internet et contribue à protéger vos VPC contre les vecteurs de menace externes. Les services tiers peuvent utiliser AWS PrivateLink pour permettre à leurs clients de se connecter aux services à partir de leurs VPC via des adresses IP privées. Pour les ressources VPC qui ont besoin d'établir des connexions sortantes à Internet, celles-ci peuvent être établies en mode sortant uniquement (unidirectionnel) via une passerelle NAT gérée par AWS, une passerelle Internet en mode sortant uniquement ou des proxys Web que vous créez et gérez. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Contrôler le trafic réseau dans un VPC : mettez en œuvre les bonnes pratiques liées aux VPC pour contrôler le trafic. 
  +  [Sécurité des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) 
  +  [Points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html) 
  +  [Groupe de sécurité de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 
  +  [ACL réseau](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 
+  Contrôler le trafic en périphérie : implémentez des services périphériques comme Amazon CloudFront pour fournir une couche supplémentaire de protection et d'autres fonctions. 
  +  [Cas d'utilisation d'Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/IntroductionUseCases.html) 
  +  [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html) 
  +  [AWS Web Application Firewall (AWS WAF)](https://docs.aws.amazon.com/waf/latest/developerguide/waf-section.html) 
  +  [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 
  +  [Amazon VPC Ingress Routing](https://aws.amazon.com/about-aws/whats-new/2019/12/amazon-vpc-ingress-routing-insert-virtual-appliances-forwarding-path-vpc-traffic/) 
+  Contrôler le trafic réseau privé : implémentez des services qui protègent le trafic privé pour votre charge de travail. 
  +  [Appairage des Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) 
  +  [Amazon VPC Endpoint Services (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-service.html) 
  +  [Amazon VPC Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 
  +  [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 
  +  [AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 
  +  [AWS Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html) 
  +  [Points d'accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP03 Automatiser la protection du réseau
<a name="sec_network_protection_auto_protect"></a>

 Automatisez les mécanismes de protection pour disposer d'un réseau capable de se défendre lui-même grâce à l'intelligence des menaces et à la détection des anomalies. Par exemple, des outils de détection et de prévention des intrusions capables de s'adapter aux menaces actuelles et de réduire leur impact. Un pare-feu d'application web est un scénario dans lequel vous pouvez automatiser la protection du réseau, par exemple, en utilisant la solution AWS WAF Security Automations ([https://github.com/awslabs/aws-waf-security-automations](https://github.com/awslabs/aws-waf-security-automations)) pour bloquer automatiquement les requêtes provenant d'adresses IP associées à des acteurs de menaces connus. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Automatiser la protection du trafic web : AWS propose une solution qui utilise AWS CloudFormation pour déployer automatiquement un ensemble de règles AWS WAF conçues pour filtrer les attaques courantes sur le web. Les utilisateurs peuvent choisir parmi des fonctions de protection préconfigurées qui définissent les règles incluses dans une liste de contrôle d'accès (ACL web) AWS WAF. 
  +  [Automatisations de sécurité AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/) 
+  Envisager les solutions AWS Partner : les partenaires AWS proposent des centaines de produits leaders du secteur qui sont équivalents, identiques ou s'intègrent aux contrôles existants dans vos environnements sur site. Ces produits complètent les services AWS existants pour vous permettre de déployer une architecture de sécurité exhaustive et une expérience plus homogène dans vos environnements cloud et sur site. 
  +  [Sécurité de l'infrastructure](https://aws.amazon.com/security/partner-solutions/#infrastructure_security) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+ [Sécurité des VPC Amazon](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html)
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0)

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html) 

# SEC05-BP04 Mettre en œuvre l'inspection et la protection
<a name="sec_network_protection_inspection"></a>

 Inspectez et filtrez votre trafic au niveau de chaque couche. Vous pouvez inspecter les configurations de vos VPC pour détecter tout accès involontaire potentiel à l'aide de [VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). Vous pouvez spécifier vos exigences d'accès au réseau et identifier les chemins réseau potentiels qui ne les satisfont pas. Pour les composants effectuant des transactions via des protocoles basés sur HTTP, un pare-feu d'application Web peut protéger contre les attaques courantes. [AWS WAF](https://aws.amazon.com/waf) est un pare-feu d'application Web qui permet de surveiller et de bloquer les requêtes HTTP correspondant à vos règles configurables qui sont transmises à une API Amazon API Gateway, à Amazon CloudFront ou à un Application Load Balancer. Pour commencer à utiliser AWS WAF, vous pouvez utiliser des [AWS Managed Rules](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html#getting-started-wizard-add-rule-group) en combinaison avec les vôtres ou utiliser des [intégrations de partenaires existantes](https://aws.amazon.com/waf/partners/). 

 Pour gérer AWS WAF, les protections AWS Shield Advanced et les groupes de sécurité Amazon VPC dans AWS Organizations, vous pouvez utiliser AWS Firewall Manager. Il vous permet de configurer et de gérer de manière centralisée les règles de pare-feu de l'ensemble de vos comptes et applications, ce qui facilite l'application à grande échelle des règles communes. Il permet également de répondre rapidement aux attaques, à l'aide d' [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-responding.html)ou [de solutions](https://aws.amazon.com/solutions/aws-waf-security-automations/) qui peuvent bloquer automatiquement les demandes indésirables adressées à vos applications Web. Firewall Manager fonctionne également avec [AWS Network Firewall](https://aws.amazon.com/network-firewall/). AWS Network Firewall est un service géré qui utilise un moteur de règles pour vous donner un contrôle précis sur le trafic réseau avec et sans état. Il prend en charge les spécifications du système de prévention des intrusions (IPS) open source [compatible avec Suricata](https://docs.aws.amazon.com/network-firewall/latest/developerguide/stateful-rule-groups-ips.html) pour les règles afin de protéger plus efficacement votre charge de travail. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Configurer Amazon GuardDuty : GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements non autorisés afin de protéger vos Comptes AWS et vos charges de travail. Activez GuardDuty et configurez des alertes automatiques. 
  +  [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 
  +  [Atelier : Déploiement automatisé des contrôles de détection](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html) 
+  Configurer des flux de journaux de cloud privé virtuel (VPC) : les journaux de flux de VPC sont une fonction qui vous permet de capturer des informations sur le trafic IP allant et venant des interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées sur Amazon CloudWatch Logs et Amazon Simple Storage Service (Amazon S3). Une fois que vous avez créé un journal de flux, vous pouvez extraire et afficher ses données dans la destination de votre choix. 
+  Envisager la mise en miroir du trafic VPC : la mise en miroir du trafic est une fonction Amazon VPC que vous pouvez utiliser pour copier le trafic réseau à partir d'une interface réseau Elastic d'instances Amazon Elastic Compute Cloud (Amazon EC2), puis l'envoyer à des appareils de sécurité et de surveillance hors bande pour l'inspection du contenu, la surveillance des menaces et le dépannage. 
  +  [Mise en miroir du trafic VPC](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-section.html) 
+  [Amazon Inspector](https://aws.amazon.com/inspector) 
+  [Sécurité du Amazon VPC](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Security.html) 
+  [Démarrer avec AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) 

 **Vidéos connexes :** 
+  [AWS Transit Gateway reference architectures for many VPCs](https://youtu.be/9Nikqn_02Oc) 
+  [Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield](https://youtu.be/0xlwLEccRe0) 

 **Exemples connexes :** 
+  [Atelier : Déploiement automatisé d'un VPC](https://www.wellarchitectedlabs.com/Security/200_Automated_Deployment_of_VPC/README.html)