AWS la sécurité est une responsabilité partagée. Si AWS est responsable de la sécurité du site cloud, le client est responsable de la sécurité du site cloud. Divers outils et services sont disponibles, auprès d'AWS et d'autres fournisseurs, pour vous aider à atteindre vos objectifs en matière de sécurité et de conformité. Les groupes de sécurité AWS, en particulier, vous aident à sécuriser vos ressources Amazon EC2.
Un groupe de sécurité AWS agit comme un pare-feu virtuel pour vos instances EC2 afin de contrôler le trafic entrant et sortant. Les règles d'entrée et de sortie contrôlent respectivement le flux de trafic vers et depuis votre instance.
Les groupes de sécurité AWS vous aident à sécuriser votre environnement cloud en contrôlant la manière dont le trafic est autorisé à entrer dans vos machines EC2. Avec les groupes de sécurité, vous pouvez vous assurer que tout le trafic qui circule au niveau de l'instance ne passe que par les ports et les protocoles que vous avez établis.
Lorsque vous lancez une instance sur Amazon EC2, vous devez l'affecter à un groupe de sécurité particulier. Vous pouvez ajouter des règles à chaque groupe de sécurité qui autorisent le trafic vers ou depuis les services désignés, y compris les instances associées.
Comme les listes blanches, les règles des groupes de sécurité sont toujours permissives. Il n'est pas possible de créer des règles qui interdisent l'accès. Par exemple, vous pouvez avoir du trafic provenant d'un Elastic Load Balancer (ELB) vers un sous-réseau contenant des serveurs web. Votre groupe de sécurité AWS peut répertorier cet ELB comme sa seule source autorisée.
Les groupes de sécurité sont des groupes d'état, ce qui signifie que si une demande entrante est acceptée, la demande sortante le sera également.
Vous pouvez spécifier un ou plusieurs groupes de sécurité pour chaque instance EC2, avec un maximum de cinq par interface réseau. En outre, chaque instance d'un sous-réseau de votre VPC peut être assignée à un ensemble différent de groupes de sécurité. En autorisant le trafic à atteindre une instance, Amazon EC2 évalue toutes les règles de tous les groupes de sécurité associés.
Une fois les règles ajoutées ou modifiées, elles seront automatiquement appliquées à toutes les instances associées au groupe de sécurité.
Avec des outils comme CloudGuard, vous pouvez visualiser votre posture Sécurité du cloud au niveau de l'infrastructure (VPCs, groupes de sécurité, instances EC2 et RDS, Amazon S3 buckets, Elastic Load Balancers, etc.) et détecter interactivement les dérives de configuration.
Une liste de contrôle d'accès au réseau (NACL) est un moyen supplémentaire de contrôler le trafic entrant et sortant d'un ou de plusieurs sous-réseaux. Contrairement aux groupes de sécurité AWS, les NACL sont sans état, de sorte que les règles entrantes et sortantes sont évaluées. Les ACL réseau peuvent être configurées comme une couche de sécurité supplémentaire facultative pour votre VPC.
AWS Firewall Manager vous permet de configurer et de gérer de manière centralisée vos règles de pare-feu à travers les comptes AWS et application. Le 8 juillet 2020, AWS pare-feu Manager a lancé, "de nouvelles règles préconfigurées pour aider les clients à auditer leurs groupes de sécurité VPC et obtenir des rapports détaillés de non-conformité à partir d'un compte administrateur central". Cette fonctionnalité facilite l'audit centralisé des groupes de sécurité par les clients", tout en "supprimant la lourdeur de la configuration manuelle des contrôles d'audit personnalisés".
Comme toute solution ponctuelle, les groupes de sécurité AWS ne répondront probablement pas à toutes les exigences de sécurité de la plupart des organisations. Il est possible de maintenir votre propre pare-feu sur n'importe laquelle de vos instances.
La plateforme Checkpoint CloudGuard est une solution de sécurité native cloud pour les environnements Amazon AWS. CloudGuard cloud Network Security offre une prévention avancée des menaces et une sécurité réseau automatisée avec une gestion unifiée sur cloud et dans les environnements sur site. CloudGuard s'étend également en tant que plateforme d'orchestration de la sécurité qui offre une visibilité et une gestion de la posture de sécurité(CSPM), l'automatisation de la conformité et la détection des intrusions dans le domaine public cloud.
CloudGuard dispose d'une intégration API native avec Amazon Security Hub pour fournir une meilleure visibilité sur la vulnérabilité dans la posture Sécurité du cloud et Conformité d'une organisation à partir d'une console de sécurité consolidée.
CloudGuard cloud Network Security prévient activement les attaques cybernétiques et les vulnérabilités du réseau et transmet ces alertes à la console AWS Security Hub. Cette prévention continue des menaces est assurée par les fonctionnalités natives de la plate-forme : pare-feu, IPS, contrôle application, IPSec VPN, antivirus et anti-microbes.
Sécurité du cloud La gestion de la posture fournie par CloudGuard vous aide à visualiser votre posture de sécurité au niveau de l'infrastructure (VPC, groupes de sécurité). cloud votre posture de sécurité au niveau de l'infrastructure (VPC, groupes de sécurité, instances EC2 et RDS, Amazon S3 buckets, Elastic Load Balancers, etc.) Avec CloudGuard, vous pouvez détecter de manière interactive les dérives de configuration, évaluer l'impact des nouvelles vulnérabilités et repérer rapidement les erreurs de configuration des règles de pare-feu.