Conseils relatifs à la protection du réseau

Techniques et contrôles de protection du réseau conformes aux normes DPP et AUP d'Amazon.

Vue d'ensemble

La protection du réseau est un ensemble bien pensé d'outils, de règles et de configurations conçus dans le but principal de protéger la confidentialité, l'intégrité et l'accessibilité des données. Tout appareil accessible via une connexion Internet est sujet aux attaques. La définition de protocoles et de politiques de protection réseau robustes peut contribuer à protéger votre appareil et votre réseau contre le trafic réseau inutile ou malveillant.

Dans le cadre de la Politique de protection des données d'Amazon (PPD), les développeurs sont tenus de créer un environnement sécurisé pour réduire les risques de perte de données et les vulnérabilités associées. La PPD et la Politique d'utilisation acceptable (PUA) d'Amazon sont acceptées par les développeurs pendant le processus d'inscription.

Au cours des audits, Amazon évalue la conformité des développeurs aux Politiques de protection des données. Sans exception, Amazon demande aux développeurs de maintenir les protocoles nécessaires pour protéger leur infrastructure réseau de manière cohérente, à tout moment. Ce document technique aborde l'importance des techniques et des contrôles de protection du réseau qui peuvent aider à protéger votre réseau tout en assurant la conformité aux exigences de la PPD et de la PUA d'Amazon.

Exigences relatives à la politique de protection des données (PPD) d'Amazon

Comme indiqué dans la Politique de protection des données d'Amazon (PPD) sous 1.1 Protection du réseau,

Protection du réseau. Les développeurs doivent mettre en œuvre des contrôles de protection du réseau, notamment des pare-feux réseau et des listes de contrôle d'accès réseau pour interdire l'accès aux adresses IP non autorisées. Les développeurs doivent implémenter des logiciels de segmentation du réseau, antivirus et anti-malware sur les appareils des utilisateurs finaux. Les développeurs doivent restreindre l'accès public aux seuls utilisateurs autorisés et dispenser une formation à la protection des données et à la sécurité informatique pour toutes les personnes ayant accès au système.

Segmentation du réseau et filtrage par pare-feu

La segmentation du réseau est une technique qui divise un grand réseau en sous-réseaux plus petits, offrant ainsi de meilleurs contrôles d'accès et une meilleure sécurité. Lorsque la ségrégation et la segmentation du réseau sont mises en œuvre, les administrateurs informatiques peuvent mieux contrôler le flux de trafic au sein d'un périmètre de sécurité bien défini contre les intrusions et les infiltrations. Alors que la ségrégation divise le réseau en fonction du rôle et des fonctionnalités, la segmentation rend un réseau plat disparate et le déconnecte de ses composants.

La segmentation du réseau permet de contenir les failles de sécurité, réduisant ainsi les risques lors d'attaques et de pannes. L'un des moyens de mettre en œuvre une segmentation efficace basée sur le périmètre consiste à utiliser des pare-feu réseau. Cela inclut la mise en place efficace de la limite réseau souhaitée et la garantie que tout le trafic traversant cette limite est acheminé via le pare-feu. Bien que l'application de la segmentation du réseau puisse être spécifique aux besoins d'une entreprise, les développeurs doivent mettre en œuvre certaines bonnes pratiques en tant qu'organisation pour se conformer à la PPD d'Amazon. Les exemples incluent :

  • Définir des politiques de pare-feu réseau efficaces sur la base d'une analyse complète des risques de votre organisation. Les politiques de pare-feu efficaces reposent sur le blocage de tout le trafic entrant et sortant, avec des exceptions définies pour le trafic sécurisé.
  • Segmenter les réseaux avec des réseaux locaux virtuels (VLAN) ou des sous-réseaux. Les balises VLAN redirigent uniquement le trafic autorisé vers un réseau isolé spécifique, réduisant ainsi le reniflage de paquets malveillants (packet sniffing) et la surface d'attaque.
  • Microsegmenter le réseau en isolant l'accès invité aux réseaux. Outre la création d'informations d'identification d'invité pour accéder aux réseaux Wi-Fi, créer des portails distincts pour les fournisseurs de services tiers.
  • Segmenter l'accès des utilisateurs au sein de l'entreprise entre les périmètres. Cela limitera l'autorisation à des utilisateurs spécifiques et lancera des alertes en cas de tentative d'accès non autorisé.

En utilisant le Pare-feu réseau AWS, vous bénéficiez d'un pare-feu réseau géré et dynamique et d'un service de détection des intrusions, ainsi que d'un service de prévention pour l'environnement de cloud privé virtuel (VPC) que vous avez créé dans Amazon Virtual Private Cloud (Amazon VPC).

The AWS network firewall placement within a simple architecture.

Le pare-feu réseau est pris en charge par le Gestionnaire de pare-feu AWS, qui peut être utilisé pour configurer et gérer de manière centralisée les pare-feux de l'ensemble de vos comptes et applications. La Politique de pare-feu définit les règles et autres paramètres qu'un pare-feu doit utiliser pour filtrer le trafic entrant et sortant dans un VPC.

AWS WAF, AWS Shield et le Gestionnaire de pare-feu AWS travaillent ensemble pour constituer une solution de sécurité complète. Lorsque le trafic entre dans les limites de votre VPC, AWS WAF peut être utilisé pour surveiller les demandes qui sont transmises à vos applications Web et contrôler l'accès à votre contenu. Une méthode d'attaque courante par des entités malveillantes consiste à envoyer un volume important de trafic pour surcharger vos serveurs, or AWS Shield contribue à vous protéger contre ces attaques par déni de service distribué (DDoS). Le Gestionnaire de pare-feu AWS est un outil complémentaire permettant de gérer de manière centralisée ces mécanismes de protection du réseau. Il peut être utilisé pour configurer vos règles de pare-feu et les appliquer automatiquement à l'ensemble des comptes et des ressources, même lorsque de nouvelles ressources sont ajoutées.

Contrôles d'accès au réseau

Outre la mise en œuvre de la segmentation du réseau et des pare-feu, des mesures doivent être prises pour empêcher les appareils non autorisés d'accéder au réseau. Cela peut être réalisé grâce à des outils de contrôle d'accès au réseau, qui permettent aux entreprises de vérifier la conformité des appareils et d'empêcher les appareils non autorisés d'accéder à leurs réseaux d'entreprise.

Les entreprises étant de plus en plus ouvertes aux employés qui utilisent leurs appareils personnels à des fins professionnelles, il est plus important que jamais d'analyser ces appareils pour vérifier leur conformité aux politiques de l'entreprise et leurs vulnérabilités avant d'autoriser l'accès aux données professionnelles.

Outre les réseaux sur site, il est essentiel de protéger les services cloud de votre organisation. Il est important de noter que les contrôles d'accès réseau et Listes de contrôle d'accès (ACL) sont deux concepts différents. Alors que les contrôles d'accès réseau sont des protocoles d'accès appliqués aux nœuds du réseau sur la base d'identités d'utilisateurs authentifiées ou de périphériques fiables, les ACL sont des règles appliquées au niveau du routeur pour autoriser ou refuser l'accès à un environnement.

Dans le cadre de la conformité à la PPD Amazon, il est essentiel de déployer des outils ou des mécanismes de gestion des identités et des accès capables d'appliquer des autorisations granulaires en fonction d'attributs de contrôle d'accès tels que les noms des départements, des tâches, des rôles et des équipes. Ces contrôles basés sur les rôles aident les organisations à surveiller les actions et à associer des événements et des actions aux identités pertinentes. Les appareils réseau sur site et les appareils cloud doivent disposer d'un processus permettant d'autoriser, de restreindre et de contrôler à la fois l'attribution et l'utilisation de l'accès à un réseau. Il appartient aux développeurs de déployer un outil en fonction de leurs besoins en termes d'échelle et de prix.

Protection contre les programmes malveillants

Tout appareil connecté à Internet est sujet aux programmes malveillants. Le terme “programme malveillant” est un terme générique utilisé pour désigner tout code malveillant écrit pour infecter l'ordinateur hôte. Les virus sont une sorte de programmes malveillants qui s'attachent facilement à des programmes et se diffuse par le biais des e-mails, des périphériques de stockage amovibles et des réseaux contaminés. Une fois qu'un ordinateur est infecté, un programme malveillant peut supprimer ou chiffrer des fichiers, modifier des applications ou désactiver des fonctions du système.

Il est essentiel pour les organisations de développer et de mettre en œuvre des approches efficaces de prévention des incidents liés aux programmes malveillants en fonction des vecteurs d'attaque les plus répandus. Les organisations doivent disposer de politiques visant à prévenir les incidents liés aux programmes malveillants et à mettre en place des capacités d'atténuation des menaces pour aider à contenir les incidents liés aux logiciels malveillants.

Le logiciel antivirus est le contrôle technique d'atténuation des menaces de programmes malveillants le plus couramment utilisé. Les logiciels antivirus sont capables d'analyser les appareils, d'identifier les virus et de supprimer les virus. Outre l'analyse active, la mise à jour régulière de votre application antivirus est nécessaire pour vous protéger contre les menaces actuelles. Alors que les programmes antivirus sont conçus pour protéger un seul point de terminaison, les grandes entreprises disposant d'un ensemble diversifié de points de terminaison ont besoin d'une protection assurant la sécurité des points de terminaison (EES - Enterprise Endpoint Security). Les plateformes avancées de protection des points de terminaison (EPP - Advanced Endpoint Protection Platforms) fournissent des fonctionnalités (pare-feu et méthodologie heuristique) avec un apprentissage automatique et un confinement de pointe.

La PPD d'Amazon exige que les utilisateurs de notre SP-API disposent de mécanismes pour protéger leur point de terminaison. Bien qu'Amazon ne préconise aucun outil anti-programme malveillant spécifique, les développeurs sont tenus d'activer certains contrôles. Tous les systèmes ayant accès aux données des utilisateurs doivent être équipés d'un antivirus et/ou d'un outil anti-programme malveillant. Les systèmes doivent exécuter régulièrement des analyses complètes du système, au lieu de se fier entièrement à des analyses à l'accès.

Les commandes permettant de désactiver les analyses antivirus doivent être désactivées. Assurez-vous que les définitions de l'antivirus sont à jour. La journalisation et les alertes de l'antivirus doivent être activées. Si l'antivirus est désactivé, l'équipe informatique doit en être informée et un processus de suivi approprié doit être lancé.

Systèmes de détection des intrusions basés sur le réseau (NIDS) et systèmes de prévention des intrusions sur le réseau (NIPS)

Les systèmes de détection des intrusions basés sur le réseau (NIDS) surveillent les modèles de trafic et détectent les activités malveillantes en analysant les paquets réseau entrants et sortants. Alors que les NIDS sont capables de détecter et d'alerter de toute intrusion sur le réseau, les systèmes de prévention des intrusions sur le réseau (NIPS) peuvent empêcher une attaque en mettant fin à une connexion TCP (Transmission Control Protocol) ou en bloquant une activité réseau suspecte en commandant les pare-feu. Les politiques de protection des données d'Amazon recommandent l'installation des systèmes NIDS et NIPS sur le réseau et les points de terminaison. Notez que lorsqu'il est correctement mis en œuvre, le système NIPS peut détecter une menace à l'avance et bloquer des attaques réseau puissantes que les contrôles de sécurité classiques ne peuvent pas détecter.

Amazon GuardDuty est un service NIDS natif du cloud qui utilise les données de trafic provenant des journaux de flux VPC pour détecter les comportements menaçants. Vous devez activer la journalisation des flux de votre VPC. Ces journaux vous offrent une visibilité complète sur le type de trafic qui passe par le VPC. La journalisation des flux peut vous aider à détecter le trafic problématique et vous fournir des informations précieuses. Elle peut également vous aider à résoudre les problèmes d'accès et de sécurité. Par exemple, le journal des flux peut vous aider à déterminer s'il existe des groupes de sécurité trop permissifs. Amazon GuardDuty peut être configuré pour informer le personnel en cas de suspicion de compromission par e-mail ou par SMS afin de réagir et d'atténuer toute menace.

Ces outils ne se limitent pas à Amazon, d'autres fournisseurs de cloud et solutions open source telles que Snort et Wazuh sont disponibles pour vous aider à sécuriser votre environnement.

Conclusion

Ce livre blanc a évoqué l'importance de la protection des réseaux et des applications. Utilisez-les comme directives pour renforcer la protection de votre réseau, mais vous n'êtes pas obligé de vous limiter à ces outils et contrôles. Bien que la plupart des services répertoriés ci-dessus soient des services Amazon, n'hésitez pas à utiliser les outils analogues de votre choix qui répondent à vos besoins.

Remarques

Les vendeurs et les développeurs Amazon sont tenus de procéder à leur propre évaluation indépendante des informations contenues dans ce document. Ce document : (a) est fourni à titre informatif uniquement, (b) représente les pratiques actuelles, susceptibles d'être modifiées sans préavis, et (c) ne crée aucun engagement ni aucune garantie de la part d'Amazon.com Services LLC (Amazon) et de ses filiales, fournisseurs ou concédants de licence. Les produits ou services de l'API Amazon Services sont fournis « tels quels » sans garantie, déclaration ou condition d'aucune sorte, qu'elle soit expresse ou implicite. Ce document ne fait partie d'aucun accord entre Amazon et aucune partie et ne le modifie pas.

© 2022 Amazon.com Services LLC ou ses filiales. Tous droits réservés.


Cette page vous a-t-elle été utile ?