Fiche technique | |
---|---|
Fournisseur : | AWS |
Type de produit : | Service infonuagique |
Catégorie : | Pare-feu |
Security Groups
La composante Security Groups, appelé Groupes de sécurité en français, est une composante agissant comme un pare-feu entre les différents serveurs et l'Internet. Ainsi, toute communication est impossible entre une VM (machine virtuelle) et l'Internet si vous n'avez pas ouvert des ports en fonction d'adresse IP, d'intervalle de IP ou d'autres groupes de sécurités précise. Étant donné qu'il est directement relié à la sécurité des VM (soit des instances EC2), le Security Groups est situé dans le menu de la colonne de gauche du tableau de bord EC2.
Remarques
- Une configuration «Outbound» personnalisé devient particulièrement importante si vous l'un de vos serveurs a été infecté par un virus, car elle limitera la possibilité du virus d'attaquer d'autres serveurs s'il est limité à des adresses IP précise et tout particulièrement est des ports précises. Ainsi, si un virus tentent d'utiliser des ports précises pour attaquer d'autres machines afin de les infectés eux aussi, en général, il utilise des ports biens précis !
- Vous devriez réduire au maximum les ports dans le Inbound (Entrant) pour deux raisons majeurs : Réduire le trafic non désiré provenant de l'Internet et augmenter la sécurité des instances EC2 afin que votre serveur ne soit pas hacker par un port non sécurisé. De plus, le port SSH ou RDP, bien que sécurisé à la base, ne devrait pas ouvert à grandeur de la planète mais uniquement aux IP de votre entreprise et des IP de la maison de vos employés. Cette restriction vous amenez une sécurité plus efficace qu'un VPN car seul un nombre réduit d'IP pourront communiquer avec vos serveurs contrairement à un VPN autorisant n'importe quel IP avec une bonne authentification.
- Lorsque vous lancez une instance EC2 en utilisant la ligne de commande AWS CLI et que vous ne spécifiez pas de Security Group, il utilisera le Security Group par défaut du VPC.
- Vous pouvez indiquer comme Inbound (Entrant) ou Outbound (Sortant) une destination «0.0.0.0/0, ::/0» pour indiquer tous les IP existant avec le IPv4 et le IPv6, toutefois, cette pratique demeure très dangereuses si vous indiquez «All» (Tous) comme «Port Range» (Plage de ports).
Dernière mise à jour : Vendredi, le 21 février 2020