Réseau & Sécurité¶
Services réseau et sécurité sur Amazon Web Services.
VPC (Virtual Private Cloud)¶
Réseau prive virtuel isole dans le cloud AWS. Un VPC est regional et contient des sous-réseaux (subnets) associes a des zones de disponibilité.
Cas d'usage : isolation réseau, segmentation d'environnements (dev/staging/prod), architectures multi-tiers.
Composants réseau¶
| Composant | Rôle |
|---|---|
| Subnet public | Sous-réseau avec route vers Internet Gateway |
| Subnet prive | Sous-réseau sans accès direct depuis Internet |
| Internet Gateway | Passerelle vers Internet pour les subnets publics |
| NAT Gateway | Accès sortant Internet pour les subnets prives |
Security Groups vs NACLs¶
| Propriété | Security Group | NACL |
|---|---|---|
| Niveau | Instance (ENI) | Subnet |
| Type | Stateful | Stateless |
| Règles | Allow uniquement | Allow et Deny |
| Évaluation | Toutes les règles | Par ordre de priorité |
Route 53¶
Service DNS manage, haute disponibilité et faible latence. Route 53 supporte les zones publiques et privées, avec des politiques de routage avancees.
Cas d'usage : résolution DNS pour vos domaines, DNS prive interne a un VPC, failover DNS, routage géographique.
Politiques de routage :
- Simple — Un seul enregistrement
- Weighted — Répartition ponderee du trafic
- Latency-based — Vers la region la plus proche
- Failover — Basculement automatique sur health check
- Geolocation — Routage par localisation du client
Load Balancing¶
Répartition de charge gérée par AWS. Trois types de load balancers pour différents cas d'usage.
| Type | Protocole | Portee | Usage |
|---|---|---|---|
| ALB | HTTP/HTTPS, gRPC | Regional | Applications web, microservices |
| NLB | TCP/UDP/TLS | Regional | Performance extreme, IP statique |
| GLB | IP (couche 3) | Regional | Appliances réseau, firewalls tiers |
Cas d'usage : distribution de trafic web, terminaison SSL, backends multi-AZ.
ALB vs NLB
Utilisez ALB pour le routage HTTP avance (path-based, host-based, redirections). Utilisez NLB pour les protocoles non-HTTP ou quand vous avez besoin d'une IP statique et de latence minimale.
WAF & Shield¶
WAF (Web Application Firewall)¶
Filtrage du trafic HTTP/HTTPS au niveau applicatif. WAF s'intégré a ALB, CloudFront et API Gateway.
Cas d'usage : protection contre les injections SQL, XSS, règles OWASP, rate limiting, geo-blocking.
Shield¶
Protection DDoS managee. Shield Standard est inclus gratuitement. Shield Advanced offre une protection renforcee avec support 24/7 et remboursement des coûts lies aux attaques.
IAM (Identity and Access Management)¶
Gestion des identités et des accès. IAM contrôle qui (identité) peut faire quoi (action) sur quelle ressource.
Concepts clés :
- Users — Comptes individuels avec credentials
- Groups — Regroupement d'utilisateurs pour simplifier les permissions
- Rôles — Identités assumables par des services, applications ou utilisateurs federes
- Policies — Documents JSON définissant les permissions (Allow/Deny)
- Instance Profiles — Association d'un rôle IAM a une instance EC2
Créer un rôle et l'attacher¶
aws iam create-role \
--role-name MonRole \
--assume-role-policy-document file://trust-policy.json
aws iam attach-role-policy \
--role-name MonRole \
--policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
Principe du moindre privilege
Attribuez toujours les permissions minimales nécessaires. Utilisez IAM Access Analyzer pour identifier les permissions inutilisees.