Les Fondamentaux des Security Groups sur AWS
Security Groups, Groupes de Sécurité... On va les appeler SG pour rendre cela plus digeste!
Ding!
Une notification Teams/Slack de la part du management !
”Nous avons une centaine de Security Groups (SG) non conforme à la certification ISO 27001.“
Cela doit etre nettoyé avant le retour de l’auditeur…
Une belle semaine s’annonce… On met les projets intéressants de côté et on gère cette tâche !
Si ce n'est pas déjà fait, tu peux :
Découvrir notre formation sur le DevOps
Lire toutes les éditions précédentes de la newsletter
Envoyer cette newsletter à des potes qui pourront s'inscrire par ici
Au programme :
Qu’est-ce que c’est ?
Comment cela fonctionne?
Importance pour un audit ISO 27001
Bonnes pratiques
Petite Démo
Qu'est-ce qu'un SG ?
Un SG, c'est un ensemble de règles de filtrage de trafic qui déterminent qui peut ou ne peut pas accéder à tes ressources dans AWS. C'est comme si tu avais une liste à l'entrée de ta maison disant : "Seules les personnes de cette liste peuvent entrer, et elles ne peuvent entrer qu'à travers des portes spécifiques. (la porte d’entree, la fenetre, la porte du garage… )
Par défaut, un SG refuse tout trafic entrant qui n'est pas explicitement autorisé par une règle, mais autorise tout le trafic sortant.
Comment ça fonctionne ?
Quand on configure un groupe de sécurité, on définit des règles de trafic entrant (inbound) et sortant (outbound). Par exemple, tu peux dire : "Je veux que seul le trafic venant de telle adresse IP puisse accéder à mon serveur sur le port 22 (SSH)." C'est comme si tu disais à tes gardiens : "Laissez entrer cette personne, mais seulement si elle utilise la bonne clé (port)."
Les Règles Entrantes et Sortantes
Règles Entrantes : Elles contrôlent qui peut envoyer des données à ta ressource. Si tu ne mets personne sur ta liste, personne ne peut entrer. C'est utile pour limiter l'accès à tes serveurs ou bases de données à certaines personnes ou systèmes.
Règles Sortantes : À l'inverse, elles déterminent à qui ta ressource peut envoyer des données. Par défaut, on laisse souvent la porte ouverte pour que tout le monde puisse sortir, mais tu peux choisir de restreindre cela si nécessaire.
Les SG sont “stateful” ce qui signifie que lorsqu'un trafic est autorisé à entrer, le trafic de réponse correspondant est automatiquement autorisé à sortir, indépendamment des règles sortantes définies.
Importance pour un audit ISO 27001
Pour une gestion efficace des groupes de sécurité en vue de répondre aux exigences d'un audit ISO 27001, l'Annexe A.13 "Gestion des communications de sécurité" est particulièrement pertinente. Plus précisément, A.13.1 "Gestion des réseaux" et éventuellement A.13.2 "Transfert d'informations" peuvent s'appliquer.
L'Annexe A.13.1 traite de la sécurisation des réseaux et de la protection de l'information dans les réseaux. La mise en place de groupes de sécurité sur AWS alignée sur cette annexe démontre une approche proactive dans la protection contre les accès non autorisés ou malveillants, en s'assurant que le trafic réseau est soigneusement contrôlé et que seuls les accès nécessaires sont permis, en conformité avec les politiques de sécurité établies.
Exemple: Segmenter le réseau interne pour isoler les serveurs contenant des données sensibles.
L'Annexe A.13.2, qui se concentre sur le "Transfert d'informations", met l'accent sur la sécurisation et la gestion de l'information lors de son transfert interne et externe à l'organisation. Cela implique de veiller à ce que les informations sensibles soient chiffrées, à ce que les canaux de communication soient sécurisés et à ce que les politiques et procédures de transfert d'informations soient clairement définies et suivies
Exemple: Autoriser uniquement le trafic HTTPS depuis l’exterieur vers un serveur interne.
Bonnes pratiques pour utiliser les SG
Principe de Moindre Privilège : N’autorise que le trafic nécessaire et bloque tout le reste. Cela réduit la surface d’attaque.
Séparation des Fonctionnalités : Utilise des groupes de sécurité différents pour des rôles différents dans ton architecture (par exemple, un groupe pour les serveurs web et un autre pour les bases de données).
Audit et Révision Régulière : Vérifie régulièrement les règles de tes groupes de sécurité pour t’assurer qu’elles sont toujours pertinentes et ajuste-les en fonction de l'évolution des besoins.
PS : N’oublie pas de documenter !
Évite d'Utiliser des Adresses IP Spécifiques : Autant que possible, utilise des références de groupe de sécurité pour la source et la destination au lieu d'adresses IP pour faciliter la gestion et la maintenance.
En résumé, les groupes de sécurité sont utiles pour garder tes ressources AWS sûres et sécurisées. Ils te permettent de définir précisément qui peut voir ou utiliser tes ressources, te donnant le contrôle total sur l'accès à ton infrastructure cloud. C'est un outil puissant, alors assure-toi de bien comprendre comment il fonctionne et de l'utiliser à ton avantage.
Demo Technique : Creation d’un SG
Connecte-toi à la console AWS.
Tape EC2 dans la barre de recherche.
Clique sur « Security Groups » dans la section Network & Security.
Clique sur « Create Security Group ».
Navigue vers la section Inbound rules et clique sur « Add rule ».
Complète la section « Basic Details » (Documentation...).
Ajouter les deux “inbound rules”
Type: HTTPS, Port: 443
Type: SSH, Port: 22
Si tu ajoutes le « type », le port correspondant est ajouté par défaut.
Tu peux ajouter ton adresse IP actuelle si tu veux tester. (myip.com est un exemple de site pour trouver son adresse IP).
Ajouter 0.0.0.0/0 reviendrait à autoriser n'importe qui à accéder aux éléments contenus dans le SG.
Optionnel : Ajoute un Tag pour encore et toujours plus de documentation !
Clique sur “Create Security Group”…
Félicitations, tu as créé ton premier SG à l'aide de la console AWS !
Note que l'on peut également créer les Security Groups à l'aide de AWS CLI et Terraform. Si cela t'intéresse, n'hésite pas à le dire dans l'espace commentaire !
Voilà, c’est tout pour aujourd’hui.
On est curieux d’avoir tes retours.
Partage nous tes réactions en répondant à ce mail.
Si tu as aimé cet article, n’oublie pas de mettre un petit like ! Ça nous aide à comprendre quels sujets on doit creuser.
Passe une excellente journée et à la prochaine.