Glossaire

Pare-feux AWS

En quoi consistent les pare-feux AWS ?

Amazon Web Services (AWS) est une plateforme de services de cloud public compatible avec un grand nombre de systèmes d'exploitation, de langages de programmation, de frameworks, d'outils, de bases de données et d'appareils. AWS utilise un modèle de sécurité partagée selon lequel, tandis qu'Amazon prend la responsabilité de la protection de l'infrastructure qui héberge les services AWS, le client est responsable des applications et données exploitées par l'utilisateur final. Pour cette raison, il est important que les utilisateurs prennent les mesures nécessaires pour protéger leurs données, applications et réseaux en sécurisant leur espace numérique avec un pare-feu de leur choix.

Le terme « pare-feu AWS » fait référence à n'importe quel système de sécurité informatique qui surveille le trafic, le réseau, les applications ou les données exécutées depuis le cloud Amazon. En général, ces systèmes de sécurité appartiennent à deux catégories : les pare-feux de type Web application firewall et ceux de type network firewall.

Web Application Firewall AWS

Les pare-feux de type Web application firewall jouent un rôle vital dans la protection des applications Web exécutées sur le cloud Amazon. Ils forment l'épine dorsale de toute défense contre les attaques dans le cloud qui mettent en danger la sécurité ou la disponibilité des applications et des données. Il existe de nombreuses entreprises proposant des pare-feux de type Web application firewall sur la marketplace AWS et chacun possède ses avantages et ses inconvénients. Bien que les technologies et l'implémentation diffèrent d'un pare-feu WAF à l'autre sur AWS, la plupart fournissent les éléments suivants :

  • Sécurité applicative : La protection des applications Web est la principale raison d'être du Web application firewall. Un pare-feu WAF suffisamment efficace doit pouvoir protéger les applications, les données, les API et les serveurs principaux des applications mobiles contre les attaques en ligne telles que le Top 10 OWASP, les menaces de type zero-day, les fuites de données et les attaques par déni de service distribué.
  • Filtrage du trafic : Le filtrage du trafic est l'une des opérations les plus pratiques et les plus importantes d'un pare-feu de type Web application firewall. En filtrant le trafic selon des facteurs tels que les en-têtes HTTP, les mots-clés, les adresses IP et même les chaînes URI, le pare-feu de type Web application firewall peut empêcher des interactions dangereuses avant qu'elles ne puissent atteindre l'application ciblée.

Bien qu'Amazon propose son propre service de pare-feu interne, les utilisateurs peuvent souvent trouver des pare-feux tiers plus spécialisés et mieux adaptés à leurs besoins sur le marketplace AWS. À l'heure actuelle, il manque certaines fonctionnalités essentielles à AWS Web Application Firewall, qui sont importantes pour protéger les applications dans le contexte actuel. L'absence de fonctionnalités telles que le offloading SSL intégré, les rapports détaillés, la prise en charge de régions plus larges et un modèle de tarification plus souple amènent souvent les utilisateurs à passer à des solutions tierces.

AWS conservant sa place de plateforme d'infrastructure de cloud public la plus populaire du marché, représentant 41,5 % des charges de travail applicatives dans le cloud public, les applications exploitant l'infrastructure Amazon subissent un flot d'attaques constant. Il est important pour les entreprises et les particuliers d'investir dans la sécurité de leurs applications et de leurs données avec un pare-feu de type Web application firewall qui soit performant et éprouvé.

Pare-feux réseau AWS

Les pare-feux réseau (principalement de type NextGen Firewalls) sur AWS offrent une protection réseau complémentaire de la protection des applications apportée par les pare-feux de type Web application firewall. Bien que les protections apportées par un pare-feu réseau et par un pare-feu de type Web application firewall se recouvrent en partie (en particulier du côté des données), les pare-feux réseau sécurisent l'ensemble du périmètre du réseau, y compris au niveau des ports et protocoles qui sont très vulnérables. De plus, ils apportent des fonctions de sécurisation puissantes aux déploiements AWS telles que :

  • Filtrage des paquets : En surveillant tout les paquets entrants et sortants, le pare-feu peut réguler les applications et les hôtes autorisés à interagir avec le réseau.
  • Réseau privé virtuel (Virtual Private Network ou VPN) : De nombreux pare-feux modernes intègrent une technologie VPN pour permettre d'établir des liens point à point entre deux nœuds à partir d'une source sûre et régulée.
  • Inspection profonde de paquets (Deep Packet Inspection ou DPI) : La DPI est une méthode qui consiste à inspecter non seulement les en-têtes d'un paquet, mais aussi son contenu utile. De cette manière, le pare-feu est en mesure de filtrer les paquets non conformes au protocole, les virus, les spams, les intrusions ou les paquets répondant à d'autres critères prédéfinis.
  • Inspection antivirus : L'inspection antivirus examine le paquet à la recherche de virus traversant le réseau pour infecter des points de terminaison.
  • Filtrage de sites Web : Le filtrage de site Web est une technique utilisée pour examiner les pages Web en entrée afin de la censurer ou d'empêcher son affichage si cela est jugé nécessaire. Les raisons d'un tel blocage peuvent être de bloquer des publicités, du contenu pornographique, des spywares, des virus ou d'autres contenus posant des problèmes de sécurité.
  • Filtrage DNS par réputation : En comparant le contenu à une base de données contenant la réputation et la validité d'une adresse IP, le pare-feu peut bloquer plus facilement le contenu malveillant.

À l'heure actuelle, AWS ne propose aucun pare-feu réseau natif. Les clients n'ont donc pas d'autre choix que de se tourner vers d'autres entreprises pour la protection réseau de leurs déploiements AWS. De nombreux clients AWS croient souvent à tort qu'un pare-feu de type Web application firewall suffit à se protéger dans cet environnement cloud. Cependant, il est important de prendre conscience du caractère éminemment vulnérable de vos données et paquets de données applicatives lors de leur trajet vers et depuis le cloud. Dans ces deux cas, un pare-feu de type Web application firewall ne suffit pas à garantir leur protection.

Souvent, les pirates tentent de voler les informations ou les données à leur sortie du réseau AWS et à leur entrée dans un réseau privé. À mesure que les entreprises poursuivent le développement de leurs ressources en ligne sur différents clouds et infrastructures (publics et privés), les cybercriminels ont de plus en plus d'opportunités pour attaquer.

Pourquoi les pare-feux AWS sont importants

Que vous interagissiez avec AWS par vous même ou pas, il est probable que des informations personnelles vous concernant soient stockées sur un serveur AWS exploité par une entreprise avec laquelle vous interagissez. Lorsque des entreprises voient leurs données ou leurs applications piratées par des cybercriminels, les conséquences peuvent être d'une portée considérable, à la fois pour l'entreprise et pour les utilisateurs eux-mêmes. Les pare-feux AWS fournissent la protection et la sécurité nécessaires pour que les données privées et les données d'utilisateur d'une entreprise restent en sécurité.

En savoir plus sur les pare-feux AWS

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda propose deux solutions distinctes pour protéger vos données et vos applications exécutées sur le cloud d'Amazon.

Barracuda CloudGen Firewall pour AWS fournit une protection réseau native aux réseaux hybrides et AWS. Il aide à garantir un accès fiable aux applications et aux données exécutées sur AWS et est pleinement compatible avec le scaling automatique et la facturation mesurée. De plus, CloudGen Firewall fournit des clients VPN aux utilisateurs mobile et sur ordinateur avec un contrôle d'accès très précis pouvant être défini aussi bien par utilisateur que par application.

Barracuda CloudGen WAF est le nec plus ultra des pare-feux de type Web application firewall. Il est conçu pour détecter et arrêter une grande quantité de failles de sécurité dans les applications ainsi que d'innombrables menaces avancées ou zero-hour. Il est, de surcroît, non invasif et basé sur le cloud et n'a aucun impact sur le fonctionnement de votre infrastructure. Barracuda CloudGen WAF a obtenu la compétence sécurité APN d'AWS, c'est-à-dire qu'il est qualifié par les architectes de solution AWS pour son excellente conception. Ses fonctionnalités d'optimisation comprennent la décharge SSL, l'équilibrage de charges et la mise en cache des contenus.

Des questions sur les pare-feux AWS ? Besoin de plus d'informations ? Contactez-nous dès maintenant !