Cloud AWS : solutions de pare-feu pour la sécurité réseau

Dans cet article, nous examinons le pare-feu intégré à AWS ainsi que les solutions tierces et open source pour la sécurité réseau dans le Cloud.

Les pare-feu sont un élément essentiel de la sécurité réseau. Toujours plus sophistiqués, ils doivent constamment s'adapter pour combattre les menaces en perpétuelle évolution auxquelles les entreprises doivent faire face. Ainsi, les pare-feu les plus récents sont capables d'analyser le trafic réseau, les protocoles et les données de la couche application.

Cependant, en transférant leurs ressources dans le Cloud d'Amazon, les entreprises risquent fort de se rendre compte que les solutions de pare-feu dont elles disposent ne sont pas aussi nombreuses, ni du même type. Dans cet article, nous examinerons le pare-feu intégré à AWS ainsi que les solutions tierces et open source pour la sécurité réseau dans le Cloud.

Pare-feu AWS

Parefeu

Le pare-feu intégré à AWS est loin de satisfaire les spécialistes de la sécurité. Pour créer des règles de pare-feu dans EC2, les entreprises peuvent créer des « groupes de sécurité ». Ces groupes représentent des jeux de règles de pare-feu qui peuvent être appliqués à des instances EC2, chaque groupe ne permettant de configurer que des règles entrantes. Les clients qui utilisent les services d'Amazon Virtual Private Cloud (VPC) ont la possibilité de créer des règles entrantes et sortantes, mais cette mise en oeuvre revient forcément plus cher en raison du coût plus élevé des services VPC.

Quant aux fonctionnalités d'inspection, le pare-feu AWS filtre tous les paquets avec les options IP définies, gère la fragmentation élémentaire des paquets (mais en autorisant des fragments inhabituels souvent créés par les pirates pour déjouer les systèmes de détection des intrusions), et procède à un filtrage dynamique simple. Cependant, aucune journalisation n'est disponible, quelle que soit la règle, ce qui constitue une grave lacune. La plupart des équipes réseau et sécurité ont besoin de journaux pour la détection et l'analyse des intrusions, que ce soit pour les consulter tels quels ou pour les utiliser dans des outils de gestion des événements de sécurité. Bien que le pare-feu d'Amazon puisse être jugé suffisant dans certains scénarios, les professionnels de la sécurité se tourneront sans doute vers d'autres options de sécurité du réseau AWS. Ainsi, de nombreuses entreprises ont recours à des solutions de pare-feu sur l'hôte pour renforcer la sécurité réseau dans Amazon EC2.

Pare-feu tiers pour AWS

Il existe peu de solutions tierces de pare-feu réseau pouvant être intégrées à AWS. Check Point a intégré sa passerelle Check Point Security Gateway R75 à AWS Marketplace. Cela signifie que les entreprises cherchant à mettre en place un environnement VPC peuvent créer un pare-feu Check Point virtuel et l'intégrer à leur Cloud privé. Mais Check Point Security Gateway R75 s'adresse uniquement à VPC et ne peut pas être utilisé avec des instances autonomes d'EC2.

Ce pare-feu Check Point se comporte plus ou moins comme un dispositif Check Point classique, proposant des fonctions d'inspection dynamique du trafic et de contrôle, des règles d'analyse des applications et protocoles, ainsi qu'une connectivité VPN. L'appliance virtuelle de Check Point peut s'intégrer à divers types d'instance Amazon et prend également en charge la fonctionnalité « Software Blade » de Check Point, qui offre une approche modulaire des paramètres de sécurité. Il s'agit actuellement du seul produit mature d'éditeur dans le domaine des pare-feu qui soit pleinement intégré à Amazon Marketplace. Cisco et Juniper n'offrent pas encore de solution dans AWS, bien que les deux proposent des plates-formes de pare-feu virtuelles (les produits ASA 1000v et vGW, respectivement).

En dehors de la solution de Check Point, les entreprises souhaitant installer des pare-feu réseau dans Amazon EC2 n'ont d'autre recours que de bricoler leurs propres solutions à l'aide de logiciels open source. Smoothwall présente des offres à la fois open source et commerciales, qui regroupent le filtrage des paquets, le filtrage Web et la protection des e-mails au sein d'un même produit. La société commercialise des solutions logicielles qui peuvent être installées directement dans des images Amazon ou sous la forme d'une image VMware à importer directement dans EC2. Une autre solution open source est Openwall, qui offre des fonctions de pare-feu et d'autres options de sécurité sous la forme d'une plate-forme renforcée pouvant être  installée comme machine virtuelle puis importée dans Amazon.

Pare-feu sur l’hôte

De nombreuses entreprises ont recours à des solutions de pare-feu sur l'hôte pour renforcer la sécurité réseau dans Amazon EC2. Outre les pare-feu natifs des systèmes d'exploitation pour les machines virtuelles Linux et Windows, les entreprises peuvent se tourner vers des contrôles de pare-feu gérés par des fournisseurs de services de sécurité. L'un de ces fournisseurs est CloudPassage, qui propose son agent de pare-feu Halo et sa plate-forme de gestion à titre gratuit pour un usage limité, tout en offrant des plans et fonctionnalités supplémentaires comprenant le suivi et le contrôle de la configuration, l'évaluation de la vulnérabilité et la gestion des comptes d'utilisateurs. Cet agent de pare-feu s'intègre aux pare-feu existants sous Linux et Windows, mais assure des fonctions simples et centralisées de gestion et de contrôle et fournit des outils de journalisation et d'alerte.

Il est probable qu'à l'avenir, un plus grand nombre de fournisseurs de pare-feu commerciaux adapteront leurs produits à Amazon et aux autres Clouds ; mais au moins, les entreprises bénéficient dès aujourd'hui de quelques solutions.

Il est important que les professionnels de la sécurité s'efforcent d'adopter une saine attitude de « défense en profondeur » dans les environnements de Cloud chaque fois que possible, car les actifs des services d’infrastructure (IaaS) publics sont exposés à Internet ou à des réseaux internes sur lesquels une protection est nécessaire. De nombreuses entreprises ne se rendent pas compte que le pare-feu AWS natif a des capacités limitées, largement en deçà des plates-formes de pare-feu protégeant le périmètre des entreprises modernes. L'ajout d'instances de pare-feu virtuelles plus étoffées, ainsi que de fonctionnalités de filtrage et de détection sur l'hôte permet d'assurer une protection bien plus étendue.

L'auteur

Dave Shackleford est propriétaire et consultant principal de Voodoo Security, vice-président chargé de la recherche et directeur technique d'IANS, ainsi qu'analyste, instructeur et auteur de cours chez SANS. Il a conseillé des centaines d'entreprises dans les domaines de la sécurité, de la conformité à la réglementation et de l'architecture et l'ingénierie réseau. Titulaire de la certification VMware vExpert, il possède une grande expérience de la conception et de la configuration d'infrastructures virtuelles sécurisées. Il a précédemment occupé les postes de directeur de la sécurité chez Configuresoft, de directeur technique pour le Center for Internet Security et d'architecte, analyste et responsable de la sécurité pour plusieurs entreprises du classement Fortune 500.

Dave est coauteur du guide Hands-On Information Security de Course Technology ainsi que du chapitre « Managing Incident Response » dans le livre de Course Technology intitulé Readings and Cases in the Management of Information Security. Récemment, Dave a participé à la rédaction du premier cours publié sur la sécurité de la virtualisation pour le compte de l'institut SANS. Enfin, Dave siège actuellement au conseil d'administration de SANS Technology Institute et codirige la branche d'Atlanta de l'association Cloud Security Alliance.

Pour approfondir sur Administration et supervision du Cloud