Le réseau sur Amazon

Concepts réseaux et VPC par défaut

1. Comprendre le CIDR (Classless Inter-Domain Routing)

Le Classless Inter-Domain Routing (CIDR) est une méthode de notation utilisée pour représenter les adresses IP et la taille des sous-réseaux, facilitant une gestion flexible et optimisée de l’espace d’adressage IP. La notation CIDR associe une adresse IP à un suffixe qui indique la partie de l’adresse réservée au réseau. Par exemple, 192.168.1.0/24 signifie que les 24 premiers bits de l’adresse (représentés en binaire) sont utilisés pour identifier le réseau, laissant les bits restants pour désigner les hôtes au sein de ce réseau. Cette approche permet de diviser l’adresse IP en une partie réseau et une partie hôte, rendant la gestion des sous-réseaux plus efficace et adaptable. Cela permet de déterminer combien d’adresses IP peuvent être attribuées aux appareils, offrant ici jusqu’à 256 adresses (2 puissance 8). Cette notation permet de subdiviser un espace d’adressage en plusieurs sous-réseaux, optimisant ainsi l’utilisation des adresses IP disponibles. Des outils comme le site https://cidr.xyz permettent de calculer facilement les plages CIDR et leurs implications en termes d’adresses disponibles.

On peut également calculer des sous-réseaux, si on a par exemple un bloc 192.168.0.0/16 et que l’on souhaite diviser ce bloc en sous-réseaux plus petits, on peut utiliser une notation comme /24, créant ainsi 256 sous-réseaux (192.168.0.0/24, 192.168.1.0/24, etc.) contenant chacun jusqu’à 256 adresses IP.

Sur AWS, la notation 0.0.0.0/0 est utilisée pour représenter toutes les adresses IP publiques. Cela signifie que toute adresse IP, quelle que soit son origine, est incluse dans cette plage. Cette configuration est souvent utilisée dans les règles de sécurité pour autoriser ou restreindre l’accès universel à certaines ressources, comme des instances EC2 ou des services publics.

Il est important de noter qu’au sein d’une architecture réseau, deux plages...

Sous-réseaux et segmentation du réseau

Security groups & NACL

Instances Bastion

Les instances Bastion jouent un rôle dans la sécurisation des accès administratifs à une infrastructure AWS. Ces instances servent de passerelle entre Internet et les machines privées, permettant aux administrateurs d’accéder aux ressources dans des sous-réseaux privés sans les exposer directement au public. Placée dans un sous-réseau public, l’instance Bastion est configurée avec des règles de groupes de sécurité très strictes, limitant l’accès à des adresses IP spécifiques et à des ports prédéfinis (généralement SSH pour Linux ou RDP (Remote Desktop Protocol pour Windows). En raison de sa position critique dans l’architecture réseau, l’instance Bastion doit être ultra-sécurisée : cela inclut l’utilisation d’authentification forte (comme des clés SSH), la limitation des utilisateurs autorisés et la surveillance régulière des accès.

Pour garantir la traçabilité et renforcer la sécurité, il est essentiel de mettre en place un système de journalisation (logging). Les tentatives d’accès et les connexions réussies doivent être enregistrées, idéalement via des services comme AWS CloudWatch Logs ou AWS CloudTrail...

Elastic Network Interface

Une Elastic Network Interface (ENI) est un composant logique dans un VPC qui représente une carte réseau virtuelle. Elle joue un rôle essentiel dans la gestion des connexions réseau au sein d’AWS, en permettant une flexibilité accrue pour divers services. Bien qu’elles soient souvent associées aux instances EC2, les ENI sont également utilisées par d’autres services AWS nécessitant des interfaces réseau, comme les appliances NAT, les services conteneurisés, et même par exemple les fonctions AWS Lambda (cf. chapitre Services et architectures découplés - AWS Lambda) déployées dans un VPC.

Chaque ENI peut posséder plusieurs attributs distincts, tels qu’une adresse IPv4 privée principale, une ou plusieurs adresses IPv4 secondaires, et une Elastic IP associée à chaque adresse IPv4 privée. Une adresse IPv4 publique peut également être attribuée. Les ENI permettent aussi d’associer un ou plusieurs groupes de sécurité pour contrôler le trafic entrant et sortant, et disposent d’une adresse MAC unique.

Les ENI offrent une grande flexibilité puisqu’elles peuvent être créées indépendamment d’une ressource, puis attachées ou détachées dynamiquement selon...

VPC Endpoints (AWS PrivateLink)

Les VPC Endpoints sont des services entièrement managés, conçus pour connecter un VPC à des services AWS de manière privée, sans passer par Internet. Par défaut, des services comme DynamoDB ou S3 sont accessibles via des URL publiques, ce qui expose le trafic au réseau public. Avec les endpoints, le trafic reste entièrement à l’intérieur du réseau AWS, renforçant ainsi la sécurité, réduisant la latence, et éliminant la dépendance à des composants comme les Internet Gateways ou NAT Gateways. Ces endpoints, alimentés par AWS PrivateLink, sont scalables horizontalement, redondants et hautement disponibles, offrant une solution fiable et performante pour un accès privé à une variété de services AWS. Les VPC Endpoints se divisent en deux types principaux : les Gateway Endpoints et les Interface Endpoints. Chaque type étant adapté à des besoins spécifiques et présentant des caractéristiques distinctes influençant leur choix et leur utilisation.

Interconnexion entre VPC (VPC Peering)

Isoler certaines des charges de travail est généralement une bonne pratique en matière de sécurité, de gestion des ressources, et de réduction de la complexité. Tout regrouper dans un même VPC peut rapidement devenir lourd à gérer, surtout lorsque les applications se multiplient ou que les environnements (par exemple, production et non-production) doivent être bien distincts. Une approche recommandée est donc de séparer les applications dans différents VPC, soit en fonction de leur type, soit par environnement (par exemple, Production et Non-Production). Cependant, bien que cette segmentation améliore la sécurité et facilite la gestion des environnements, il arrive souvent que ces VPC doivent communiquer entre eux. Par exemple, différentes applications hébergées dans des VPC séparés peuvent nécessiter une interconnexion pour partager des bases de données ou des services. Par exemple, un outil CI/CD (Continuous Integration/Continuous Deployment) comme Jenkins ou GitLab, hébergé sur un VPC dédié, pourrait avoir besoin de déployer des applications sur d’autres VPC.

Ce schéma illustre trois VPC distincts : Test, CI/CD, et Production, chacun dédié à une fonction spécifique. Bien qu’isolés pour des raisons de sécurité et de gestion, ces VPC peuvent nécessiter une interconnexion pour partager des services, comme un outil CI/CD déployant sur les environnements Test et Production.

Pour permettre cette communication entre VPC, le VPC Peering offre une solution simple et sécurisée. Cette fonctionnalité...

Surveiller le trafic réseau de votre VPC (VPC Flow logs)

Les VPC Flow Logs sont une fonctionnalité d’AWS permettant de capturer et surveiller le trafic réseau entrant et sortant au niveau d’un VPC, de ses sous-réseaux ou de ses interfaces réseau (ENI). Ces logs fournissent des informations sur la manière dont les ressources d’un VPC communiquent entre elles et avec des systèmes externes. Cela s’avère particulièrement utile pour le dépannage, la surveillance de la sécurité et l’optimisation des performances réseau.

En plus de capturer le trafic réseau des sous-réseaux et des instances EC2, les VPC Flow Logs peuvent également enregistrer des informations sur des services AWS tels que les NAT Gateways, les Internet Gateways et d’autres composants réseau, fournissant ainsi une visibilité complète sur les flux réseau au sein du VPC.

Les logs collectés peuvent ensuite être envoyés à des services tels que Amazon S3, Amazon CloudWatch Logs (cf. chapitre La sécurité et la surveillance sur AWS - AWS Cloudwatch) ou bien Amazon Kinesis Firehose (cf. chapitre Services et architectures découplés - Kinesis Data Firehose).

Les VPC Flow Logs enregistrent les informations sur le trafic réseau circulant à travers les interfaces...

Introduction aux connexions hybrides

Les connexions hybrides jouent un rôle essentiel dans les architectures modernes en permettant l’intégration entre des infrastructures on-premises et le cloud AWS. Nombreuses sont les entreprises ayant la nécessité de connecter leur système d’information interne à divers environnements cloud. Les connexions hybrides permettent de relier ces deux réseaux de manière sécurisée et performante.

À travers l’utilisation de connexions hybrides, on peut :

Site-to-Site VPN

Un Site-to-Site VPN est une solution de connectivité sécurisée proposée par AWS, permettant d’établir un lien réseau chiffré entre un réseau sur site et un VPC. Cette connexion utilise le protocole IPsec (Internet Protocol Security) afin d’établir des tunnels VPN chiffrés, garantissant la confidentialité et l’intégrité des données échangées via Internet. Chaque connexion VPN AWS fournit automatiquement deux tunnels chiffrés, offrant ainsi une redondance et une haute disponibilité en cas de panne de l’un des tunnels. Concernant la facturation et toujours dans le modèle tarifaire « pay-as-you-go », le Site-to-Site VPN est facturé par heure de connexion VPN. Il est également important de noter que le débit maximal théorique d’un Site-to-Site VPN est limité à 1,25 Gbps, ce qui peut constituer une contrainte pour des environnements nécessitant des transferts massifs de données.

Les Site-to-Site VPN sont une solution flexible et rapide à déployer, idéale pour les entreprises souhaitant relier leurs infrastructures locales à AWS sans nécessiter de lignes dédiées coûteuses....

AWS Direct Connect

AWS Direct Connect est une solution de connectivité réseau permettant d’établir une liaison dédiée et privée entre un environnement on-premises et AWS. Contrairement aux connexions Site-To-Site VPN qui transitent par Internet, Direct Connect repose sur une connexion réseau physique établie via l’infrastructure d’un fournisseur de services tiers. Cette connexion offre une liaison directe entre le réseau local et le point de terminaison Direct Connect d’AWS.

La connexion physique est mise en place en utilisant une infrastructure dédiée, assurant une communication directe avec les services AWS. Le réseau local est ainsi acheminé vers un point de présence Direct Connect, situé dans un datacenter AWS ou un emplacement partenaire. Ce point de terminaison AWS connecte la liaison physique au backbone global d’AWS, éliminant les dépendances aux infrastructures publiques d’Internet.

Dans les cas où un datacenter est éloigné d’un point de terminaison Direct Connect AWS, un fournisseur de services partenaire peut dans ce cas acheminer la connexion entre le réseau local et l’emplacement Direct Connect. Cette connectivité indirecte permet de bénéficier des avantages de Direct Connect même si l’on n’est pas directement à proximité d’un point de présence AWS.

En optant pour une liaison réseau physique via un fournisseur de services, AWS Direct Connect offre une solution adaptée aux environnements critiques, garantissant une communication fiable et sécurisée entre les infrastructures locales et les ressources AWS. Grâce à AWS Direct Connect, on peut ainsi bénéficier d’une connexion privée dédiée entre notre réseau local et AWS, ce qui permet d’accéder aux ressources publiques (comme Amazon S3) et privées (comme des instances EC2) via la même connexion. Pour que cela fonctionne et comme pour le Site-To-Site VPN, un Virtual Private Gateway (VGW) doit être configuré sur notre VPC, qui servira de point d’entrée pour la connexion Direct Connect.

Ce schéma illustre une configuration AWS Direct Connect, qui établit une connexion dédiée...

AWS Transit Gateway

À mesure que le nombre de charges de travail exécutées sur AWS augmente, il devient essentiel de pouvoir faire évoluer nos réseaux à travers plusieurs comptes et VPC pour répondre à cette croissance. AWS Transit Gateway est une solution conçue afin de centraliser et simplifier la connectivité entre nos environnements cloud et sur site. Le service agit comme un hub réseau, permettant une gestion centralisée des connexions entre de nombreux VPC, sites on-premises, et même d’autres Transit Gateways, éliminant ainsi la complexité des configurations réseau traditionnelles.

Ce schéma met en évidence la complexité d’une architecture réseau reposant sur de multiples connexions, notamment des tunnels VPN, des relations de VPC Peering ainsi qu’une passerelle Direct Connect. Chaque VPC est connecté individuellement à d’autres VPC ou réseaux locaux, créant une topologie en maille difficile à gérer. La gestion de ces connexions, des routes associées et des configurations manuelles devient rapidement compliquée à gérer à mesure que le réseau se développe. Une telle configuration souligne la nécessité d’une solution comme AWS Transit Gateway, qui centralise les connexions et simplifie la gestion...

Cas pratiques French Bakery avec implémentation du réseau AWS