Questions fréquentes (FAQ) à propos d'AWS Network Firewall

AWS Network Firewall est un service géré qui facilite le déploiement de protections du réseau essentielles pour tous vos Amazon Virtual Private Clouds (VPC). Le service peut être configuré en quelques clics seulement. Il se met à l'échelle automatiquement en fonction de votre trafic réseau, de sorte que vous n'avez pas à vous inquiéter du déploiement ni de la gestion des infrastructures. Le moteur de règles flexible de Network Firewall vous permet de définir des règles de pare-feu qui vous donnent un contrôle ultraprécis du trafic réseau, comme le blocage des requêtes SMB (Server Message Block) sortantes pour empêcher la propagation d'activités malveillantes. Vous pouvez également importer des règles que vous avez déjà rédigées dans les formats de règles open source courants ou des règles compatibles provenant de partenaires AWS. AWS Network Firewall s'associe à AWS Firewall Manager pour vous permettre de concevoir des politiques basées sur les règles d'AWS Network Firewall, puis de les appliquer de manière centralisée sur vos VPC et vos comptes.

L'infrastructure d'AWS Network Firewall est gérée par AWS. Vous n'avez donc pas à vous soucier de la création ni de la maintenance de votre propre infrastructure de sécurité réseau. AWS Network Firewall fonctionne avec AWS Firewall Manager, ce qui vous permet de gérer les politiques de sécurité de manière centralisée et d'appliquer automatiquement les politiques de sécurité obligatoires sur les comptes et VPC existants et nouveaux. AWS Network Firewall dispose d'un moteur de règles extrêmement flexible. Ainsi, vous pouvez créer des règles de pare-feu personnalisées pour protéger vos charges de travail uniques. AWS Network Firewall prend en charge des milliers de règles, qui peuvent être basées sur le domaine, le port, le protocole, les adresses IP et la correspondance de modèles.

AWS Network Firewall comprend des caractéristiques qui protègent contre les menaces réseau les plus courantes. Le pare-feu avec état d'AWS Network Firewall peut intégrer le contexte des flux de trafic, comme le suivi des connexions et l'identification des protocoles, afin d'appliquer des politiques, telles que l'interdiction pour vos VPC d'accéder à des domaines en utilisant un protocole non autorisé. Le système de prévention des intrusions (IPS) d'AWS Network Firewall permet une inspection active des flux de trafic afin que vous puissiez identifier et bloquer les exploitations de vulnérabilité grâce à une détection basée sur les signatures. AWS Network Firewall propose également un filtrage web capable d'arrêter le trafic vers les URL connues comme mauvaises et surveiller les noms de domaine entièrement qualifiés.

AWS Network Firewall inspecte et aide à contrôler le trafic de VPC à VPC afin de séparer logiquement les réseaux hébergeant des applications sensibles ou les ressources de secteurs d'activité. AWS Network Firewall fournit un filtrage du trafic sortant basé sur les URL, les adresses IP et le domaine pour vous aider à respecter les exigences de conformité, à interrompre les fuites de données potentielles et à bloquer les communications avec les hôtes malveillants connus. AWS Network Firewall sécurise le trafic AWS Direct Connect et AWS VPN des appareils clients et de vos environnements sur site pris en charge par AWS Transit Gateway. AWS Network Firewall protège la disponibilité des applications en filtrant le trafic Internet entrant à l'aide de caractéristiques, telles que les règles des listes de contrôle d'accès (ACL), l'inspection avec état, la détection des protocoles et la prévention des intrusions.

AWS Network Firewall est conçu pour protéger et contrôler l'accès depuis et vers votre VPC, mais pas pour atténuer les attaques volumétriques, telles que les attaques par déni de service distribué (DDoS), qui peuvent affecter la disponibilité de votre application. Pour assurer la protection contre les attaques DDoS et garantir la disponibilité des applications, nous recommandons aux clients de consulter et de suivre les bonnes pratiques AWS en matière de résilience aux attaques DDoS et d'explorer AWS Shield Advanced, qui propose une protection contre les attaques DDoS gérées personnalisée en fonction de votre trafic applicatif spécifique.

AWS Network Firewall complète les services de sécurité réseau et applicatifs existants sur AWS en fournissant un contrôle et une visibilité sur le trafic réseau des couches 3 à 7 pour l'ensemble de votre VPC. Selon votre cas d'utilisation, vous pouvez choisir de mettre en œuvre AWS Network Firewall en complément de vos contrôles de sécurité existants, tels que les groupes de sécurité Amazon VPC, les règles de pare-feu d'applications Web AWS ou les appliances AWS Marketplace.

La tarification d'AWS Network Firewall est basée sur le nombre de pare-feu déployés et le volume de trafic inspecté. Consultez Tarification AWS Network Firewall pour plus d'informations.

Pour en savoir plus sur la disponibilité régionale d'AWS Network Firewall, consultez le tableau des régions AWS.

Plusieurs partenaires du réseau de partenaires AWS (APN) proposent des produits qui complètent les services AWS existants afin de vous permettre de déployer une architecture de sécurité fluide et complète sur AWS et dans votre environnement sur site. Pour consulter la liste actuelle des partenaires APN proposant des produits complémentaires à AWS Network Firewall, consultez la section Partenaires AWS Network Firewall.

AWS Network Firewall propose un contrat de niveau de service avec un engagement de durée de fonctionnement de 99,99 %. AWS Network Firewall vous permet d'augmenter ou de réduire verticalement la capacité de votre pare-feu de manière automatique en fonction de la charge de trafic afin de maintenir des performances stables et prévisibles et de réduire les coûts.

AWS Network Firewall est soumis à des quotas de service pour le nombre de pare-feu, de politiques de pare-feu et de groupes de règles que vous pouvez créer et pour d'autres paramètres, tels que le nombre de groupes de règles sans état ou avec état que vous pouvez avoir dans une seule politique de pare-feu. Pour plus de détails sur les quotas de service, ainsi que des informations sur la demande d'augmentation des quotas de service, consultez la page des quotas d'AWS Network Firewall.

AWS Network Firewall prend en charge deux principaux types de déploiement : centralisé et distribué. Avec le déploiement distribué, AWS Network Firewall peut être déployé dans chacun de vos VPC Amazon pour être appliqué au plus près des applications. AWS Network Firewall prend également en charge un déploiement centralisé en tant qu'attachement de VPC à votre AWS Transit Gateway. Avec Network Firewall en mode Transit Gateway, qui maintient un routage symétrique vers le même pare-feu zonal, vous pouvez filtrer un large éventail de trafic entrant et sortant vers ou depuis les passerelles Internet, les passerelles Direct Connect, PrivateLink, les passerelles VPN site à site et client, les passerelles NAT et même entre d'autres VPC et sous-réseaux attachés.

AWS Network Firewall est déployé en tant que service de point de terminaison, comme d'autres services réseau, tels qu'AWS PrivateLink. Votre point de terminaison AWS Network Firewall doit être déployé dans un sous-réseau dédié au sein de votre VPC Amazon, avec une taille minimale de /28. AWS Network Firewall inspecte l'ensemble du trafic acheminé vers le point de terminaison, ce qui constitue le mécanisme d'insertion et de filtrage des chemins. Grâce à la console AWS Firewall Manager ou à des solutions de partenaires qui s'intègrent à AWS Firewall Manager, vous pouvez créer des configurations et des politiques de manière centralisée à l'aide de différents types de règles, tels que les listes de contrôle d'accès (ACL) sans état, l'inspection avec état et les systèmes de prévention des intrusions (IPS). AWS Network Firewall est un service géré par AWS. Par conséquent, AWS s'occupe de la mise à l'échelle, de la disponibilité, de la résilience et des mises à jour logicielles.

Oui. AWS Network Firewall est un service régional qui sécurise le trafic réseau au niveau de l'organisation et du compte. Pour maintenir la politique et la gouvernance sur plusieurs comptes, vous devez utiliser AWS Firewall Manager.

Une politique AWS Network Firewall définit le comportement de surveillance et de protection d'un pare-feu. Les détails de ce comportement sont définis dans les groupes de règles que vous ajoutez à votre politique ou dans certains paramètres de politique par défaut. Pour utiliser une politique de pare-feu, vous devez associer cette politique à un ou plusieurs pare-feu.

Un groupe de règles est un ensemble réutilisable de règles de pare-feu permettant d'inspecter et de filtrer le trafic réseau. Vous pouvez utiliser des groupes de règles sans état ou avec état pour configurer les critères d'inspection du trafic pour vos politiques de pare-feu. Vous pouvez créer vos propres groupes de règles ou utiliser des groupes de règles gérées par des vendeurs d'AWS Marketplace. Pour plus d'informations, consultez le guide du développeur d'AWS Network Firewall.

AWS Network Firewall prend en charge à la fois les règles sans état et avec état. Les règles sans état sont des listes de contrôle d'accès réseau (ACL), qui peuvent être basées sur des adresses IP, des ports ou des protocoles source et de destination. Les règles avec état sont définies par les adresses IP, les ports et les protocoles source et de destination, mais diffèrent des règles sans état dans la mesure où elles maintiennent et sécurisent les connexions ou les sessions pendant toute la durée de vie de la connexion ou de la session.

AWS Network Firewall propose également des règles gérées qui assurent une protection préconfigurée. Ces règles peuvent être gérées par AWS ou par un partenaire AWS. Les règles gérées par un partenaire AWS peuvent être souscrites via AWS Marketplace.

Les règles gérées par AWS offrent une défense active contre les menaces, qui tire parti des renseignements mondiaux sur les menaces d'AWS pour protéger automatiquement contre les menaces actives, ainsi que des groupes de règles gérés par domaine, adresse IP et signature de menace.

Les règles gérées par les partenaires proposent des règles sélectionnées qui peuvent facilement être intégrées aux politiques d'AWS Network Firewall. Ces règles contribuent à protéger les charges de travail du cloud contre plusieurs cas d'utilisation.

Chacun de ces types de règles peut être combiné au sein de vos politiques de pare-feu pour créer une protection complète adaptée à vos besoins en matière de sécurité.

Vous pouvez journaliser l'activité de votre AWS Network Firewall dans un compartiment Amazon S3 pour une analyse et une investigation plus approfondies. Vous pouvez également utiliser Amazon Kinesis Firehose pour transférer vos journaux à un fournisseur tiers.

Oui. Vous pouvez utiliser la fonctionnalité d'intégration native ou déployer AWS Network Firewall au sein de votre VPC, puis attacher ce VPC à un TGW manuellement. Pour en savoir plus sur cette configuration, consultez l'article de blog Modèles de déploiement pour AWS Network Firewall.

AWS Network Firewall utilise déjà AWS Gateway Load Balancer pour fournir une capacité de mise à l'échelle élastique au point de terminaison du pare-feu et ne nécessite pas d'intégration distincte. Vous pouvez le constater en consultant l'interface réseau Elastic (ENI) du point de terminaison du pare-feu, qui utilise le type « gateway_load_balancer_endpoint ».

La tarification d'AWS Network Firewall est basée sur le nombre de pare-feu déployés et le volume de trafic inspecté. Si vous associez un pare-feu à plusieurs VPC, vous payez le tarif horaire standard par région et zone de disponibilité pour le point de terminaison principal du pare-feu dans le VPC d'inspection. Vous payez un tarif horaire réduit par région et par zone de disponibilité pour chaque point de terminaison secondaire supplémentaire associé à ce pare-feu. Vous payez également pour le volume de trafic traité par votre pare-feu, facturé au gigaoctet par région et zone de disponibilité. Consultez la Tarification d'AWS Network Firewall pour plus d'informations sur les coûts liés aux points de terminaison multiples.

AWS Network Firewall prend en charge les types de contrôle du trafic sortant suivants : filtrage d'URL par protocole HTTPS (SNI)/HTTP, listes de contrôle d'accès (ACL), requêtes DNS et détection de protocole.

AWS Network Firewall augmente verticalement de manière automatique jusqu'à 100 Gbit/s de bande passante par zone de disponibilité. La bande passante de 100 Gbit/s est partagée entre tous les points de terminaison d'un VPC associés. Les clients doivent donc tenir compte du volume de trafic total prévu en planifiant leur déploiement. Les performances peuvent être affectées si un seul point de terminaison se trouve trop sollicité. Nous recommandons aux clients d'effectuer leurs propres tests avec leurs propres règles pour vérifier que le service répond à leurs attentes en matière de performances.

Le compte du propriétaire du pare-feu est facturé pour le pare-feu d'inspection ainsi que pour les points de terminaison secondaires associés au pare-feu dans chaque zone de disponibilité. Seul le propriétaire du pare-feu est facturé pour tous les points de terminaison principaux et secondaires associés, y compris les associations des points de terminaison entre comptes.

AWS Network Firewall prend en charge l'inspection approfondie des paquets pour le trafic chiffré.

Les journaux d'AWS Network Firewall peuvent être stockés de manière native dans Amazon S3, Amazon Kinesis Data Firehose et Amazon CloudWatch. Les métriques suivantes sont disponibles pour chaque point de terminaison d'un VPC : paquets reçus, paquets abandonnés, paquets abandonnés non valides, autres paquets abandonnés et paquets transmis.

Vous pouvez configurer l'inspection TLS sur AWS Network Firewall à partir de la console Amazon VPC ou à l'aide de l'API Network Firewall. La configuration est un processus en trois étapes. Suivez les étapes décrites dans la documentation du service AWS Network Firewall pour 1) mettre en service des certificats et des clés, 2) créer une configuration d'inspection TLS et 3) appliquer la configuration à une politique de pare-feu.

Le service prend en charge les versions 1.1, 1.2 et 1.3 du protocole TLS, à l'exception du client chiffré hello (ECH) et du SNI chiffré (ESNI).

AWS Network Firewall prend en charge toutes les suites de chiffrement prises en charge par AWS Certificate Manager (ACM). Reportez-vous aux considérations relatives à l'inspection TLS dans la documentation du service pour plus de détails.

La tarification d'AWS Network Firewall est basée sur le nombre de pare-feu déployés et le volume de trafic inspecté. Consultez Tarification AWS Network Firewall pour obtenir plus d'informations sur les coûts liés à l'inspection TLS d'entrée.

Nous prévoyons de maintenir les performances de bande passante actuelles d'AWS Network Firewall grâce à cette nouvelle version de la caractéristique. Nous recommandons aux clients d'effectuer leurs propres tests avec leurs propres règles afin de s'assurer que le service répond à leurs attentes en matière de performances.

Vous pouvez activer des groupes de règles gérées pour la défense active contre les menaces sur AWS Network Firewall via la Console de gestion AWS, l'AWS CLI ou les kits SDK AWS. Pour AWS Network Firewall, vous pouvez sélectionner le groupe de règles pour la défense active contre les menaces dans la liste déroulante des groupes de règles gérées d'AWS lors de la création ou de la mise à jour d'une politique de pare-feu. Une fois ajouté, le groupe de règles gérées pour la défense active contre les menaces s'affiche automatiquement dans votre politique de pare-feu. Vous pouvez configurer le groupe de règles davantage dans les modes d'application pris en charge, tels que l'alerte ou le refus.

Les groupes de règles gérées pour la défense active contre les menaces sur AWS Network Firewall se différencient des groupes de règles gérées de domaine, d'adresse IP et de signature de menace existants à plusieurs égards. Les règles de défense active contre les menaces reposent principalement sur les renseignements sur les menaces d'Amazon. Cette fonctionnalité est axée sur la protection rapide contre les menaces actives identifiées par les renseignements sur les menaces d'Amazon. Lors de l'identification d'une menace active, AWS Network Firewall applique automatiquement des règles gérées pour la bloquer. La défense active contre les menaces est conçue comme un complément aux autres groupes de règles gérées, offrant ainsi une couche de protection supplémentaire.

AWS Network Firewall s'intègre parfaitement à Amazon CloudWatch, fournissant des fonctionnalités complètes de journalisation et de surveillance qui vous permettent de suivre les correspondances des règles et les métriques de performance. Grâce à la section des groupes de règles gérées pour la défense active contre les menaces de la console Network Firewall, vous bénéficiez d'une meilleure visibilité sur votre niveau de sécurité, y compris des informations sur les groupes d'indicateurs, les types d'indicateurs et les noms de menaces spécifiques en cours d'atténuation. 

Oui, vous payez des frais supplémentaires pour la quantité de trafic traitée par votre point de terminaison de pare-feu lorsque les groupes de règles gérées pour la défense active contre les menaces sont activés dans votre politique de pare-feu. Ce trafic est facturé par gigaoctet par région et zone de disponibilité.      

Les groupes de règles gérées par la défense active contre les menaces utilisent une capacité de règles fixe de 15 000, tandis que la limite totale par défaut reste fixée à 30 000 règles avec état par politique de pare-feu dans une région. Vous pouvez demander une augmentation du quota des règles avec état au niveau du compte sans encourir de frais supplémentaires. Pour en savoir plus sur les quotas d'AWS Network Firewall et demander une augmentation de la limite des règles avec état, consultez la documentation relative au service.