Fonctionnalités AWS Network Firewall

Déployez une inspection avec suivi d’état et inspection approfondie des paquets (DPI) pour évaluer les flux de trafic en fonction de l’adresse source, du type de protocole et de la direction du trafic. Le moteur de règle flexible permet de configurer des règles basées sur les adresses IP source/destination, les ports et les protocoles, avec prise en charge du filtrage des protocoles courants sans nécessité de spécifier les ports.

Filtrez le trafic web entrant et sortant en utilisant l’inspection des en-têtes HTTP pour les flux non chiffrés et le filtrage SNI (Server Name Indication) pour les flux chiffrés. Appliquez des contrôles basés sur les domaines en utilisant le filtrage par nom de domaine pleinement qualifié (FQDN) pour gérer l’accès à des sites web et à des services spécifiques.

Déployez des capacités de proxy mandataire explicite pour authentifier les clients et contrôler le trafic Internet sortant grâce à une inspection et à un filtrage complets. Le proxy AWS Network Firewall se situe entre vos charges de travail et Internet pour prévenir l’exfiltration de données, filtrer les domaines et inspecter les en-têtes HTTP.

Implémentez l’inspection TLS (Transport Layer Security) pour analyser les flux de trafic chiffrés au sein de votre VPC. L’inspection TLS native s’effectue au niveau de l’instance du pare-feu, préservant la confidentialité des données tout en permettant l’analyse du trafic pour les communications entrantes et sortantes.

Appliquez des contrôles de trafic basés sur la localisation grâce à la géolocalisation IP-pays. Créez des règles pour autoriser ou refuser le trafic en fonction des régions géographiques afin de répondre aux exigences de souveraineté des données et d’implémenter des politiques d’accès régionales.

Configurez des contrôles de trafic bidirectionnel aux limites du VPC. Appliquez des règles granulaires pour le trafic entrant et surveillez les communications sortantes afin de répondre aux exigences de conformité et de maintenir la gouvernance des données.

Appliquez des contrôles aux niveaux réseau et application en utilisant la détection basée sur des signatures. Le système IPS évalue les flux de trafic par rapport à des signatures connues, analysant les séquences d’octets et les caractéristiques des paquets pour identifier d’éventuels événements de sécurité. AWS Network Firewall inclut des signatures de menaces gérées par AWS ainsi que des groupes de règles sur les noms de domaines malveillants, sans coût supplémentaire.

Implémentez des contrôles automatisés à l’aide du renseignement global d’Amazon sur les menaces. Les règles gérées par AWS identifient et répondent aux menaces actives via le même renseignement sur les menaces qui alimente Amazon GuardDuty, ce qui permet de maintenir des contrôles de sécurité cohérents sur l’ensemble de votre infrastructure.

Configurez des règles personnalisées pour mettre en œuvre vos exigences de sécurité spécifiques, ou exploitez les règles préconfigurées proposées par AWS. La compatibilité avec Suricata vous permet d’importer des signatures IDS/IPS issues de la communauté de sécurité open source active, tout en conservant la flexibilité nécessaire pour mettre à jour et personnaliser les contrôles selon vos besoins.

Un certain nombre de partenaires AWS proposent des règles gérées via AWS Marketplace, fournissant des règles de sécurité automatiquement mises à jour pouvant être déployées directement dans vos politiques AWS Network Firewall.

Utilisez l’intégration simplifiée Transit Gateway pour inspecter le trafic Est-Ouest entre VPC, sans avoir besoin de gérer des VPC d’inspection séparés. Implémentez des politiques de sécurité centralisées pour surveiller et contrôler les communications réseau internes tout en réduisant la complexité architecturale.

Appliquez des contrôles de sécurité uniformes sur les points de terminaison d’un VPC à l’aide d’une seule instance de pare-feu. Maintenez une application cohérente des politiques pour les flux de trafic entre VPC tout en centralisant la gestion de la sécurité.

Assurez une protection fiable grâce à la redondance intégrée et au contrat de niveau de service AWS Network Firewall. Bénéficiez d’une mise à l’échelle efficace par zone de disponibilité en fonction de l’évolution des flux de trafic. Le système ajuste automatiquement la capacité pour maintenir les performances tout en optimisant les coûts, supprimant ainsi les opérations de mise à l’échelle manuelle.

Optimisez l’efficacité en connectant plusieurs points de terminaison d’un VPC à une seule instance de pare-feu. Réduisez les frais généraux et les coûts opérationnels grâce à une gestion consolidée de la sécurité sur plusieurs VPC. Cette architecture flexible prend en charge divers schémas de déploiement tout en garantissant une application cohérente des politiques dans l’ensemble de votre environnement AWS.

Surveillez l’activité réseau avec CloudWatch grâce à la journalisation détaillée des alertes et des flux. Suivez les correspondances de règles et les données de session via les journaux d’alertes et obtenez des informations bidirectionnelles sur l’état du trafic grâce aux journaux de flux. Stockez les journaux dans Amazon S3, Kinesis ou CloudWatch pour une intégration avec vos flux de travail d’analyse existants.

Rationalisez les opérations de sécurité en gérant centralement les politiques au sein de l’ensemble de votre organisation AWS. Déployez des règles et des contrôles cohérents sur plusieurs comptes, applications et VPC grâce à une gestion hiérarchique des politiques. Les capacités automatisées de surveillance de conformité et de remédiation aident à maintenir les standards de sécurité à mesure que votre infrastructure se développe, tout en offrant une visibilité claire sur le respect des politiques au sein de votre organisation.

Implémentez des contrôles de sécurité réseau grâce à l’intégration native avec les services AWS. Utilisez Transit Gateway pour une architecture centralisée, VPC pour le routage du trafic, IAM pour la gestion des accès et CloudWatch pour la surveillance opérationnelle.

Améliorez vos capacités de sécurité grâce à un vaste réseau de solutions et d’intégrations partenaires. Interagissez avec des partenaires de sécurité de premier plan pour l’orchestration des politiques et le renseignement sur les menaces, tout en préservant vos investissements de sécurité existants. Exportez les événements de sécurité et les données de journaux vers la solution SIEM de votre choix, pour une analyse de sécurité complète sur l’ensemble de votre infrastructure. Consultez la liste complète des partenaires AWS Network Firewall