Amazon Virtual Private Cloud

Mise en service d'une section du cloud Amazon Web Services (AWS) qui a été isolée de manière logique et dans laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous définissez

Amazon Virtual Private Cloud (Amazon VPC) vous permet de mettre en service une section du cloud AWS qui a été isolée de manière logique et dans laquelle vous pouvez lancer des ressources AWS dans un réseau virtuel que vous définissez. Vous conservez la totale maîtrise de votre environnement réseau virtuel, y compris pour la sélection de votre propre plage d'adresses IP, la création de sous-réseaux et la configuration de tables de routage et de passerelles réseau. Dans votre VPC, vous pouvez utiliser aussi bien le protocole IPv4 qu'IPv6, pour un accès simple et sécurisé aux ressources et applications.

Vous pouvez facilement adapter la configuration du réseau à votre Amazon VPC. Par exemple, vous pouvez créer un sous-réseau destiné au public pour vos serveurs web qui a accès à Internet et place vos systèmes backend, comme les bases de données ou les serveurs d'application, dans un sous-réseau non destiné au public sans accès Internet. Vous pouvez exploiter plusieurs couches de sécurité, y compris les groupes de sécurité et les listes de contrôles d’accès au réseau, afin de renforcer le contrôle des accès aux instances Amazon EC2 dans chaque sous-réseau.

Accédez simplement et de manière sécurisée aux services hébergés sur AWS.

aws_privatelink_logo

Avantages

Sécurisé

Amazon VPC fournit des fonctions avancées de sécurité, telles que les groupes de sécurité et les listes de contrôle d'accès réseau pour activer le filtrage entrant et sortant au niveau de l'instance et du sous-réseau. De plus, vous pouvez stocker des données dans Amazon S3 et en limiter l'accès afin qu'il ne soit accessible qu'à partir des instances de votre VPC. Vous pouvez également choisir de lancer des instances dédiées qui fonctionnent sur du matériel consacré à un seul client, pour un isolement renforcé.

Simple

Vous pouvez rapidement créer un VPC et facilement utiliser AWS Management Console. Vous pouvez sélectionner une des configurations réseau courantes qui répond au mieux à vos exigences et cliquer sur « Start VPC Wizard ». Les sous-réseaux, les plages d'adresses IP, les tables de routage et les groupes de sécurité sont automatiquement créés pour vous. Vous pouvez donc vous concentrer sur la création des applications à exécuter dans votre VPC.

Tous les avantages du dimensionnement et de la fiabilité AWS

Amazon VPC offre exactement les mêmes avantages que le reste de la plateforme AWS. Vous pouvez instantanément réduire ou augmenter vos ressources, sélectionner les types et tailles d'instances Amazon EC2 qui conviennent à vos applications et ne payer que les ressources que vous utilisez, le tout au sein de l'infrastructure éprouvée d'Amazon.

Caractéristiques

Options de connectivité multiples

Diverses options de connectivité existent pour Amazon VPC. Vous pouvez connecter votre VPC à Internet, à votre centre de données ou à d'autres VPC, selon les ressources AWS que vous voulez rendre publiques et celles à garder privées.

  • Connectez-vous directement à Internet (sous-réseaux publics) : vous pouvez lancer des instances dans un sous-réseau publiquement accessible où vous pouvez transmettre et recevoir du trafic sur Internet.
  • Connectez-vous à Internet en utilisant la translation d'adresse réseau (sous-réseaux privés) – Les sous-réseaux privés peuvent être utilisés pour des instances auxquelles vous ne voulez pas que l'on accède directement à partir d'Internet. Les instances dans un sous-réseau privé peuvent accéder à Internet sans exposer leur adresse IP privée par l'acheminement de leur trafic via une passerelle de translation d'adresse réseau (NAT) dans un sous-réseau public.
  • Connectez-vous en toute sécurité à votre centre de données interne : tout trafic vers et à partir des instances de votre VPC peut être acheminé vers votre centre de données interne via une connexion VPN matérielle IPsec chiffrée.
  • Établissez une connexion privée à d'autres VPC : associez des VPC afin de partager des ressources sur plusieurs réseaux virtuels dépendant de votre compte AWS ou de comptes d'autres utilisateurs.
  • Connectez-vous aux services AWS de manière privée sans utiliser de passerelle Internet, de NAT ou de proxy pare-feu par l'intermédiaire d'un point de terminaison de VPC. Les services AWS disponibles comprennent : S3, DynamoDB, Kinesis Streams, Service Catalog, AWS Systems Manager, l'API Elastic Load Balancing (ELB), l'API Amazon Elastic Compute Cloud (EC2) et SNS.
  • Connectez-vous de manière privée aux solutions SaaS prises en charge par AWS PrivateLink.
  • Connectez vos services internes de manière privée depuis différents comptes et VPC au sein de votre propre organisation, ce qui simplifie grandement votre architecture réseau interne.
  • Utilisez la mise en miroir du trafic Amazon VPC pour capturer et mettre en miroir le trafic réseau pour les instances Amazon EC2

Cas d'utilisation

Hébergement d'un simple site web destiné au public

Vous pouvez héberger une application web de base, comme un blog ou un simple site web, dans un VPC et profiter, ainsi, des couches supplémentaires d'isolement et de sécurité offertes par Amazon VPC. Pour renforcer la sécurité du site web, vous pouvez créer des règles de groupe de sécurité qui permettent au serveur web de répondre au requêtes entrantes HTTP et SSL provenant d'Internet tout en lui interdisant d'initier des connexions sortantes vers Internet. Vous pouvez créer un VPC prenant en charge ce cas d'utilisation en sélectionnant « VPC with a Single Public Subnet Only » dans l'assistant de la console Amazon VPC.

Hébergement d'applications web à plusieurs niveaux

Vous pouvez utiliser Amazon VPC pour héberger des applications web à plusieurs niveaux et appliquer de manière stricte des restrictions d'accès et de sécurité entre vos serveurs web, serveurs d'applications et bases de données. Vous pouvez lancer des serveurs web dans un sous-réseau accessible à un niveau public, et des serveurs d'applications et des bases de données dans des sous-réseaux non accessibles au niveau public. Les serveurs d'applications et les bases de données ne peuvent pas être directement accessibles à partir d'Internet, mais ils peuvent cependant accéder à Internet via une passerelle NAT pour télécharger des correctifs, par exemple. Vous pouvez contrôler l'accès entre les serveurs et les sous-réseaux en utilisant le filtrage de paquet entrant et sortant fourni par les listes de contrôle d'accès réseau et les groupes de sécurité. Pour créer un VPC qui prend en charge ce cas d'utilisation, vous pouvez sélectionner « VPC with Public and Private Subnets » dans l'assistant de la console Amazon VPC.

Hébergement dans le cloud AWS d'applications web évolutives et connectées à votre centre de données

Vous pouvez créer un VPC au sein duquel les instances figurant dans un sous-réseau (serveurs web, par exemple) communiquent avec Internet, alors que les instances d'un autre sous-réseau (serveurs d'applications, par exemple) communiquent avec les bases de données sur votre réseau d'entreprise. Une connexion IPsec VPN entre votre VPC et votre réseau d'entreprise aide à sécuriser toute communication entre les serveurs d'applications dans le cloud et les bases de données dans votre centre de données. Les serveurs web et les serveurs d'application dans votre VPC peuvent utiliser l'élasticité d'Amazon EC2 et les fonctions d'Auto Scaling pour augmenter ou réduire de taille selon les besoins. Vous pouvez créer un VPC pour prendre en charge ce cas d'utilisation en sélectionnant « VPC with Public and Private Subnets and Hardware VPN Access » dans l'assistant de la console Amazon VPC.

Extension de votre réseau interne dans le cloud

Vous pouvez déplacer des applications d'entreprise vers le cloud, lancer des serveurs web supplémentaires ou ajouter plus de capacités de calcul à votre réseau en connectant votre VPC à votre réseau d'entreprise. Parce que votre VPC peut être hébergé derrière votre pare-feu d'entreprise, vous pouvez déplacer de manière transparente vos ressources IT dans le cloud sans changer la façon dont vos utilisateurs accèdent à vos applications. Vous pouvez sélectionner « VPC with a Private Subnet Only and Hardware VPN Access » à partir de l'assistant de la console Amazon VPC pour créer un VPC qui prend en charge ce cas d'utilisation.

Reprise après sinistre

Vous pouvez sauvegarder périodiquement vos données critiques à partir de votre centre de données vers un petit nombre d'instances Amazon EC2 avec des volumes Amazon Elastic Block Store (EBS), ou importer vos images de machine virtuelle vers Amazon EC2. Dans le cas d'un sinistre dans votre propre centre de données, vous pouvez rapidement lancer une capacité de calcul de remplacement dans AWS pour assurer la continuité des opérations. Une fois le sinistre passé, renvoyez vos données essentielles à votre centre de données et terminez les instances Amazon EC2 dont vous n'avez plus besoin. En utilisant Amazon VPC pour la récupération d'urgence, vous pouvez avoir tous les avantages d'un site de récupération d'urgence à moindre coût.

Partenaires

« Big Switch Networks - entreprise de mise en réseau prioritairement dans le cloud - est un pionnier de l’introduction d’innovations dans le cloud pour les réseaux et la surveillance d’entreprise. Notre solution de visibilité et de surveillance Big Monitoring Fabric (Big Mon) s’appuie sur les principes d’une conception prioritairement dans le cloud. Cela permet aux entreprises d’accélérer l’adoption du cloud public AWS pour leurs applications sensibles en matière de sécurité et de conformité. L’intégration de Big Mon aux API de mise en miroir du trafic Amazon VPC permet une surveillance sans agent, une visibilité élastique et un filtrage du trafic via le tableau de bord unique du contrôleur Big Mon. Avec des flux de travail opérationnels communs dans les environnements AWS et sur site, les organisations informatiques peuvent conduire une surveillance cohérente du cloud hybride, tout en réduisant les coûts, en renforçant la sécurité et la conformité, et en satisfaisant aux accords de niveau de service (SLA) opérationnels. »

- Prashant Gandhi, Vice-président, en charge du département Produits, Big Switch Networks

bigswitch-logo
Blue-Hexagon-Logo-Color (1)
« Nos clients retirent d’importants bénéfices de notre protection contre les menaces, qui repose sur le deep learning, pour bloquer celles-ci en temps réel sur leurs réseaux d’entreprise. La capacité de détection des menaces dans les environnements cloud est une extension naturelle de notre stratégie de sécurité. La mise en miroir du trafic Amazon VPC offre une visibilité complète sur tout le trafic VPC et nous permet d’exploiter pleinement la vitesse, l’efficacité et la couverture offertes par notre protection contre les menaces basée sur le deep learning à l’ensemble du trafic AWS. Les clients de Blue Hexagon ont désormais la possibilité d’activer une inspection de deep learning cohérente des menaces, sur les réseaux et dans le cloud, à partir d’une console unique. »

- Saumitra Das, Directeur technique et cofondateur, Blue Hexagon

« Cisco Stealthwatch Cloud prend désormais totalement en charge la mise en miroir du trafic Amazon VPC, ainsi que les journaux de flux Amazon VPC, comme un moyen d’accéder à la télémétrie du réseau du client. La mise en miroir de trafic fournit des informations réseau supplémentaires que Stealthwatch Cloud peut désormais utiliser, en combinaison avec la télémétrie d’un autre environnement AWS, pour déterminer les alertes de sécurité qui appellent une action. »

– Ron Sterbenz, Cisco Stealthwatch Cloud.

Print
corelight-horizontal-logo-rgb
« Les capteurs Corelight transforment le trafic réseau en journaux et en fichiers extraits riches, ainsi qu’en informations personnalisées élaborées pour les opérations de sécurité. Avec la mise en miroir du trafic Amazon VPC, Corelight peut désormais étendre cette capacité au cloud et ainsi aider les équipes de sécurité à avoir une visibilité approfondie sur leurs environnements AWS, en accélérant les enquêtes de sécurité et en déverrouillant de nouvelles capacités puissantes de détection des menaces. »

- Brian Dye, Responsable des produits, Corelight.

« Même si beaucoup de nos clients migrent des charges de travail vers le cloud, celui-ci était jusqu’ici pour eux une boîte noire du point de vue des performances et de la sécurité. La solution cPacket exploite la mise en miroir du trafic Amazon Virtual Private Cloud (Amazon VPC) pour supprimer les angles morts, fournir une visibilité complète et faciliter la transition vers le cloud pour nos clients. »

– Brendan O’Flaherty, PDG de cPacket Networks.

cPacket_logo_tagline_trans
Extrahop-Logo-Large-Transparent-Background_2013_11_26
« Avec l’intégration de la duplication du trafic Amazon VPC dans Reveal (x) Cloud, ExtraHop réduit les obstacles à l’adoption du cloud en offrant aux entreprises le même niveau de visibilité que celui qu’elles avaient depuis toujours sur leur trafic local. La visibilité a toujours été un élément clé de la sécurité. Combinez Reveal (x) avec les fonctionnalités de sécurité natives d’AWS et vous obtenez un niveau de visibilité exploitable jamais atteint. »

- Mike Sheward | Directeur principal, Sécurité des informations

« La capacité native de mise en miroir du trafic Amazon VPC d’AWS facilite le déploiement rapide de l’analyse du trafic réseau de Fidelis pour les communications montantes/descendantes et transversales des instances EC2. Nous avons travaillé en étroite collaboration avec Amazon sur les tests d’intégration et pour que les capteurs de réseau Fidelis soit totalement agréés pour la réception du trafic réseau EC2. Nos clients bénéficient désormais d’une solution qui étend la visibilité et la surveillance de la sécurité aux applications, aux charges de travail et aux bases de données dans le cloud. »

- Tim Roddy, Vice-président Gestion de produit, Fidelis Cybersecurity

FID_Logo_RGB_Color_Positive_500
FEYE_RGB_two_color_for_light_bg
« FireEye Network Security et Forensics unissent une protection avancée contre les menaces et une détection des violations à la solution de capture et de récupération de données réseau sans perte la plus rapide du marché. Couplée à une analyse et une visualisation centralisées, cette solution offre aux organisations un ensemble véritablement complet de solutions de détection et de visibilité. Avec la mise en miroir du trafic Amazon VPC, les clients FireEye ont l’assurance qu’ils ont la même vue détaillée du réseau, que leurs actifs soient sur site, dans le cloud ou dans une configuration hybride. »

- Bill Cantrell, Vice-président Gestion des produits de sécurité des réseaux, FireEye

« La mise en miroir du trafic Amazon VPC est réellement enthousiasmante. Nos clients qui exécutent Flowmon Collector dans le cloud AWS peuvent désormais transformer leurs charges de travail de Virtual Public Cloud en un environnement transparent en quelques clics, puis commencer à résoudre les problèmes de performances, détecter les anomalies et les menaces, de la même manière qu’auparavant dans un environnement sur site. »

- Pavel Minarik, Responsable informatique chez Flowmon Networks

Flowmon_bez_claimu
600x400_Gigamon
« La visibilité au niveau des paquets constitue l’approche la plus efficace pour l’analyse de la sécurité et des performances sur le réseau. La mise en miroir du trafic Amazon VPC est vraiment appréciable. Avec notre solution commune, les organisations ont accès à une visibilité complète du trafic réseau et peuvent tirer le meilleur parti de leur empilement d’outils de sécurité et de surveillance, qu’ils soient déployés dans AWS ou dans un environnement hybride. La connaissance du trafic entre les applications numériques distribuées, et en leur sein, est essentielle au succès des applications numériques modernes. »

- Bassam Khan, Vice-président du Marketing technique et des produits, Gigamon

« La nouvelle fonctionnalité de mise en miroir du trafic Amazon VPC offre à la plate-forme IronDefense un accès natif aux données critiques des réseaux virtuels, ce qui lui permet de surveiller de manière transparente les anomalies réseau sur le Cloud AWS et les réseaux d’entreprise pour identifier les acteurs des menaces évoluées. La possibilité de surveiller des environnements hybrides et de partager automatiquement avec nos pairs de l’industrie les informations de IronDefense sur les menaces dans les environnements cloud ou non-cloud, à l’aide de notre capacité unique de défense collective IronDome, renforce notre capacité à protéger les entreprises, les industries et les nations à l’échelle appropriée. »

- Dr. Michael Ehrlich, Responsable informatique IronNet

New IronNet Primary Logo_web
Jask Master_Black_Horizontal_Transparent
« Le centre opérationnel de sécurité moderne a besoin de visibilité sur le trafic des charges de travail sur site et dans le cloud. Un analyste de sécurité doit pouvoir consulter les données du réseau dans le modèle OSI (Open System Interconnexion) afin d’avoir une vue précise des conséquences d’une menace ou d’une attaque en cours. JASK ASOC inclut des capteurs réseau, de journaux et Windows, ainsi que la prise en charge de l’ingestion de cloud à cloud. Avec la mise en miroir du trafic Amazon VPC, AWS continue d’être le principal innovateur dans l’espace du cloud public en apportant aux clients la valeur de la visibilité du trafic réseau dans le cloud ; cela rend notre prise en charge directe dans ASOC JASK d’autant plus importante. »

- Rob Fry, Responsable informatique chez JASK.

« Partenaire AWS tirant parti des riches sources de données fournies par Amazon, Kentik a la capacité d’améliorer et de corréler les données de trafic réseau avec les journaux de flux Amazon VPC, et de créer un contexte exploitant les balises AWS et les mappages de service Amazon EKS Kubernetes, offrant ainsi à nos clients une visibilité en temps réel sur l’utilisation et les performances de l’infrastructure AWS. Désormais, avec la mise en miroir du trafic Amazon VPC, la puissante plate-forme d’analyse de réseau de Kentik offre encore plus de moyens aux entreprises et aux fournisseurs de services de comprendre en profondeur leur trafic, leur donnant accès rapidement à des informations exploitables sur les performances, les coûts et les problèmes de sécurité. »

- Jonah Kowall, Responsable informatique de Kentik

kentik-black-small
NETSCOUT GCP Logo png
« La technologie de données intelligentes innovante de NETSCOUT permet aux services informatiques et de SecOps de garantir les performances des applications et d’améliorer la sécurité de l’entreprise, tant dans les centres de données sur site que dans l’infrastructure cloud AWS. La mise en miroir du trafic Amazon VPC offre un accès sans agent aux données sur des réseaux filaires et permet à NETSCOUT de fournir efficacement une visibilité « sans frontières » dans les applications et la sécurité dans les environnements de cloud hybrides AWS. Les capacités de base de NETSCOUT dans AWS incluent un système robuste d’avertissement précoce et un tri rapide des problèmes pour à la fois la performance des réseaux et des applications et la gestion des menaces de sécurité. »

- Michael Szabados, chef de l’exploitation, NETSCOUT Systems Inc.

« Nubeva Prisms complète la mise en miroir du trafic Amazon VPC pour fournir un déchiffrement rapide et sécurisé des flux de paquets client et serveur dans AWS. Alors que la mise en miroir du trafic Amazon VPC copie le trafic réseau de la charge de travail et l’envoie à l’outil, la solution de déchiffrement Nubeva Prisms TLS extrait et stocke les clés pour fournir le trafic déchiffré en temps réel à l’outil de mise en miroir du trafic Amazon VPC. La mise en miroir du trafic Amazon VPC et la solution de décryptage Nubeva Prisms TLS offrent ensemble une visibilité et une sécurité TLS totales dans l’ensemble du cloud public AWS Est-Ouest et Nord-Sud. »

- Randy Chou, PDG, Nubeva

nubeva_logo_wide_1600_blue
PWP_Security_Palo Alto Networks
« Les entreprises ont besoin d’une sécurité cohérente dans le cloud, sans devoir sacrifier le choix et la flexibilité de déploiement. En plus des capacités de prévention des menaces en ligne, l’intégration du pare-feu virtualisé VM-Series à la nouvelle fonction de mise en miroir du trafic Amazon VPC donne aux organisations le choix de déployer le pare-feu hors bande pour la visibilité des applications et la détection avancée des menaces dans le cloud AWS. »

- Mukesh Gupta, Vice-président, Gestion des produits chez Palo Alto Networks

« SteelCentral AppResponse Cloud de Riverbed utilise la mise en miroir du trafic Amazon Virtual Private Cloud (Amazon VPC) pour fournir une visibilité approfondie du réseau et des applications dans le cloud AWS. Riverbed permet aux services Opérations informatiques de détecter rapidement les dégradations de performances et la latence élevée dans les réseaux cloud et hybrides, d’identifier automatiquement plus de 2 000 applications pour en conduire une analyse détaillée, ainsi que d’identifier et de résoudre les problèmes plus rapidement et plus facilement avec le trafic agrégé. En tant que leader du secteur des solutions d’expérience numérique et de gestion de la performance numérique, et six fois parmi les leaders du Magic Quadrant Gartner pour la gestion de la performance réseau et les diagnostics, nous sommes fiers de collaborer avec AWS pour mettre sur le marché une solution aussi essentielle. »

- Mike Sargent, Vice-président senior, Directeur général - SteelCentral, Riverbed.

RVBD-Q118-OrangeLogo-RGB
RSA_Security_logo2.svg
« RSA NetWitness Platform permet aux clients d'obtenir la visibilité nécessaire pour sécuriser une infrastructure critique et permet à tout analyste d'identifier, de comprendre et de limiter les menaces avancées. L'intégration de la plate-forme RSA NetWitness à la mise en miroir du trafic Amazon VPC permet aux clients de combler l'écart de visibilité créé par les charges de travail dans le cloud. »

- Mike Adler, Vice-président produit, NetWitness Platform

« À mesure que les entreprises déplacent leurs données et services de haute valeur vers le cloud, il est impératif de réduire les risques cyber susceptibles de leur porter préjudice. La mise en miroir du trafic Amazon VPC permet à la plate-forme Vectra Cognito de fournir aux entreprises une visibilité sur les attaques visant leur empreinte dans le cloud, de leur donner des capacités concluantes de recherche des menaces, et de réagir plus rapidement aux incidents. »

- Hitesh Sheth, Président et PDG, Vectra

vectra-logo-w-security-that-thinks-tagline-pantone

Commencer à utiliser Amazon VPC

Vos ressources AWS sont automatiquement mises en service dans un VPC par défaut prêt à l'emploi qui a été créé pour vous. Vous pouvez configurer ce VPC en ajoutant ou en supprimant des sous-réseaux, en y associant des passerelles réseau, en modifiant la table de routage par défaut et en changeant les listes de contrôle d'accès au réseau.

Vous pouvez créer des VPC supplémentaires. Pour cela, rendez-vous sur la page Amazon VPC sur AWS Management Console et sélectionnez « Start VPC Wizard ». Vous vous verrez proposer quatre topologies de réseau de base. Sélectionnez la topologie de réseau qui ressemble le plus à celle que vous souhaiteriez créer et sélectionnez « Create VPC ». Une fois que le VPC a été créé, vous pouvez commencer à lancer les instances Amazon EC2 dans votre VPC.

Articles et publications de blog

Outil de débogage pour la connectivité depuis Amazon VPC
par Bhavin Desai
 
19 janvier 2019
Partage VPC : une nouvelle approche de la gestion des comptes multiples et des VPC
par Evgeny Vaganov  
 
11 janvier 2019

En savoir plus sur Amazon VPC

Visiter la page détaillée du produit
Prêt à concevoir ?
Commencer à utiliser Amazon VPC
D'autres questions ?
Contactez-nous