11 min de lecture

Objectifs d'apprentissage

À la fin de ce module, vous serez en mesure de:

  • Expliquer ce que Network Security Groups sont et comment ils fournissent une protection pare-feu centralisée à travers vos centres de données virtuels
  • Décrire l'objectif de Certificate Manager et de SSH Key Manager pour sécuriser les ressources cloud
  • Identifier quand utiliser DDoS Protect de base par rapport à l'option avancée pour protéger vos applications

Unité 2.6 : Services de sécurité

Introduction

Imaginez la construction d'une ville moderne. Vous avez besoin de systèmes de sécurité - feux de circulation, caméras de surveillance, portes d'accès - pour que tout fonctionne de manière sûre. Votre environnement cloud nécessite des couches de protection similaires au-delà du calcul et du stockage de base. Vous avez besoin de pare-feu pour contrôler qui peut accéder à vos ressources, de boucliers contre les attaques à grande échelle, et d'outils pour gérer les informations d'identification et les certificats qui prouvent l'identité à travers votre infrastructure.

Dans cette unité, vous explorerez les services de sécurité d'IONOS Cloud qui protègent votre réseau et gèrent les informations d'identification. Nous allons couvrir la gestion des pare-feu avec Network Security Groups, la défense contre les attaques DDoS, et la gestion centralisée des certificats SSL/TLS et des clés SSH.

1. Services de sécurité réseau

IONOS Cloud fournit des outils de sécurité qui vous aident à contrôler l'accès réseau et à protéger contre les menaces. Pensez à ceux-ci comme les portes de sécurité et les systèmes de garde pour votre infrastructure numérique.

1.1 Network Security Groups (NSGs)

Network Security Groups sont les blocs de construction de pare-feu virtuel d'IONOS Cloud pour un centre de données virtuel (VDC). Ils agissent comme des gestionnaires de stratégie de pare-feu centralisés qui filtrent et contrôlent le trafic entrant (ingress) et sortant (egress) pour les ressources qu'ils protègent. Au lieu de gérer des règles de pare-feu individuelles pour chaque machine virtuelle, les NSG peuvent être utilisés pour appliquer des règles à un groupe de VM, améliorant ainsi l'efficacité lors du déploiement de nombreuses machines virtuelles qui auraient un ensemble similaire de règles de pare-feu.

Fonctionnement des NSG :

  • Les NSG peuvent être attachés à des cartes d'interface réseau (NIC) ou à des machines virtuelles (VM) entières
  • Lorsqu'un VM est membre d'un NSG, toutes ses NIC héritent automatiquement des règles du groupe
  • Ils contiennent un ensemble de règles de sécurité basées sur les adresses IP source/destination, les ports et les protocoles
  • Tout trafic non explicitement autorisé par une règle est automatiquement refusé (approche par défaut de refus)

Types de NSG :

Type Objectif Application
NSG par défaut Créé uniquement si vous sélectionnez l'option lors de la création du VDC (case à cocher DCD ou indicateur API), pas automatique pour chaque VDC Une fois créé, il s'applique à toutes les nouvelles VM du VDC, sauf si vous spécifiez le contraire, fournissant une protection de base
NSG personnalisé Créé pour des exigences de sécurité spécifiques Attaché à des VM ou des NIC individuelles pour un contrôle précis

Quand utiliser Network Security Groups :

Vous devriez utiliser les NSG chaque fois que vous avez besoin d'une gestion de pare-feu centralisée dans votre VDC. Ils sont particulièrement précieux lorsque vous souhaitez contrôler à la fois le trafic entrant et sortant au niveau de la VM ou de la NIC, nécessitez un contrôle d'accès précis pour des charges de travail spécifiques, ou devez adapter rapidement la sécurité à mesure que votre entreprise ou le paysage des menaces change. Les NSG vous aident à éviter les configurations de pare-feu en double en vous permettant d'attacher la même stratégie de sécurité à plusieurs ressources.

Principaux avantages de sécurité :

  • Pare-feu virtuel à état qui suit les connexions et autorise automatiquement le trafic de retour
  • Gestion de stratégie centralisée en un seul endroit pour l'ensemble du VDC
  • Contrôle précis, par ressource, pour l'application de règles précises
  • Protection par défaut avec un minimum d'effort pour toutes les nouvelles VM
  • Gestion et conformité simplifiées avec une vérification plus facile

1.2 DDoS Protect

La protection DDoS dans IONOS Cloud est un service de défense géré qui protège vos ressources contre les attaques de refus de service distribué. Lorsqu'une attaque est détectée, le trafic est redirigé vers la plate-forme de filtrage et de nettoyage d'IONOS. Les paquets malveillants sont supprimés et seuls les trafics légitimes sont transmis à la destination d'origine, ce qui permet de maintenir vos applications disponibles même en cas d'attaque intense.

Étendue de la protection :

DDoS Protect défend contre les attaques de niveau 3 et de niveau 4 (telles que les inondations UDP, les inondations SYN et d'autres attaques volumétriques et basées sur les protocoles) pour chaque ressource dans tous les centres de données d'IONOS. Cette protection au niveau du réseau garantit que votre infrastructure reste accessible pendant les attaques.

Forfaits disponibles :

Forfait Niveau de protection Fonctionnalités
DDoS Protect de base Automatique, toujours activé Activé pour tous les utilisateurs, sans configuration requise. Fournit la détection, la contention automatique et le filtrage du trafic pour les attaques volumétriques et basées sur les protocoles courantes
DDoS Protect avancé Amélioré, proactif Inclut tout ce qui est dans la version de base, ainsi que le support d'experts 24h/24, la surveillance proactive et le filtrage ou les diagnostics d'attaque spécifiques à la demande IP

Le service est natif du cloud et toujours activé, filtrant le trafic malveillant au niveau du réseau sans nécessiter d'intervention manuelle. Cela garantit la disponibilité continue de vos charges de travail pendant les attaques DDoS.

2. Gestion des informations d'identification et des certificats

La gestion des informations d'identification et des certificats de sécurité à travers les ressources cloud peut devenir complexe à mesure que votre infrastructure grandit. IONOS Cloud propose des services dédiés pour simplifier ces tâches de sécurité critiques.

2.1 Certificate Manager

Certificate Manager est le service dédié d'IONOS pour gérer les certificats SSL/TLS à travers vos ressources cloud. Il simplifie l'ensemble du cycle de vie des certificats (obtention, installation, renouvellement et révocation) afin que le trafic web et les données échangées entre les utilisateurs et vos serveurs restent chiffrées et fiables.

Ce que Certificate Manager fait :

  • Importe et gère les certificats auto-gérés (y compris la chaîne de certificats et la clé privée) pour une utilisation avec les Application Load Balancers (ALBs) lors de la termination du trafic HTTPS.
  • Fournit des certificats auto-renouvelables via des fournisseurs ACME tels que Let's Encrypt, DigiCert, Sectigo, GlobalSign et ZeroSSL.
  • Les certificats auto-renouvelés peuvent être utilisés avec le CDN ; l'Application Load Balancer nécessite un certificat importé au lieu d'un certificat auto-renouvelé.
  • Sert de centre de gestion centralisé pour la mise en place et la maintenance sécurisées des certificats TLS.

Pourquoi utiliser Certificate Manager :

Au lieu de générer, de suivre et de renouveler manuellement des certificats sur plusieurs serveurs, Certificate Manager centralise ce processus. Vous évitez les certificats expirés qui cassent les connexions HTTPS, réduisez les efforts manuels pour le renouvellement des certificats et assurez une sécurité cohérente sur l'ensemble de vos services web. Le service est généralement disponible, indépendant de l'emplacement du centre de données et fonctionne avec les ressources IONOS Public Cloud.

2.2 SSH Key Manager

La gestion des clés SSH dans IONOS Cloud est la gestion centralisée des clés publiques SSH utilisées pour accorder un accès sécurisé et sans mot de passe aux machines virtuelles basées sur Linux et à d'autres ressources de calcul.

Comment SSH Key Manager fonctionne :

Le Data Center Designer propose une vue Clés SSH où vous pouvez stocker jusqu'à 100 clés publiques SSH. Cela élimine la nécessité de copier et coller une clé chaque fois que vous configurez l'accès à un nouveau VM. Le service prend en charge à la fois les clés sauvegardées et les clés SSH ad-hoc pour les serveurs Dedicated Core, les serveurs vCPU et les serveurs Cubes.

Actions de cycle de vie des clés :

  • Ajoutez des clés en collant du texte ou en téléchargeant un fichier de clé.
  • Modifiez les clés existantes pour mettre à jour les descriptions.
  • Définissez une clé par défaut qui est pré-sélectionnée lors de la configuration de l'accès SSH.
  • Supprimez les clés lorsqu'elles ne sont plus nécessaires.

Pourquoi la gestion des clés SSH est importante :

Les clés SSH remplacent les mots de passe par une authentification cryptographique plus forte pour les connexions à distance. Le stockage des clés de manière centralisée simplifie la mise en place des VM. Lorsque vous créez un Linux VM, vous pouvez sélectionner n'importe quelle clé stockée à partir du paramètre Clés SSH et la clé est automatiquement injectée dans l'image du VM, permettant un accès SSH immédiat sans distribution manuelle de clés.

Flux de travail typique :

  1. Générez une paire de clés localement à l'aide d'outils comme SSH-keygen.
  2. Ajoutez la clé publique au DCD en la collant ou en la téléchargeant.
  3. Définissez-la éventuellement comme clé par défaut pour une sélection plus facile.
  4. Associez la clé à un VM lors de sa création.
  5. Connectez-vous au VM à l'aide de la clé privée correspondante.

Cas d'utilisation courants

Scénarios du monde réel où ces services de sécurité sont utilisés :

  1. Application à plusieurs niveaux avec Network Security Groups : Une société de logiciels exécute une application à trois niveaux (couches web, application et base de données) dans IONOS Cloud. Ils créent des NSG personnalisés pour chaque niveau, comme discuté dans la section 1.1. Le NSG du niveau web permet les connexions entrantes HTTPS (port 443) à partir de n'importe où, mais n'autorise que les connexions sortantes vers le niveau application. Le NSG du niveau application accepte le trafic uniquement à partir du niveau web et ne peut se connecter qu'au niveau base de données. Le NSG du niveau base de données n'accepte les connexions qu'à partir du niveau application. Cette approche de sécurité en couches, en utilisant la gestion de pare-feu centralisée décrite dans la section 1.1, garantit que chaque niveau est isolé et protégé selon le principe du privilège minimum.
  2. Application web publique avec protection DDoS et TLS : Un détaillant en ligne exécute une boutique en ligne sur IONOS Cloud. DDoS Protect de base (section 1.2) protège automatiquement l'application des attaques volumétriques sans aucune configuration. L'équipe utilise Certificate Manager (section 2.1) pour importer un certificat TLS pour leur application Load Balancer, puisque l'ALB nécessite un certificat importé plutôt qu'un certificat auto-renouvelé, garantissant que HTTPS est toujours actif.
  3. Provisionnement d'équipe VM avec des clés SSH centralisées : Une équipe de développement de quinze ingénieurs provisionne et décommissionne fréquemment des machines virtuelles Linux pour les tests. Au lieu de distribuer manuellement les clés SSH, le chef d'équipe télécharge la clé publique de chaque ingénieur dans SSH Key Manager (section 2.2) et définit une clé par défaut pour les environnements partagés. Lorsqu'un membre de l'équipe crée un nouveau VM, il sélectionne simplement la clé appropriée dans la liste stockée, et l'accès SSH est prêt immédiatement après la mise en service.

Résumé

Cette unité a exploré les services de sécurité d'IONOS Cloud qui protègent votre réseau, défendent contre les attaques et simplifient la gestion des informations d'identification. Les Network Security Groups fournissent une gestion de pare-feu centralisée et à état pour vos centres de données virtuels, avec une protection par défaut pour toutes les machines virtuelles et des politiques personnalisées pour les charges de travail spécifiques. Les DDoS Protect protègent contre les attaques de réseau avec un filtrage automatique du trafic et un support avancé facultatif.

Les Certificate Manager simplifient la gestion du cycle de vie des certificats SSL/TLS, tandis que les SSH Key Manager centralisent l'accès sécurisé aux machines virtuelles Linux. Ensemble, ces services forment la base de sécurité qui protège les ressources de calcul, de stockage et de réseau que vous avez explorées dans les unités précédentes.

Points clés :

  • Les Network Security Groups agissent comme des gestionnaires de politiques de pare-feu centralisés qui filtrent le trafic au niveau de VM et de la carte réseau avec une sécurité par défaut de refus
  • Les DDoS Protect fournissent une défense permanente contre les attaques de couches 3 et 4 avec un filtrage automatique du trafic
  • Les Certificate Manager et les SSH Key Manager centralisent la gestion des informations d'identification de sécurité pour vos ressources cloud

Terminologie importante :

  • Groupe de sécurité réseau (NSG) : Pare-feu virtuel qui filtre le trafic entrant et sortant pour les machines virtuelles et les cartes réseau en fonction de règles de sécurité gérées de manière centralisée
  • DDoS Protect : Service de défense géré qui redirige le trafic d'attaque vers des plateformes de filtrage tout en permettant au trafic légitime d'atteindre les ressources
  • Certificate Manager : Service qui gère le cycle de vie des certificats SSL/TLS (obtention, installation, renouvellement, révocation) pour les applications Web

Prochaines étapes

Continuer l'apprentissage : Unité 2.7 : Services d'intelligence artificielle et de conteneurs

Sujets connexes :