Vue d'ensemble de la Sécurité
Sécurité ZoneHero : Une Vue d’ensemble Technique
Chez ZoneHero, nous croyons en la transparence en matière de sécurité. Ce document décrit notre architecture de sécurité, en se concentrant sur les aspects que vous pouvez vérifier et valider vous-même. Nous vous montrerons exactement comment nous protégeons votre infrastructure, quelles permissions nous requérons et comment nous maintenons une isolation stricte entre notre Plan de Contrôle et votre trafic.
Communication avec le Plan de Contrôle
Notre Plan de Contrôle gère la configuration de l’équilibreur de charge tout en maintenant des principes stricts de minimisation des données. À aucun moment votre trafic d’équilibreur de charge ne passe par notre Plan de Contrôle ou une quelconque partie de notre infrastructure. Voici exactement quelles données circulent entre vos équilibreurs de charge et notre Plan de Contrôle :
Données Envoyées au Plan de Contrôle
- ID du compte AWS (depuis l’authentification IAM)
- Nom du cluster et ID d’instance
- Statistiques d’utilisation de base :
- Nombre de requêtes
- Volumes de données
- Nombre de connexions
- Utilisées pour les décisions de routage et la facturation
Données Reçues du Plan de Contrôle
- Poids des zones de disponibilité
- Liste des serveurs en amont depuis vos Target groups configurés
- Certificats TLS pour utilisation avec les listeners TLS
- Aucun trafic client ne passe jamais par notre Plan de Contrôle
Sécurité des Connexions
- Toute communication est authentifiée via les identifiants AWS IAM et restreinte à la même région AWS
- TLSv1.3 imposé sur nos endpoints
- DNSSEC activé sur notre domaine zonehero.cloud et tous ses sous-domaines
Mesures de Sécurité Vérifiables
Permissions IAM et Contrôle d’Accès
Nous requérons des permissions minimales et explicitement définies dans votre compte AWS. Vous pouvez vérifier nos limitations d’accès via notre CloudFormation template :
# Exemple de notre template IAM
- Effect: Allow
Action:
- ec2:*
- autoscaling:*
Resource: '*'
Condition:
StringEquals:
aws:ResourceTag/ZoneHeroType: hlb
Les permissions que nous requérons sont explicitement définies dans un unique CloudFormation template auditable. Voici exactement à quoi elles servent :
Gestion de l’Infrastructure :
- Créer, démarrer et arrêter des instances EC2
- Gérer les groupes Auto Scaling
- Configurer les modèles de lancement
- Toutes les actions de modification/destruction sont restreintes aux ressources taguées avec
ZoneHeroType: hlb
- Ne peut pas modifier ou détruire votre infrastructure existante
Opérations de l’Équilibreur de Charge :
- Lister les instances dans vos Target groups spécifiés
- Accéder aux certificats TLS sous
/hlb/*
dans Secrets Manager - Publier des statistiques sur CloudWatch (restreint à l’espace de noms ZoneHero)
Gestion DNS :
- Maintenir les enregistrements Route53 uniquement dans les zones que vous spécifiez
- Aucun accès aux autres enregistrements ou zones DNS
Points clés de vérification :
- Toutes les permissions définies dans un unique CloudFormation template petit et auditable
- Toutes les actions sur l’infrastructure restreintes par tags de ressources, sauf :
- ec2:Create*
- ec2:RunInstances
- autoscaling:Create*
- Endosser un rôle nécessite un ID externe spécifique
- Accès limité aux secrets et zones DNS
Pour vérifier ces permissions :
- Examinez le CloudFormation template que nous fournissons
- Vérifiez les logs CloudTrail pour les actions effectuées par notre rôle
- Vérifiez que la modification de ressources non-HLB échoue
Isolation Réseau
Votre trafic ne quitte jamais votre VPC. Voici comment vous pouvez le vérifier :
Emplacement de l’Équilibreur de Charge :
- Les équilibreurs de charge s’exécutent entièrement dans votre compte AWS
- Vérifiez via la Console AWS ou CLI :
aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"
Flux de Trafic :
- Client → Votre VPC → Vos Applications
- Utilisez les VPC Flow Logs pour vérifier les modèles de trafic
- Configuration auditable en se connectant aux nœuds HLB via AWS Systems Manager Session Manager
Communication du Plan de Contrôle :
- Seul le trafic de gestion quitte votre VPC
- Toujours régional (pas de trafic inter-régions)
- Support optionnel d’AWS PrivateLink
- Vérifiez via les règles des groupes de sécurité
Séparation de l’Infrastructure
Nous maintenons des frontières claires entre notre infrastructure de gestion et vos ressources :
Séparation des Comptes :
- Vos équilibreurs de charge s’exécutent dans votre compte
- Notre Plan de Contrôle s’exécute dans notre compte
- Vérifiez via les tags et la propriété des ressources AWS
Isolation Régionale :
- Les instances HLB communiquent uniquement avec notre endpoint dans la même région
- Pas de transfert de données inter-régions
- Vérifiez via les appels API AWS et les endpoints
Authentification :
- Authentification basée sur AWS IAM
- Vérification d’identité d’instance
- Surveillez via les logs CloudTrail
Bonnes Pratiques de Sécurité
Configuration Recommandée des Groupes de Sécurité
Pour vos instances d’équilibreur de charge, nous recommandons de définir des groupes de sécurité aussi stricts que possible.
Vous pouvez réutiliser les groupes de sécurité existants de vos équilibreurs de charge d’application.
Gestion des Certificats TLS
Deux options pour la gestion des certificats :
Auto-géré :
- Stockage dans AWS Secrets Manager sous
/hlb/*
- Format requis :
fullchain.pem
: Chaîne de certificatsprivkey.pem
: Clé privée
- Rotation via le template Lambda fourni ou votre propre solution
- Stockage dans AWS Secrets Manager sous
PrivateLink Entreprise :
- Chemin réseau privé complet
- Pas d’exposition d’endpoint public
- Contactez-nous pour les détails de configuration
Audit et Vérification
Vous pouvez surveiller nos activités via les outils AWS standard :
Logs CloudTrail :
- Suivez tous les appels API effectués par notre rôle
- Surveillez la création/modification des ressources
- Vérifiez l’utilisation des permissions
VPC Flow Logs :
- Surveillez les modèles de trafic réseau
- Vérifiez l’isolation du trafic
- Suivez la communication du Plan de Contrôle
AWS Config :
- Suivez les configurations des ressources
- Surveillez les changements des groupes de sécurité
- Vérifiez la conformité des tags
Fonctionnalités de Sécurité Entreprise
Pour les clients entreprise nécessitant des mesures de sécurité supplémentaires :
AWS PrivateLink :
- Connectivité réseau privée
- Pas d’exposition d’endpoint public
- Isolation réseau complète
Configurations IAM Personnalisées :
- Restrictions de permissions supplémentaires
- Exigences de tags personnalisées
- Limitations spécifiques des ressources
Limites de Sécurité
Compréhension claire des responsabilités en matière de sécurité :
Nous sommes responsables de :
- Sécurité du Plan de Contrôle
- Provisionnement des équilibreurs de charge
- Distribution de la configuration
- Distribution des certificats
Vous gardez le contrôle de :
- Réseau VPC
- Groupes de sécurité
- Gestion des certificats
- Configuration DNS
- Modèles de trafic
Commandes de Vérification
Voici quelques commandes utiles pour vérifier nos mesures de sécurité :
# Lister toutes les ressources gérées par HLB
aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"
# Vérifier les permissions du rôle IAM
aws iam get-role --role-name hlb/service-role
# Surveiller les événements CloudTrail
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=hlb/service-role
Questions de Sécurité ?
Si vous avez des exigences ou questions spécifiques en matière de sécurité :
- Détails techniques : Consultez notre documentation GitLab
- Fonctionnalités entreprise : Contactez notre
- Préoccupations de sécurité : Envoyez un email à
Conclusion
Notre modèle de sécurité est construit sur les bonnes pratiques AWS et conçu pour la transparence. Vous gardez le contrôle de votre infrastructure pendant que nous fournissons le service d’équilibrage de charge. Toutes les mesures de sécurité sont vérifiables via les outils et pratiques AWS standard.
N’oubliez pas : Le système le plus sûr est celui que vous pouvez vérifier vous-même. Nous vous encourageons à examiner nos permissions, surveiller nos activités et maintenir les bonnes pratiques de sécurité dans votre environnement.