Vue d'ensemble de la Sécurité

Sécurité ZoneHero : Une Vue d’ensemble Technique

Chez ZoneHero, nous croyons en la transparence en matière de sécurité. Ce document décrit notre architecture de sécurité, en se concentrant sur les aspects que vous pouvez vérifier et valider vous-même. Nous vous montrerons exactement comment nous protégeons votre infrastructure, quelles permissions nous requérons et comment nous maintenons une isolation stricte entre notre Plan de Contrôle et votre trafic.

Communication avec le Plan de Contrôle

Notre Plan de Contrôle gère la configuration de l’équilibreur de charge tout en maintenant des principes stricts de minimisation des données. À aucun moment votre trafic d’équilibreur de charge ne passe par notre Plan de Contrôle ou une quelconque partie de notre infrastructure. Voici exactement quelles données circulent entre vos équilibreurs de charge et notre Plan de Contrôle :

Données Envoyées au Plan de Contrôle

  • ID du compte AWS (depuis l’authentification IAM)
  • Nom du cluster et ID d’instance
  • Statistiques d’utilisation de base :
    • Nombre de requêtes
    • Volumes de données
    • Nombre de connexions
    • Utilisées pour les décisions de routage et la facturation

Données Reçues du Plan de Contrôle

  • Poids des zones de disponibilité
  • Liste des serveurs en amont depuis vos Target groups configurés
  • Certificats TLS pour utilisation avec les listeners TLS
  • Aucun trafic client ne passe jamais par notre Plan de Contrôle

Sécurité des Connexions

  • Toute communication est authentifiée via les identifiants AWS IAM et restreinte à la même région AWS
  • TLSv1.3 imposé sur nos endpoints
  • DNSSEC activé sur notre domaine zonehero.cloud et tous ses sous-domaines

Mesures de Sécurité Vérifiables

Permissions IAM et Contrôle d’Accès

Nous requérons des permissions minimales et explicitement définies dans votre compte AWS. Vous pouvez vérifier nos limitations d’accès via notre CloudFormation template :

# Exemple de notre template IAM
- Effect: Allow
  Action:
    - ec2:*
    - autoscaling:*
  Resource: '*'
  Condition:
    StringEquals:
      aws:ResourceTag/ZoneHeroType: hlb

Les permissions que nous requérons sont explicitement définies dans un unique CloudFormation template auditable. Voici exactement à quoi elles servent :

  1. Gestion de l’Infrastructure :

    • Créer, démarrer et arrêter des instances EC2
    • Gérer les groupes Auto Scaling
    • Configurer les modèles de lancement
    • Toutes les actions de modification/destruction sont restreintes aux ressources taguées avec ZoneHeroType: hlb
    • Ne peut pas modifier ou détruire votre infrastructure existante
  2. Opérations de l’Équilibreur de Charge :

    • Lister les instances dans vos Target groups spécifiés
    • Accéder aux certificats TLS sous /hlb/* dans Secrets Manager
    • Publier des statistiques sur CloudWatch (restreint à l’espace de noms ZoneHero)
  3. Gestion DNS :

    • Maintenir les enregistrements Route53 uniquement dans les zones que vous spécifiez
    • Aucun accès aux autres enregistrements ou zones DNS

Points clés de vérification :

  • Toutes les permissions définies dans un unique CloudFormation template petit et auditable
  • Toutes les actions sur l’infrastructure restreintes par tags de ressources, sauf :
    • ec2:Create*
    • ec2:RunInstances
    • autoscaling:Create*
  • Endosser un rôle nécessite un ID externe spécifique
  • Accès limité aux secrets et zones DNS

Pour vérifier ces permissions :

  1. Examinez le CloudFormation template que nous fournissons
  2. Vérifiez les logs CloudTrail pour les actions effectuées par notre rôle
  3. Vérifiez que la modification de ressources non-HLB échoue

Isolation Réseau

Votre trafic ne quitte jamais votre VPC. Voici comment vous pouvez le vérifier :

  1. Emplacement de l’Équilibreur de Charge :

    • Les équilibreurs de charge s’exécutent entièrement dans votre compte AWS
    • Vérifiez via la Console AWS ou CLI :
    aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"
  2. Flux de Trafic :

    • Client → Votre VPC → Vos Applications
    • Utilisez les VPC Flow Logs pour vérifier les modèles de trafic
    • Configuration auditable en se connectant aux nœuds HLB via AWS Systems Manager Session Manager
  3. Communication du Plan de Contrôle :

    • Seul le trafic de gestion quitte votre VPC
    • Toujours régional (pas de trafic inter-régions)
    • Support optionnel d’AWS PrivateLink
    • Vérifiez via les règles des groupes de sécurité

Séparation de l’Infrastructure

Nous maintenons des frontières claires entre notre infrastructure de gestion et vos ressources :

  1. Séparation des Comptes :

    • Vos équilibreurs de charge s’exécutent dans votre compte
    • Notre Plan de Contrôle s’exécute dans notre compte
    • Vérifiez via les tags et la propriété des ressources AWS
  2. Isolation Régionale :

    • Les instances HLB communiquent uniquement avec notre endpoint dans la même région
    • Pas de transfert de données inter-régions
    • Vérifiez via les appels API AWS et les endpoints
  3. Authentification :

    • Authentification basée sur AWS IAM
    • Vérification d’identité d’instance
    • Surveillez via les logs CloudTrail

Bonnes Pratiques de Sécurité

Configuration Recommandée des Groupes de Sécurité

Pour vos instances d’équilibreur de charge, nous recommandons de définir des groupes de sécurité aussi stricts que possible.

Vous pouvez réutiliser les groupes de sécurité existants de vos équilibreurs de charge d’application.

Gestion des Certificats TLS

Deux options pour la gestion des certificats :

  1. Auto-géré :

    • Stockage dans AWS Secrets Manager sous /hlb/*
    • Format requis :
      • fullchain.pem : Chaîne de certificats
      • privkey.pem : Clé privée
    • Rotation via le template Lambda fourni ou votre propre solution
  2. PrivateLink Entreprise :

    • Chemin réseau privé complet
    • Pas d’exposition d’endpoint public
    • Contactez-nous pour les détails de configuration

Audit et Vérification

Vous pouvez surveiller nos activités via les outils AWS standard :

  1. Logs CloudTrail :

    • Suivez tous les appels API effectués par notre rôle
    • Surveillez la création/modification des ressources
    • Vérifiez l’utilisation des permissions
  2. VPC Flow Logs :

    • Surveillez les modèles de trafic réseau
    • Vérifiez l’isolation du trafic
    • Suivez la communication du Plan de Contrôle
  3. AWS Config :

    • Suivez les configurations des ressources
    • Surveillez les changements des groupes de sécurité
    • Vérifiez la conformité des tags

Fonctionnalités de Sécurité Entreprise

Pour les clients entreprise nécessitant des mesures de sécurité supplémentaires :

  1. AWS PrivateLink :

    • Connectivité réseau privée
    • Pas d’exposition d’endpoint public
    • Isolation réseau complète
  2. Configurations IAM Personnalisées :

    • Restrictions de permissions supplémentaires
    • Exigences de tags personnalisées
    • Limitations spécifiques des ressources

Limites de Sécurité

Compréhension claire des responsabilités en matière de sécurité :

Nous sommes responsables de :

  • Sécurité du Plan de Contrôle
  • Provisionnement des équilibreurs de charge
  • Distribution de la configuration
  • Distribution des certificats

Vous gardez le contrôle de :

  • Réseau VPC
  • Groupes de sécurité
  • Gestion des certificats
  • Configuration DNS
  • Modèles de trafic

Commandes de Vérification

Voici quelques commandes utiles pour vérifier nos mesures de sécurité :

# Lister toutes les ressources gérées par HLB
aws ec2 describe-instances --filters "Name=tag:ZoneHeroType,Values=hlb"

# Vérifier les permissions du rôle IAM
aws iam get-role --role-name hlb/service-role

# Surveiller les événements CloudTrail
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=hlb/service-role

Questions de Sécurité ?

Si vous avez des exigences ou questions spécifiques en matière de sécurité :

  • Détails techniques : Consultez notre documentation GitLab
  • Fonctionnalités entreprise : Contactez notre
  • Préoccupations de sécurité : Envoyez un email à

Conclusion

Notre modèle de sécurité est construit sur les bonnes pratiques AWS et conçu pour la transparence. Vous gardez le contrôle de votre infrastructure pendant que nous fournissons le service d’équilibrage de charge. Toutes les mesures de sécurité sont vérifiables via les outils et pratiques AWS standard.

N’oubliez pas : Le système le plus sûr est celui que vous pouvez vérifier vous-même. Nous vous encourageons à examiner nos permissions, surveiller nos activités et maintenir les bonnes pratiques de sécurité dans votre environnement.