ISOSET · Réseaux Cloud — VPC, Subnets, Security Groups

VPC SUBNETS SECURITY GROUPS NACL VPC PEERING

Réseaux Cloud : fondations de l’infrastructure sécurisée

Un VPC (Virtual Private Cloud) est votre propre îlot réseau dans le cloud, totalement isolé. À l’intérieur, vous découpez des sous-réseaux (subnets), contrôlez les flux avec des groupes de sécurité (stateful) et des listes de contrôle d’accès (stateless). C’est le socle de toute application cloud digne de ce nom. ISOSET propose des simulations grandeur nature pour apprivoiser ces briques essentielles.

99,99% SLA de disponibilité

15+ régions couvertes

73% des entreprises utilisent VPC multi-zones

Virtual Private Cloud : votre datacenter virtuel

Isolation totale

Un VPC est logiquement isolé des autres VPC (même au sein du même compte). Vous définissez un bloc CIDR (ex: 10.0.0.0/16), créez des sous-réseaux, des tables de routage, et des passerelles. Aucun trafic n’entre ou ne sort sans votre autorisation explicite.

Personnalisation complète

Choisissez vos plages d’IP, vos zones de disponibilité, vos passerelles Internet ou VPN. Le VPC s’adapte aux contraintes de sécurité et de performance de chaque application.

Subnets : découpage stratégique

Subnet public

Associé à une route vers une Internet Gateway (IGW). Les instances possèdent une IP publique et sont directement accessibles depuis internet (load balancers, bastions). Attention à bien restreindre les accès avec des Security Groups.

Subnet privé

Pas d’accès internet direct. Pour communiquer vers l’extérieur, on utilise une NAT Gateway ou une instance NAT. Idéal pour les bases de données, les serveurs d’application internes, ou les workers de traitement.

# Création d'un VPC et d'un subnet public avec AWS CLI
aws ec2 create-vpc --cidr-block 10.0.0.0/16 --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=isoset-vpc}]'
aws ec2 create-subnet --vpc-id vpc-xxxx --cidr-block 10.0.1.0/24 --availability-zone eu-west-3a
aws ec2 create-internet-gateway
aws ec2 attach-internet-gateway --vpc-id vpc-xxxx --internet-gateway-id igw-xxxx

Sécurité en couches : SG et NACL

Security Group (SG)

Pare-feu virtuel au niveau de l’instance. Stateful : si le trafic entrant est autorisé, la réponse sortante l’est automatiquement. Règles uniquement autorisées (pas de refus explicite). On associe un SG à une ou plusieurs ressources (EC2, RDS).

Network ACL (NACL)

Appliqué au niveau du subnet. Stateless : les règles entrantes et sortantes sont évaluées séparément. Numérotées, elles permettent aussi des refus explicites (blacklist). Moins utilisé que les SG mais utile pour ajouter une couche défensive.

# Exemple de Security Group autorisant HTTP et SSH depuis un IP spécifique
aws ec2 authorize-security-group-ingress --group-id sg-xxxx --protocol tcp --port 22 --cidr 203.0.113.0/24
aws ec2 authorize-security-group-ingress --group-id sg-xxxx --protocol tcp --port 80 --cidr 0.0.0.0/0

Connecter plusieurs VPC et le réseau on-premises

VPC Peering

Connexion directe et privée entre deux VPC (même région ou inter-région). Non transitive : si A est peeré avec B et B avec C, A ne voit pas C. Idéal pour partager des ressources sans passer par internet.

Transit Gateway

Hub central qui simplifie les interconnexions complexes (plusieurs VPC, VPN, Direct Connect). Supporte le routage dynamique (BGP) et le peering entre régions. Devenu standard dans les grandes architectures.

Conseils pour une infrastructure réseau robuste

Principe du moindre privilège

Ne jamais ouvrir les ports 22 ou 3389 à 0.0.0.0/0. Utilisez des bastions ou VPN. Privilégiez des Security Groups spécifiques par rôle (web, app, db).

Plan d’adressage non chevauchant

Anticipez les futurs peering en choisissant des CIDR larges et uniques (ex: 10.1.0.0/16 pour la production, 10.2.0.0/16 pour le développement). Évitez les conflits d’IP.

89%

des applications cloud utilisent au moins 2 subnets privés

45%

des failles de sécurité viennent de Security Groups mal configurés

moins de latence avec VPC Peering intra-région

Architecture classique : web, app, base de données

# Illustration des sous-réseaux et Security Groups
- Subnet public (Web tier) : Load Balancer, instances web (SG_web autorise HTTP/HTTPS depuis 0.0.0.0/0)
- Subnet privé (App tier) : instances backend (SG_app autorise uniquement le trafic depuis SG_web sur port 8080)
- Subnet privé (DB tier) : RDS (SG_db autorise uniquement le trafic depuis SG_app sur le port 3306)

Cette isolation limite l’impact d’une compromission : un attaquant qui prend le contrôle d’une instance web ne peut pas accéder directement à la base de données. ISOSET fait construire cette architecture à chaque participant lors d’un atelier dédié.

Apprendre par l’action chez ISOSET
Plutôt que des slides interminables, les formations ISOSET proposent des challenges pratiques : “Construisez un VPC avec deux sous-réseaux publics/privés, ajoutez un NAT Gateway, puis configurez les Security Groups pour qu’une instance privée puisse télécharger des mises à jour sans être exposée”. Les apprenants utilisent la console AWS ou Terraform, et les formateurs corrigent en direct. Les anciens apprécient particulièrement la mise en situation réelle et le feedback immédiat.

Monitoring et outils de diagnostic

VPC Flow Logs

Enregistre les flux IP entrants et sortants des interfaces réseau. Indispensable pour détecter des comportements anormaux, des erreurs de configuration ou des tentatives d’intrusion.

Reachability Analyzer

Outil qui simule un trafic entre deux points du VPC et indique si les règles de routage et de sécurité l’autorisent. Gagne un temps précieux en debug.

VPC · Subnets · Security Groups · NACL Peering · Transit Gateway · Flow Logs Pédagogie ISOSET — immersion immédiate

ISOSET: Réseaux Cloud, Fondations de l’infrastructure sécurisée