Que sont les groupes de sécurité et comment contrôlent-ils l'accès ?

Question

Accepted Answer

**Les groupes de sécurité** sont des pare-feu virtuels qui contrôlent le **trafic entrant et sortant** vers les ressources AWS (comme les instances EC2) — en définissant quels ports, protocoles et sources sont autorisés. Ils sont fondamentaux pour la sécurité réseau d'AWS.

## Ce que les groupes de sécurité font

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## Exemple de règles

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## Un motif puissant : référencer d'autres groupes de sécurité

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## Groupes de sécurité vs NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## Pourquoi c'est important

Comprendre les groupes de sécurité est important car ils sont fondamentaux pour la **sécurité réseau d'AWS** — contrôlant quel trafic peut atteindre vos ressources — donc c'est une connaissance pratique essentielle pour déployer les ressources de manière sécurisée.

Les groupes de sécurité agissent comme des **pare-feu virtuels** définissant quel trafic (ports, protocoles, sources) est autorisé à entrer et sortir des ressources, avec un modèle sécurisé par défaut (uniquement des règles d'autorisation ; tout ce qui n'est pas explicitement autorisé est refusé) et un comportement avec état (les réponses au trafic autorisé sont automatiquement autorisées).

Comprendre comment configurer correctement les règles est essentiel pour la sécurité — par exemple, autoriser HTTP/HTTPS de partout pour un serveur web mais **restreindre l'accès SSH à des IPs spécifiques** (pas l'Internet entier — une pratique courante et importante, car exposer SSH au monde est un risque de sécurité).

Le **motif puissant de référencer d'autres groupes de sécurité** (permettant au groupe de sécurité de la base de données d'accepter le trafic uniquement du groupe de sécurité des serveurs d'application, indépendamment de leurs IPs) permet des **architectures de sécurité en couches propres** (web → app → base de données, chaque couche acceptant uniquement le trafic de la précédente) — une approche de bonne pratique qui limite l'exposition et suit le principe du moindre privilège au niveau réseau.

Comprendre **les groupes de sécurité vs les NACLs** (groupes de sécurité au niveau ressource comme outil principal, avec état, permettant uniquement ; NACLs au niveau sous-réseau comme couche secondaire plus grossière, sans état) clarifie le modèle de sécurité réseau en couches.

Puisque contrôler l'accès réseau aux ressources est fondamental pour la sécurité d'AWS (un accès mal configuré — comme des ports trop ouverts ou SSH/bases de données accessibles publiquement — cause des vulnérabilités réelles), et puisque les groupes de sécurité sont le mécanisme principal pour cela (le motif de référence de groupes de sécurité permettant des architectures en couches sécurisées), comprendre les groupes de sécurité est une connaissance AWS essentielle et pratiquement importante pour déployer les ressources de manière sécurisée — un sujet de sécurité de base où la configuration appropriée (restreindre l'accès correctement, utiliser des références de groupes de sécurité en couches) prévient directement les expositions au niveau réseau qui mènent aux violations de sécurité.