Einrichtung von AWS Firewall Manager Fortigate CNF-Richtlinien

So erstellen Sie eine Firewall Manager Manager-Richtlinie für Fortigate CNF (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

4. Wählen Sie als Richtlinientyp Fortigate CNF. Wenn Sie den Fortigate CNF-Service im AWS Marketplace noch nicht abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie AWS Marketplace-Details anzeigen.

5. Wählen Sie als Bereitstellungsmodell entweder das verteilte Modell oder das zentralisierte Modell. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

6. Wählen Sie für Region eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

7. Wählen Sie Weiter.

9. Wählen Sie in der Richtlinienkonfiguration die Fortigate CNF-Firewall-Richtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Fortigate CNF-Firewallrichtlinien enthält alle Fortigate CNF-Firewallrichtlinien, die Ihrem Fortigate CNF-Mandanten zugeordnet sind. Informationen zur Erstellung und Verwaltung von Fortigate CNF-Firewallrichtlinien finden Sie in der Fortigate CNF-Dokumentation.

10. Wählen Sie Weiter.

11. Führen Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:

    • Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

    • Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der AWS Firewall Manager Endpunktkonfiguration unter Inspektion-VPC-Konfiguration die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.

      • Wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

12. Wählen Sie Weiter.

13. Wählen Sie für den Geltungsbereich der Richtlinie unter „AWS-Konten Diese Richtlinie gilt für“ die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

    Der Ressourcentyp für Fortigate CNF-Richtlinien ist VPC.

14. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unterDen Geltungsbereich der AWS Firewall Manager Richtlinie verwenden.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

15. Wählen Sie für Kontenübergreifenden Zugriff gewähren die Option AWS CloudFormation Vorlage herunterladen aus. Dadurch wird eine AWS CloudFormation Vorlage heruntergeladen, mit der Sie einen AWS CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Fortigate CNF-Ressourcen gewährt. Informationen zu Stacks finden Sie unter Arbeiten mit Stacks im Benutzerhandbuch.AWS CloudFormation Um einen Stack zu erstellen, benötigen Sie die Konto-ID aus dem Fortigate CNF-Portal.

16. Wählen Sie Weiter.

17. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

18. Wählen Sie Weiter.

19. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Stellen Sie sicher, dass Policy actions (Richtlinienaktionen) auf Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren) festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren.

20. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen).

    Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen