Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager

Auf dieser Seite wird erklärt, wie die Sicherheitsgruppenrichtlinien für Content Audits von Firewall Manager funktionieren.

Verwenden Sie Sicherheitsgruppenrichtlinien für die AWS Firewall Manager Inhaltsüberwachung, um die Regeln, die in den Sicherheitsgruppen Ihres Unternehmens verwendet werden, zu überwachen und Richtlinienaktionen darauf anzuwenden. Die Sicherheitsgruppenrichtlinien für die Inhaltsüberwachung gelten für alle von Kunden erstellten Sicherheitsgruppen, die in Ihrer AWS Organisation verwendet werden, und zwar entsprechend dem von Ihnen in der Richtlinie definierten Geltungsbereich.

Hinweise zur Erstellung einer Sicherheitsgruppenrichtlinie für Inhaltsaudits mithilfe der Konsole finden Sie unterErstellen einer Inhaltsprüfungssicherheitsgruppenrichtlinie.

Richtlinienbereich-Ressourcentyp

Sie können Gruppenrichtlinien für die Inhaltsüberwachung auf die folgenden Ressourcentypen anwenden:

  • Amazon Elastic Compute Cloud (AmazonEC2) -Instanz

  • Elastische Netzwerkschnittstelle

  • VPCAmazon-Sicherheitsgruppe

Sicherheitsgruppen werden im Geltungsbereich der Richtlinie berücksichtigt, wenn sie sich explizit im Geltungsbereich befinden oder wenn sie Ressourcen zugeordnet sind, die sich im Geltungsbereich befinden.

Optionen für Richtlinienregeln

Sie können entweder verwaltete oder benutzerdefinierte Richtlinienregeln für jede Inhaltsüberwachungsrichtlinie verwenden, aber nicht beide.

  • Verwaltete Richtlinienregeln — In einer Richtlinie mit verwalteten Regeln können Sie mithilfe von Anwendungs- und Protokolllisten steuern, welche Regeln Firewall Manager prüft und entweder als konform oder nicht konform kennzeichnet. Sie können Listen verwenden, die von Firewall Manager verwaltet werden. Sie können auch Ihre eigenen Anwendungs- und Protokolllisten erstellen und verwenden. Informationen zu diesen Listentypen und Ihren Verwaltungsoptionen für benutzerdefinierte Listen finden Sie unterVerwaltete Listen mit Firewall Manager verwenden.

  • Benutzerdefinierte Richtlinienregeln — In einer Richtlinie mit benutzerdefinierten Richtlinienregeln geben Sie eine vorhandene Sicherheitsgruppe als Überwachungssicherheitsgruppe für Ihre Richtlinie an. Sie können die Regeln für die Audit-Sicherheitsgruppe als Vorlage verwenden, die die Regeln definiert, die Firewall Manager prüft und entweder als konform oder nicht konform kennzeichnet.

Sicherheitsgruppen überwachen

Sie müssen Audit-Sicherheitsgruppen mit Ihrem Firewall Manager Manager-Administratorkonto erstellen, bevor Sie sie in Ihrer Richtlinie verwenden können. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (AmazonVPC) oder Amazon Elastic Compute Cloud (AmazonEC2) verwalten. Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppen im VPCAmazon-Benutzerhandbuch.

Eine Sicherheitsgruppe, die Sie für eine Sicherheitsgruppenrichtlinie zur Inhaltsüberwachung verwenden, wird von Firewall Manager nur als Vergleichsreferenz für die Sicherheitsgruppen verwendet, die in den Geltungsbereich der Richtlinie fallen. Firewall Manager ordnet es keinen Ressourcen in Ihrer Organisation zu.

Die Art und Weise, wie Sie die Regeln in der Audit-Sicherheitsgruppe definieren, hängt von Ihren Entscheidungen in den Einstellungen der Richtlinienregeln ab:

  • Verwaltete Richtlinienregeln — Bei Einstellungen für verwaltete Richtlinienregeln verwenden Sie eine Auditsicherheitsgruppe, um andere Einstellungen in der Richtlinie außer Kraft zu setzen und Regeln, die andernfalls zu einem anderen Konformitätsergebnis führen könnten, explizit zuzulassen oder abzulehnen.

    • Wenn Sie festlegen, dass die in der Auditsicherheitsgruppe definierten Regeln immer zugelassen werden, gilt jede Regel, die einer Regel entspricht, die in der Auditsicherheitsgruppe definiert ist, unabhängig von den anderen Richtlinieneinstellungen als richtlinienkonform.

    • Wenn Sie festlegen, dass die in der Auditsicherheitsgruppe definierten Regeln immer abgelehnt werden, gilt jede Regel, die mit einer Regel übereinstimmt, die in der Auditsicherheitsgruppe definiert ist, unabhängig von den anderen Richtlinieneinstellungen als nicht richtlinienkonform.

  • Benutzerdefinierte Richtlinienregeln — Für benutzerdefinierte Richtlinienregeleinstellungen bietet die Audit-Sicherheitsgruppe ein Beispiel dafür, was in den im Geltungsbereich enthaltenen Sicherheitsgruppenregeln zulässig oder nicht akzeptabel ist:

    • Wenn Sie sich dafür entscheiden, die Verwendung der Regeln zuzulassen, dürfen alle in den Geltungsbereich fallenden Sicherheitsgruppen nur Regeln haben, die innerhalb des zulässigen Bereichs der Audit-Sicherheitsgruppenregeln der Richtlinie liegen. In diesem Fall sind die Sicherheitsgruppenregeln der Richtlinie ein Beispiel dafür, was zulässig ist.

    • Wenn Sie sich dafür entscheiden, die Verwendung der Regeln zu verweigern, dürfen alle Sicherheitsgruppen im Geltungsbereich nur Regeln haben, die nicht innerhalb des zulässigen Bereichs der Überwachungssicherheitsgruppenregeln der Richtlinie liegen. In diesem Fall ist die Sicherheitsgruppe der Richtlinie ein Beispiel dafür, was nicht zulässig ist.

Erstellung und Verwaltung von Richtlinien

Wenn Sie eine Prüfungssicherheitsgruppenrichtlinie erstellen, müssen Sie die automatische Korrektur deaktiviert haben. Die empfohlene Vorgehensweise besteht darin, die Auswirkungen der Richtlinienerstellung zu überprüfen, bevor die automatische Korrektur aktiviert wird. Nachdem Sie die erwarteten Auswirkungen überprüft haben, können Sie die Richtlinie bearbeiten und die automatische Korrektur aktivieren. Wenn die automatische Problembehebung aktiviert ist, aktualisiert oder entfernt Firewall Manager Regeln, die in den Geltungsbereich der Sicherheitsgruppen nicht konform sind.

Sicherheitsgruppen, die von einer Prüfungssicherheitsgruppenrichtlinie betroffen sind

Alle Sicherheitsgruppen in Ihrer Organisation, die vom Kunden erstellt wurden, können im Geltungsbereich einer Prüfungssicherheitsgruppenrichtlinie liegen.

Replikat-Sicherheitsgruppen werden nicht vom Kunden erstellt und können sich daher nicht direkt im Bereich einer Prüfungssicherheitsgruppenrichtlinie befinden. Sie können jedoch aufgrund der automatischen Korrekturaktivitäten der Richtlinie aktualisiert werden. Die primäre Sicherheitsgruppe einer gemeinsamen Sicherheitsgruppenrichtlinie wird vom Kunden erstellt und kann sich im Bereich einer Prüfungssicherheitsgruppenrichtlinie befinden. Wenn eine Audit-Sicherheitsgruppenrichtlinie Änderungen an einer primären Sicherheitsgruppe vornimmt, leitet Firewall Manager diese Änderungen automatisch an die Replikate weiter.