Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager

Auf dieser Seite wird erklärt, wie die Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung von Firewall Manager funktionieren.

Verwenden Sie Sicherheitsgruppenrichtlinien zur AWS Firewall Manager Nutzungsüberwachung, um Ihr Unternehmen auf ungenutzte und redundante Sicherheitsgruppen zu überwachen und optional eine Säuberung durchzuführen. Wenn Sie die automatische Wiederherstellung für diese Richtlinie aktivieren, geht Firewall Manager wie folgt vor:

  1. Konsolidierung redundanter Sicherheitsgruppen, wenn Sie diese Option ausgewählt haben.

  2. Entfernen nicht verwendeter Sicherheitsgruppen, wenn Sie diese Option ausgewählt haben.

Sie können Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung auf den folgenden Ressourcentyp anwenden:

  • Amazon VPC-Sicherheitsgruppe

Hinweise zur Erstellung einer Sicherheitsgruppenrichtlinie für die Nutzungsüberwachung mithilfe der Konsole finden Sie unterErstellen einer Nutzungsprüfungssicherheitsgruppenrichtlinie.

Wie Firewall Manager redundante Sicherheitsgruppen erkennt und behebt

Damit Sicherheitsgruppen als redundant betrachtet werden können, müssen für sie genau dieselben Regeln festgelegt sein und sie müssen sich in derselben Amazon VPC-Instance befinden.

Um einen redundanten Sicherheitsgruppensatz zu korrigieren, wählt Firewall Manager eine der Sicherheitsgruppen in der Gruppe aus, die beibehalten werden soll, und ordnet sie dann allen Ressourcen zu, die den anderen Sicherheitsgruppen in der Gruppe zugeordnet sind. Firewall Manager trennt dann die anderen Sicherheitsgruppen von den Ressourcen, denen sie zugeordnet waren, sodass sie nicht mehr verwendet werden.

Anmerkung

Wenn Sie sich auch dafür entschieden haben, nicht verwendete Sicherheitsgruppen zu entfernen, erledigt Firewall Manager dies als Nächstes. Möglicherweise werden dadurch die Sicherheitsgruppen entfernt, die sich in der redundanten Gruppe befinden.

Wie Firewall Manager ungenutzte Sicherheitsgruppen erkennt und behebt

Firewall Manager betrachtet eine Sicherheitsgruppe als unbenutzt, wenn beide der folgenden Bedingungen zutreffen:

  • Die Sicherheitsgruppe wird von keiner EC2 Amazon-Instance oder Amazon EC2 elastic network interface verwendet.

  • Firewall Manager hat innerhalb der im Zeitraum der Richtlinienregel angegebenen Anzahl von Minuten kein Konfigurationselement dafür erhalten.

Der Zeitraum für die Richtlinienregel hat eine Standardeinstellung von null Minuten. Sie können den Zeitraum jedoch auf bis zu 365 Tage (525.600 Minuten) erhöhen, um Zeit zu haben, neue Sicherheitsgruppen Ressourcen zuzuordnen.

Wichtig

Wenn Sie eine andere Anzahl von Minuten als den Standardwert Null angeben, müssen Sie indirekte Beziehungen in aktivieren. AWS Config Andernfalls funktionieren Ihre Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung nicht wie vorgesehen. Informationen zu indirekten Beziehungen finden Sie unter Indirekte Beziehungen AWS Config im AWS Config Entwicklerhandbuch. AWS Config

Firewall Manager behebt ungenutzte Sicherheitsgruppen, indem er sie nach Möglichkeit gemäß Ihren Regeleinstellungen aus Ihrem Konto löscht. Wenn Firewall Manager eine Sicherheitsgruppe nicht löschen kann, wird sie als nicht richtlinienkonform markiert. Firewall Manager kann keine Sicherheitsgruppe löschen, auf die von einer anderen Sicherheitsgruppe verwiesen wird.

Der Zeitpunkt der Behebung hängt davon ab, ob Sie die Standardeinstellung für den Zeitraum oder eine benutzerdefinierte Einstellung verwenden:

  • Der Zeitraum ist auf Null gesetzt, die Standardeinstellung — Mit dieser Einstellung gilt eine Sicherheitsgruppe als unbenutzt, sobald sie nicht von einer EC2 Amazon-Instance oder einer elastic network interface verwendet wird.

    Bei dieser Einstellung für einen Zeitraum von Null korrigiert Firewall Manager die Sicherheitsgruppe sofort.

  • Zeitraum größer als Null — Mit dieser Einstellung gilt eine Sicherheitsgruppe als unbenutzt, wenn sie nicht von einer EC2 Amazon-Instance oder elastic network interface verwendet wird und Firewall Manager innerhalb der angegebenen Anzahl von Minuten kein Konfigurationselement für sie erhalten hat.

    Bei einer Zeitraumeinstellung ungleich Null behebt Firewall Manager die Sicherheitsgruppe, nachdem sie 24 Stunden lang im unbenutzten Zustand geblieben ist.

Standardkontenspezifikation

Wenn Sie über die Konsole eine Sicherheitsgruppenrichtlinie für die Nutzungsüberwachung erstellen, wählt Firewall Manager automatisch die Option Die angegebenen Konten ausschließen und alle anderen einbeziehen. Der Dienst fügt dann das Firewall Manager Manager-Administratorkonto in die Liste ein, die ausgeschlossen werden soll. Dies ist der empfohlene Ansatz, mit dem Sie die Sicherheitsgruppen, die zum Firewall Manager Manager-Administratorkonto gehören, manuell verwalten können.