Sicherheitsgruppenrichtlinien - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Gemeinsame SicherheitsgruppenrichtlinienInhaltsprüfungssicherheitsgruppenrichtlinienNutzungsprüfungssicherheitsgruppenrichtlinienBewährte MethodenVorbehalte und Einschränkungen der SicherheitsgruppenrichtlinienAnwendungsfälle für Sicherheitsgruppenrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheitsgruppenrichtlinien

Sie können AWS Firewall Manager Sicherheitsgruppenrichtlinien verwenden, um Amazon Virtual Private Cloud-Sicherheitsgruppen für Ihre Organisation in zu verwalten AWS Organizations. Sie können zentral gesteuerte Sicherheitsgruppenrichtlinien auf Ihre gesamte Organisation oder auf eine ausgewählte Teilmenge Ihrer Konten und Ressourcen anwenden. Sie können auch die Sicherheitsgruppenrichtlinien, die in Ihrer Organisation verwendet werden, mit Prüfungs- und Verwendungssicherheitsgruppenrichtlinien überwachen und verwalten.

Firewall Manager verwaltet Ihre Richtlinien kontinuierlich und wendet sie auf Konten und Ressourcen an, sobald sie in Ihrem Unternehmen hinzugefügt oder aktualisiert werden. Informationen dazu AWS Organizations finden Sie im AWS Organizations Benutzerhandbuch.

Informationen zu Amazon Virtual Private Cloud-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Sie können die Sicherheitsgruppenrichtlinien von Firewall Manager verwenden, um in Ihrer gesamten AWS Organisation Folgendes zu tun:

  • Anwenden gemeinsamer Sicherheitsgruppen auf bestimmte Konten und Ressourcen.

  • Prüfen von Sicherheitsgruppenregeln, um nicht konforme Regeln zu finden und zu korrigieren.

  • Prüfen der Verwendung von Sicherheitsgruppen, um nicht verwendete und redundante Sicherheitsgruppen zu bereinigen.

Dieser Abschnitt beschreibt, wie die Sicherheitsgruppenrichtlinien von Firewall Manager funktionieren, und bietet Anleitungen zu ihrer Verwendung. Verfahren zum Erstellen von Sicherheitsgruppenrichtlinien finden Sie unterEine AWS Firewall Manager Richtlinie erstellen.

Gemeinsame Sicherheitsgruppenrichtlinien

Mit einer gemeinsamen Sicherheitsgruppenrichtlinie ermöglicht Firewall Manager eine zentral gesteuerte Zuordnung von Sicherheitsgruppen zu Konten und Ressourcen in Ihrem Unternehmen. Sie geben an, wo und wie die Richtlinie in Ihrer Organisation angewendet werden soll.

Sie können gemeinsame Sicherheitsgruppenrichtlinien auf die folgenden Ressourcentypen anwenden:

  • Amazon Elastic Compute Cloud (Amazon EC2) -Instanz

  • Elastische Netzwerkschnittstelle

  • Application Load Balancer

  • Classic Load Balancer

Hinweise zur Erstellung einer gemeinsamen Sicherheitsgruppenrichtlinie mithilfe der Konsole finden Sie unterErstellen einer gemeinsamen Sicherheitsgruppenrichtlinie.

Freigegebene VPCs

Sie können in den Geltungsbereichseinstellungen für eine allgemeine Sicherheitsgruppenrichtlinie auch freigegebene VPCs aufnehmen. Diese Auswahl beinhaltet auch VPCs, die einem anderen Konto gehören und für ein Konto im Geltungsbereich freigegeben werden. VPCs, die Konten im Geltungsbereich gehören, sind immer enthalten. Informationen zu gemeinsam genutzten VPCs finden Sie unter Arbeiten mit gemeinsam genutzten VPCs im Amazon VPC-Benutzerhandbuch.

Die folgenden Vorbehalte gelten für das Einbeziehen gemeinsam genutzter VPCs. Diese gelten zusätzlich zu den allgemeinen Vorsichtsmaßnahmen für Sicherheitsgruppenrichtlinien unter. Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien

  • Firewall Manager repliziert die primäre Sicherheitsgruppe in die VPCs für jedes in den Geltungsbereich fallende Konto. Bei einer gemeinsam genutzten VPC repliziert Firewall Manager die primäre Sicherheitsgruppe einmal für jedes Konto im Geltungsbereich, mit dem die VPC gemeinsam genutzt wird. Dies kann in einer einzelnen gemeinsam genutzten VPC zu mehreren Replikaten führen.

  • Wenn Sie eine neue gemeinsam genutzte VPC erstellen, wird sie in den Details der Sicherheitsgruppenrichtlinie von Firewall Manager erst angezeigt, nachdem Sie mindestens eine Ressource in der VPC erstellt haben, die in den Geltungsbereich der Richtlinie fällt.

  • Wenn Sie gemeinsam genutzte VPCs in einer Richtlinie deaktivieren, für die gemeinsam genutzte VPCs aktiviert waren, löscht Firewall Manager in den gemeinsam genutzten VPCs die Replikatsicherheitsgruppen, die keinen Ressourcen zugeordnet sind. Firewall Manager behält die verbleibenden Replikatsicherheitsgruppen bei, verwaltet sie jedoch nicht mehr. Das Entfernen dieser verbleibenden Sicherheitsgruppen erfordert eine manuelle Verwaltung in jeder freigegebenen VPC-Instance.

Primäre Sicherheitsgruppen

Für jede gemeinsame Sicherheitsgruppenrichtlinie geben AWS Firewall Manager Sie eine oder mehrere primäre Sicherheitsgruppen an:

  • Primäre Sicherheitsgruppen müssen vom Firewall Manager Manager-Administratorkonto erstellt werden und können sich in jeder Amazon VPC-Instance des Kontos befinden.

  • Sie verwalten Ihre primären Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2). Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppen im Amazon VPC-Benutzerhandbuch.

  • Sie können eine oder mehrere Sicherheitsgruppen als primäre Gruppen für eine Firewall Manager Manager-Sicherheitsgruppenrichtlinie benennen. Standardmäßig ist die Anzahl der zulässigen Sicherheitsgruppen in einer Richtlinie auf eine Sicherheitsgruppe eingeschränkt. Sie können jedoch eine Anforderung zum Erhöhen des Kontingents absenden. Weitere Informationen finden Sie unter AWS Firewall Manager Kontingente.

Richtlinienregeleinstellungen

Sie können eines oder mehrere der folgenden Verhaltensweisen zur Änderungskontrolle für die Sicherheitsgruppen und Ressourcen Ihrer gemeinsamen Sicherheitsgruppenrichtlinie wählen:

  • Identifizieren Sie alle Änderungen, die lokale Benutzer an replizierten Sicherheitsgruppen vorgenommen haben, und berichten Sie darüber.

  • Trennen Sie alle anderen Sicherheitsgruppen von den AWS Ressourcen, die in den Geltungsbereich der Richtlinie fallen.

  • Verteilen Sie Tags von der primären Gruppe an die replizierten Sicherheitsgruppen.

    Wichtig

    Firewall Manager verteilt keine Systemtags, die von AWS Diensten hinzugefügt wurden, an die Replikat-Sicherheitsgruppen. System-Tags beginnen mit dem Präfix aws:. Darüber hinaus aktualisiert Firewall Manager die Tags vorhandener Sicherheitsgruppen nicht und erstellt auch keine neuen Sicherheitsgruppen, wenn die Richtlinie Tags enthält, die mit der Tag-Richtlinie der Organisation in Konflikt stehen. Informationen zu Tag-Richtlinien finden Sie unter Tag-Richtlinien im AWS Organizations Benutzerhandbuch.

  • Verteilen Sie Sicherheitsgruppenreferenzen von der primären Gruppe auf die replizierten Sicherheitsgruppen.

    Auf diese Weise können Sie auf einfache Weise allgemeine Regeln für die Referenzierung von Sicherheitsgruppen für alle im Geltungsbereich befindlichen Ressourcen für Instances einrichten, die der VPC der angegebenen Sicherheitsgruppe zugeordnet sind. Wenn Sie diese Option aktivieren, gibt Firewall Manager die Sicherheitsgruppenverweise nur dann weiter, wenn die Sicherheitsgruppen auf Peer-Sicherheitsgruppen in Amazon Virtual Private Cloud verweisen. Wenn die replizierten Sicherheitsgruppen nicht korrekt auf die Peer-Sicherheitsgruppe verweisen, markiert Firewall Manager diese replizierten Sicherheitsgruppen als nicht konform. Informationen zum Referenzieren von Peer-Sicherheitsgruppen in Amazon VPC finden Sie unter Aktualisieren Sie Ihre Sicherheitsgruppen, um Peer-Sicherheitsgruppen zu referenzieren im Amazon VPC Peering Guide.

    Wenn Sie diese Option nicht aktivieren, gibt Firewall Manager keine Sicherheitsgruppenverweise an die Replikatsicherheitsgruppen weiter. Informationen zum VPC-Peering in Amazon VPC finden Sie im Amazon VPC Peering Guide.

Erstellung und Verwaltung von Richtlinien

Wenn Sie Ihre gemeinsame Sicherheitsgruppenrichtlinie erstellen, repliziert Firewall Manager die primären Sicherheitsgruppen auf jede Amazon VPC-Instance innerhalb des Richtlinienbereichs und ordnet die replizierten Sicherheitsgruppen Konten und Ressourcen zu, die in den Geltungsbereich der Richtlinie fallen. Wenn Sie eine primäre Sicherheitsgruppe ändern, leitet Firewall Manager die Änderung an die Replikate weiter.

Wenn Sie eine gemeinsame Sicherheitsgruppenrichtlinie löschen, können Sie auswählen, ob die von der Richtlinie erstellten Ressourcen bereinigt werden sollen. Für allgemeine Sicherheitsgruppen von Firewall Manager sind diese Ressourcen die Replikat-Sicherheitsgruppen. Wählen Sie die Bereinigungsoption, es sei denn, Sie möchten jedes einzelne Replikat manuell verwalten, nachdem die Richtlinie gelöscht wurde. In den meisten Situationen ist die Auswahl der Bereinigungsoption der einfachste Ansatz.

Verwalten von Replikaten

Die Replikat-Sicherheitsgruppen in den Amazon VPC-Instances werden wie andere Amazon VPC-Sicherheitsgruppen verwaltet. Weitere Informationen finden Sie unter Sicherheitsgruppen für Ihre VPC im Amazon VPC-Benutzerhandbuch.

Inhaltsprüfungssicherheitsgruppenrichtlinien

Verwenden Sie Sicherheitsgruppenrichtlinien für die AWS Firewall Manager Inhaltsüberwachung, um die Regeln, die in den Sicherheitsgruppen Ihres Unternehmens verwendet werden, zu überwachen und Richtlinienaktionen darauf anzuwenden. Die Sicherheitsgruppenrichtlinien für die Inhaltsüberwachung gelten für alle von Kunden erstellten Sicherheitsgruppen, die in Ihrer AWS Organisation verwendet werden, und zwar entsprechend dem von Ihnen in der Richtlinie definierten Geltungsbereich.

Hinweise zur Erstellung einer Sicherheitsgruppenrichtlinie für Inhaltsaudits mithilfe der Konsole finden Sie unterErstellen einer Inhaltsprüfungssicherheitsgruppenrichtlinie.

Richtlinienbereich-Ressourcentyp

Sie können Gruppenrichtlinien für die Inhaltsüberwachung auf die folgenden Ressourcentypen anwenden:

  • Amazon Elastic Compute Cloud (Amazon EC2) -Instanz

  • Elastische Netzwerkschnittstelle

  • Amazon VPC-Sicherheitsgruppe

Sicherheitsgruppen werden im Geltungsbereich der Richtlinie berücksichtigt, wenn sie sich explizit im Geltungsbereich befinden oder wenn sie Ressourcen zugeordnet sind, die sich im Geltungsbereich befinden.

Optionen für Richtlinienregeln

Sie können entweder verwaltete oder benutzerdefinierte Richtlinienregeln für jede Inhaltsüberwachungsrichtlinie verwenden, aber nicht beide.

  • Verwaltete Richtlinienregeln — In einer Richtlinie mit verwalteten Regeln können Sie mithilfe von Anwendungs- und Protokolllisten steuern, welche Regeln Firewall Manager prüft und entweder als konform oder nicht konform kennzeichnet. Sie können Listen verwenden, die von Firewall Manager verwaltet werden. Sie können auch Ihre eigenen Anwendungs- und Protokolllisten erstellen und verwenden. Informationen zu diesen Listentypen und Ihren Verwaltungsoptionen für benutzerdefinierte Listen finden Sie unterVerwaltete Listen.

  • Benutzerdefinierte Richtlinienregeln — In einer Richtlinie mit benutzerdefinierten Richtlinienregeln geben Sie eine vorhandene Sicherheitsgruppe als Überwachungssicherheitsgruppe für Ihre Richtlinie an. Sie können die Regeln für die Audit-Sicherheitsgruppe als Vorlage verwenden, die die Regeln definiert, die Firewall Manager prüft und entweder als konform oder nicht konform kennzeichnet.

Sicherheitsgruppen überwachen

Sie müssen Audit-Sicherheitsgruppen mit Ihrem Firewall Manager Manager-Administratorkonto erstellen, bevor Sie sie in Ihrer Richtlinie verwenden können. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppen im Amazon VPC-Benutzerhandbuch.

Eine Sicherheitsgruppe, die Sie für eine Sicherheitsgruppenrichtlinie zur Inhaltsüberwachung verwenden, wird von Firewall Manager nur als Vergleichsreferenz für die Sicherheitsgruppen verwendet, die in den Geltungsbereich der Richtlinie fallen. Firewall Manager ordnet es keinen Ressourcen in Ihrer Organisation zu.

Die Art und Weise, wie Sie die Regeln in der Audit-Sicherheitsgruppe definieren, hängt von Ihren Entscheidungen in den Einstellungen der Richtlinienregeln ab:

  • Verwaltete Richtlinienregeln — Bei Einstellungen für verwaltete Richtlinienregeln verwenden Sie eine Auditsicherheitsgruppe, um andere Einstellungen in der Richtlinie außer Kraft zu setzen und Regeln, die andernfalls zu einem anderen Konformitätsergebnis führen könnten, explizit zuzulassen oder abzulehnen.

    • Wenn Sie festlegen, dass die in der Auditsicherheitsgruppe definierten Regeln immer zugelassen werden, gilt jede Regel, die einer Regel entspricht, die in der Auditsicherheitsgruppe definiert ist, unabhängig von den anderen Richtlinieneinstellungen als richtlinienkonform.

    • Wenn Sie festlegen, dass die in der Auditsicherheitsgruppe definierten Regeln immer abgelehnt werden, gilt jede Regel, die mit einer Regel übereinstimmt, die in der Auditsicherheitsgruppe definiert ist, unabhängig von den anderen Richtlinieneinstellungen als nicht richtlinienkonform.

  • Benutzerdefinierte Richtlinienregeln — Für benutzerdefinierte Richtlinienregeleinstellungen bietet die Audit-Sicherheitsgruppe ein Beispiel dafür, was in den im Geltungsbereich enthaltenen Sicherheitsgruppenregeln zulässig oder nicht akzeptabel ist:

    • Wenn Sie sich dafür entscheiden, die Verwendung der Regeln zuzulassen, dürfen alle in den Geltungsbereich fallenden Sicherheitsgruppen nur Regeln haben, die innerhalb des zulässigen Bereichs der Audit-Sicherheitsgruppenregeln der Richtlinie liegen. In diesem Fall sind die Sicherheitsgruppenregeln der Richtlinie ein Beispiel dafür, was zulässig ist.

    • Wenn Sie sich dafür entscheiden, die Verwendung der Regeln zu verweigern, dürfen alle Sicherheitsgruppen im Geltungsbereich nur Regeln haben, die nicht innerhalb des zulässigen Bereichs der Überwachungssicherheitsgruppenregeln der Richtlinie liegen. In diesem Fall ist die Sicherheitsgruppe der Richtlinie ein Beispiel dafür, was nicht zulässig ist.

Erstellung und Verwaltung von Richtlinien

Wenn Sie eine Prüfungssicherheitsgruppenrichtlinie erstellen, müssen Sie die automatische Korrektur deaktiviert haben. Die empfohlene Vorgehensweise besteht darin, die Auswirkungen der Richtlinienerstellung zu überprüfen, bevor die automatische Korrektur aktiviert wird. Nachdem Sie die erwarteten Auswirkungen überprüft haben, können Sie die Richtlinie bearbeiten und die automatische Korrektur aktivieren. Wenn die automatische Problembehebung aktiviert ist, aktualisiert oder entfernt Firewall Manager Regeln, die in den Geltungsbereich der Sicherheitsgruppen nicht konform sind.

Sicherheitsgruppen, die von einer Prüfungssicherheitsgruppenrichtlinie betroffen sind

Alle Sicherheitsgruppen in Ihrer Organisation, die vom Kunden erstellt wurden, können im Geltungsbereich einer Prüfungssicherheitsgruppenrichtlinie liegen.

Replikat-Sicherheitsgruppen werden nicht vom Kunden erstellt und können sich daher nicht direkt im Bereich einer Prüfungssicherheitsgruppenrichtlinie befinden. Sie können jedoch aufgrund der automatischen Korrekturaktivitäten der Richtlinie aktualisiert werden. Die primäre Sicherheitsgruppe einer gemeinsamen Sicherheitsgruppenrichtlinie wird vom Kunden erstellt und kann sich im Bereich einer Prüfungssicherheitsgruppenrichtlinie befinden. Wenn eine Audit-Sicherheitsgruppenrichtlinie Änderungen an einer primären Sicherheitsgruppe vornimmt, leitet Firewall Manager diese Änderungen automatisch an die Replikate weiter.

Nutzungsprüfungssicherheitsgruppenrichtlinien

Verwenden Sie Sicherheitsgruppenrichtlinien zur AWS Firewall Manager Nutzungsüberwachung, um Ihr Unternehmen auf ungenutzte und redundante Sicherheitsgruppen zu überwachen und optional eine Säuberung durchzuführen. Wenn Sie die automatische Wiederherstellung für diese Richtlinie aktivieren, geht Firewall Manager wie folgt vor:

  1. Konsolidierung redundanter Sicherheitsgruppen, wenn Sie diese Option ausgewählt haben.

  2. Entfernen nicht verwendeter Sicherheitsgruppen, wenn Sie diese Option ausgewählt haben.

Sie können Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung auf den folgenden Ressourcentyp anwenden:

  • Amazon VPC-Sicherheitsgruppe

Hinweise zur Erstellung einer Sicherheitsgruppenrichtlinie für die Nutzungsüberwachung mithilfe der Konsole finden Sie unterErstellen einer Nutzungsprüfungssicherheitsgruppenrichtlinie.

Wie Firewall Manager redundante Sicherheitsgruppen erkennt und behebt

Damit Sicherheitsgruppen als redundant betrachtet werden können, müssen für sie genau dieselben Regeln festgelegt sein und sie müssen sich in derselben Amazon VPC-Instance befinden.

Um einen redundanten Sicherheitsgruppensatz zu korrigieren, wählt Firewall Manager eine der Sicherheitsgruppen in der Gruppe aus, die beibehalten werden soll, und ordnet sie dann allen Ressourcen zu, die den anderen Sicherheitsgruppen in der Gruppe zugeordnet sind. Firewall Manager trennt dann die anderen Sicherheitsgruppen von den Ressourcen, denen sie zugeordnet waren, sodass sie nicht mehr verwendet werden.

Anmerkung

Wenn Sie sich auch dafür entschieden haben, nicht verwendete Sicherheitsgruppen zu entfernen, erledigt Firewall Manager dies als Nächstes. Möglicherweise werden dadurch die Sicherheitsgruppen entfernt, die sich in der redundanten Gruppe befinden.

Wie Firewall Manager ungenutzte Sicherheitsgruppen erkennt und behebt

Firewall Manager betrachtet eine Sicherheitsgruppe als unbenutzt, wenn beide der folgenden Bedingungen zutreffen:

  • Die Sicherheitsgruppe wird von keiner Amazon EC2 EC2-Instance oder Amazon EC2 EC2-Elastic elastic network interface verwendet.

  • Firewall Manager hat innerhalb der im Zeitraum der Richtlinienregel angegebenen Anzahl von Minuten kein Konfigurationselement dafür erhalten.

Der Zeitraum für die Richtlinienregel hat eine Standardeinstellung von null Minuten. Sie können den Zeitraum jedoch auf bis zu 365 Tage (525.600 Minuten) erhöhen, um Zeit zu haben, neue Sicherheitsgruppen Ressourcen zuzuordnen.

Wichtig

Wenn Sie eine andere Anzahl von Minuten als den Standardwert Null angeben, müssen Sie indirekte Beziehungen in aktivieren. AWS Config Andernfalls funktionieren Ihre Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung nicht wie vorgesehen. Informationen zu indirekten Beziehungen finden Sie unter Indirekte Beziehungen AWS Config im AWS Config Entwicklerhandbuch. AWS Config

Firewall Manager behebt ungenutzte Sicherheitsgruppen, indem er sie nach Möglichkeit gemäß Ihren Regeleinstellungen aus Ihrem Konto löscht. Wenn Firewall Manager eine Sicherheitsgruppe nicht löschen kann, wird sie als nicht richtlinienkonform markiert. Firewall Manager kann keine Sicherheitsgruppe löschen, auf die von einer anderen Sicherheitsgruppe verwiesen wird.

Der Zeitpunkt der Behebung hängt davon ab, ob Sie die Standardeinstellung für den Zeitraum oder eine benutzerdefinierte Einstellung verwenden:

  • Der Zeitraum ist auf Null gesetzt, die Standardeinstellung — Mit dieser Einstellung gilt eine Sicherheitsgruppe als unbenutzt, sobald sie nicht von einer Amazon EC2 EC2-Instance oder einer elastic network interface verwendet wird.

    Bei dieser Einstellung für einen Zeitraum von Null korrigiert Firewall Manager die Sicherheitsgruppe sofort.

  • Zeitraum größer als Null — Mit dieser Einstellung gilt eine Sicherheitsgruppe als unbenutzt, wenn sie nicht von einer Amazon EC2 EC2-Instance oder elastic network interface verwendet wird und Firewall Manager innerhalb der angegebenen Anzahl von Minuten kein Konfigurationselement für sie erhalten hat.

    Bei einer Zeitraumeinstellung ungleich Null behebt Firewall Manager die Sicherheitsgruppe, nachdem sie 24 Stunden lang im unbenutzten Zustand geblieben ist.

Standardkontenspezifikation

Wenn Sie über die Konsole eine Sicherheitsgruppenrichtlinie für die Nutzungsüberwachung erstellen, wählt Firewall Manager automatisch die Option Die angegebenen Konten ausschließen und alle anderen einbeziehen. Der Dienst fügt dann das Firewall Manager Manager-Administratorkonto in die Liste ein, die ausgeschlossen werden soll. Dies ist der empfohlene Ansatz, mit dem Sie die Sicherheitsgruppen, die zum Firewall Manager Manager-Administratorkonto gehören, manuell verwalten können.

Bewährte Methoden für Sicherheitsgruppenrichtlinien

In diesem Abschnitt werden Empfehlungen zum Verwalten von Sicherheitsgruppen mit AWS Firewall Manager erläutert:

Schließen Sie das Firewall Manager Manager-Administratorkonto aus

Wenn Sie den Geltungsbereich der Richtlinie festlegen, schließen Sie das Firewall Manager Manager-Administratorkonto aus. Wenn Sie eine Nutzungsprüfungssicherheitsgruppenrichtlinie über die Konsole erstellen, ist dies die Standardoption.

Beginnen Sie mit deaktivierter automatischer Korrektur

Bei Content- oder Nutzungsprüfungssicherheitsgruppenrichtlinien sollten Sie die automatische Korrektur deaktivieren. Überprüfen Sie die Richtliniendetails, um festzustellen, welche Auswirkungen die automatische Korrektur haben würde. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie, um die automatische Korrektur zu aktivieren.

Vermeiden Sie Konflikte, wenn Sie zum Verwalten von Sicherheitsgruppen auch externe Quellen verwenden

Wenn Sie zur Verwaltung von Sicherheitsgruppen ein anderes Tool oder einen anderen Dienst als Firewall Manager verwenden, achten Sie darauf, Konflikte zwischen Ihren Einstellungen in Firewall Manager und den Einstellungen in Ihrer externen Quelle zu vermeiden. Wenn Sie die automatische Korrektur verwenden und Ihre Einstellungen Konflikte verursachen, kann dies zu einer Kette von widersprüchlichen Korrekturen führen, bei der Ressourcen auf beiden Seiten verbraucht werden.

Angenommen, Sie konfigurieren einen anderen Dienst, um eine Sicherheitsgruppe für eine Reihe von AWS Ressourcen zu verwalten, und Sie konfigurieren eine Firewall Manager Manager-Richtlinie, um eine andere Sicherheitsgruppe für einige oder alle derselben Ressourcen zu verwalten. Wenn Sie eine der beiden Seiten so konfigurieren, dass die Zuordnung einer anderen Sicherheitsgruppe zu den Ressourcen des Bereichs nicht zulässig ist, entfernt diese Seite die Zuordnung der Sicherheitsgruppe, die von der anderen Seite aufrechterhalten wird. Wenn beide Seiten auf diese Weise konfiguriert sind, kann dies zu einem Kreislauf widersprüchlicher Dissoziationen und Assoziationen führen.

Nehmen wir außerdem an, Sie erstellen eine Firewall Manager Manager-Überwachungsrichtlinie, um eine Sicherheitsgruppenkonfiguration durchzusetzen, die mit der Sicherheitsgruppenkonfiguration des anderen Dienstes in Konflikt steht. Die von der Firewall Manager Manager-Überwachungsrichtlinie angewandte Korrektur kann diese Sicherheitsgruppe aktualisieren oder löschen, wodurch sie für den anderen Dienst nicht mehr richtlinientreu ist. Wenn der andere Dienst so konfiguriert ist, dass er alle gefundenen Probleme überwacht und automatisch behebt, erstellt er die Sicherheitsgruppe neu oder aktualisiert sie, wodurch sie erneut nicht mehr den Firewall-Manager-Überwachungsrichtlinien entspricht. Wenn die Firewall Manager Manager-Überwachungsrichtlinie mit automatischer Behebung konfiguriert ist, aktualisiert oder löscht sie erneut die externe Sicherheitsgruppe usw.

Um solche Konflikte zu vermeiden, sollten Sie Konfigurationen zwischen Firewall Manager und externen Quellen erstellen, die sich gegenseitig ausschließen.

Sie können Tagging verwenden, um externe Sicherheitsgruppen von der automatischen Problembehebung durch Ihre Firewall Manager Manager-Richtlinien auszuschließen. Fügen Sie dazu den Sicherheitsgruppen oder anderen Ressourcen ein oder mehrere Tags hinzu, die von der externen Quelle verwaltet werden. Wenn Sie dann den Geltungsbereich der Firewall Manager Manager-Richtlinie definieren, schließen Sie in Ihrer Ressourcenspezifikation Ressourcen aus, die das oder die Tags haben, die Sie hinzugefügt haben.

Ebenso sollten Sie in Ihrem externen Tool oder Dienst die von Firewall Manager verwalteten Sicherheitsgruppen von allen Verwaltungs- oder Überwachungsaktivitäten ausschließen. Importieren Sie die Firewall Manager Manager-Ressourcen entweder nicht oder verwenden Sie Firewall Manager-spezifisches Tagging, um sie von der externen Verwaltung auszuschließen.

Bewährte Methoden für die Nutzungsprüfung und Sicherheitsgruppenrichtlinien

Beachten Sie diese Richtlinien, wenn Sie Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung verwenden.

  • Vermeiden Sie es, innerhalb kurzer Zeit, z. B. innerhalb eines Zeitfensters von 15 Minuten, mehrere Änderungen am Zuordnungsstatus einer Sicherheitsgruppe vorzunehmen. Dies kann dazu führen, dass Firewall Manager einige oder alle der entsprechenden Ereignisse verpasst. Ordnen Sie beispielsweise eine Sicherheitsgruppe nicht schnell einer elastic network interface zu oder trennen Sie sie.

Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien

In diesem Abschnitt werden die Vorbehalte und Einschränkungen für die Verwendung von Firewall Manager Manager-Sicherheitsgruppenrichtlinien aufgeführt:

  • Das Aktualisieren von Sicherheitsgruppen für elastische Amazon EC2 EC2-Netzwerkschnittstellen, die mit dem Fargate-Servicetyp erstellt wurden, wird nicht unterstützt. Sie können jedoch Sicherheitsgruppen für elastische Netzwerkschnittstellen von Amazon ECS mit dem Amazon EC2-Servicetyp aktualisieren.

  • Firewall Manager unterstützt keine Sicherheitsgruppen für Amazon EC2 Elastic Network Interfaces, die vom Amazon Relational Database Service erstellt wurden.

  • Die Aktualisierung von Amazon ECS Elastic Network Interfaces ist nur für Amazon ECS-Services möglich, die den Rolling Update (Amazon ECS) Deployment Controller verwenden. Für andere Amazon ECS-Bereitstellungscontroller wie CODE_DEPLOY oder externe Controller kann Firewall Manager die elastischen Netzwerkschnittstellen derzeit nicht aktualisieren.

  • Bei Sicherheitsgruppen für elastische Netzwerkschnittstellen von Amazon EC2 sind Änderungen an einer Sicherheitsgruppe für Firewall Manager nicht sofort sichtbar. Der Firewall Manager erkennt Änderungen normalerweise innerhalb weniger Stunden, die Erkennung kann sich jedoch um bis zu sechs Stunden verzögern.

  • Firewall Manager unterstützt die Aktualisierung von Sicherheitsgruppen in elastischen Netzwerkschnittstellen für Network Load Balancer nicht.

  • In gängigen Sicherheitsgruppenrichtlinien gilt Folgendes: Wenn eine gemeinsam genutzte VPC später nicht mehr mit einem Konto geteilt wird, löscht Firewall Manager die Replikat-Sicherheitsgruppen im Konto nicht.

  • Wenn Sie bei Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mehrere Richtlinien mit einer benutzerdefinierten Verzögerungszeiteinstellung erstellen, die alle denselben Geltungsbereich haben, ist die erste Richtlinie mit den Konformitätsergebnissen die Richtlinie, die die Ergebnisse meldet.

Anwendungsfälle für Sicherheitsgruppenrichtlinien

Sie können AWS Firewall Manager allgemeine Sicherheitsgruppenrichtlinien verwenden, um die Host-Firewall-Konfiguration für die Kommunikation zwischen Amazon VPC-Instances zu automatisieren. In diesem Abschnitt werden die Amazon VPC-Standardarchitekturen aufgeführt und beschrieben, wie die einzelnen Architekturen mithilfe der allgemeinen Sicherheitsgruppenrichtlinien von Firewall Manager gesichert werden können. Diese Sicherheitsgruppenrichtlinien können Ihnen helfen, ein einheitliches Regelwerk anzuwenden, um Ressourcen in verschiedenen Konten auszuwählen und Konfigurationen pro Konto in Amazon Elastic Compute Cloud und Amazon VPC zu vermeiden.

Mit den allgemeinen Sicherheitsgruppenrichtlinien von Firewall Manager können Sie nur die EC2-Elastic Network-Schnittstellen taggen, die Sie für die Kommunikation mit Instances in einer anderen Amazon VPC benötigen. Die anderen Instances in derselben Amazon VPC sind dann sicherer und isolierter.

Anwendungsfall: Überwachung und Steuerung von Anfragen an Application Load Balancers und Classic Load Balancers

Sie können eine allgemeine Sicherheitsgruppenrichtlinie von Firewall Manager verwenden, um zu definieren, welche Anfragen Ihre Load Balancer im Geltungsbereich bearbeiten sollen. Sie können dies über die Firewall Manager Manager-Konsole konfigurieren. Nur Anfragen, die den Regeln der Sicherheitsgruppe für eingehende Nachrichten entsprechen, können Ihre Load Balancer erreichen, und die Load Balancer verteilen nur Anfragen, die den Regeln für ausgehende Nachrichten entsprechen.

Anwendungsfall: Über das Internet zugängliche, öffentliche Amazon VPC

Sie können eine allgemeine Sicherheitsgruppenrichtlinie von Firewall Manager verwenden, um eine öffentliche Amazon-VPC zu sichern, um beispielsweise nur den eingehenden Port 443 zuzulassen. Dies entspricht dem ausschließlichen Zulassen eingehenden HTTPS-Datenverkehrs für eine öffentliche VPC. Sie können öffentliche Ressourcen innerhalb der VPC taggen (z. B. als „PublicVPC“) und dann den Geltungsbereich der Firewall Manager Manager-Richtlinie auf nur Ressourcen mit diesem Tag festlegen. Firewall Manager wendet die Richtlinie automatisch auf diese Ressourcen an.

Anwendungsfall: Öffentliche und private Amazon VPC-Instances

Sie können dieselbe gemeinsame Sicherheitsgruppenrichtlinie für öffentliche Ressourcen verwenden, die im vorherigen Anwendungsfall für über das Internet zugängliche, öffentliche Amazon VPC-Instances empfohlen wurde. Sie können eine zweite gemeinsame Sicherheitsgruppenrichtlinie verwenden, um die Kommunikation zwischen öffentlichen und privaten Ressourcen zu beschränken. Kennzeichnen Sie die Ressourcen in den öffentlichen und privaten Amazon VPC-Instances mit etwas wie "PublicPrivate", um die zweite Richtlinie auf sie anzuwenden. Sie können eine dritte Richtlinie verwenden, um die zulässige Kommunikation zwischen den privaten Ressourcen und anderen Unternehmens- oder privaten Amazon VPC-Instances zu definieren. Für diese Richtlinie können Sie ein anderes identifizierendes Tag für die privaten Ressourcen verwenden.

Anwendungsfall: Hub-and-Spoke-Amazon VPC-Instances

Sie können eine gemeinsame Sicherheitsgruppenrichtlinie verwenden, um die Kommunikation zwischen der Amazon VPC-Hub-Instance und Spoke-Amazon VPC-Instances zu definieren. Sie können eine zweite Richtlinie verwenden, um die Kommunikation von jeder Amazon VPC-Instance mit der Amazon VPC-Hub-Instance zu definieren.

Anwendungsfall: Standard-Netzwerkschnittstelle für Amazon EC2 EC2-Instances

Sie können eine gemeinsame Sicherheitsgruppenrichtlinie verwenden, um nur Standardkommunikationen zuzulassen, z. B. interne SSH- und Patch-/OS-Aktualisierungsservices, und um andere unsichere Kommunikationsformen zu verhindern.

Anwendungsfall: Identifizieren Sie Ressourcen mit offenen Berechtigungen

Sie können eine Prüfungssicherheitsgruppenrichtlinie verwenden, um alle Ressourcen in Ihrer Organisation zu identifizieren, die über die Berechtigung zur Kommunikation mit öffentlichen IP-Adressen oder über IP-Adressen verfügen, die Drittanbietern gehören.