Verwenden von Firewall Manager Manager-Sicherheitsgruppenrichtlinien zur Verwaltung von VPC Amazon-Sicherheitsgruppen - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Bewährte Methoden für SicherheitsgruppenrichtlinienVorbehalte und Einschränkungen der SicherheitsgruppenrichtlinienAnwendungsfälle für Sicherheitsgruppenrichtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Firewall Manager Manager-Sicherheitsgruppenrichtlinien zur Verwaltung von VPC Amazon-Sicherheitsgruppen

Auf dieser Seite wird erklärt, wie Sie AWS Firewall Manager Sicherheitsgruppenrichtlinien verwenden, um Amazon Virtual Private Cloud-Sicherheitsgruppen für Ihr Unternehmen in zu verwalten AWS Organizations. Sie können zentral gesteuerte Sicherheitsgruppenrichtlinien auf Ihre gesamte Organisation oder auf eine ausgewählte Teilmenge Ihrer Konten und Ressourcen anwenden. Sie können auch die Sicherheitsgruppenrichtlinien, die in Ihrer Organisation verwendet werden, mit Prüfungs- und Verwendungssicherheitsgruppenrichtlinien überwachen und verwalten.

Firewall Manager verwaltet Ihre Richtlinien kontinuierlich und wendet sie auf Konten und Ressourcen an, sobald sie in Ihrem Unternehmen hinzugefügt oder aktualisiert werden. Informationen dazu AWS Organizations finden Sie im AWS Organizations Benutzerhandbuch.

Informationen zu Amazon Virtual Private Cloud-Sicherheitsgruppen finden Sie unter Sicherheitsgruppen für Sie VPC im VPCAmazon-Benutzerhandbuch.

Sie können die Sicherheitsgruppenrichtlinien von Firewall Manager verwenden, um in Ihrer gesamten AWS Organisation Folgendes zu tun:

  • Anwenden gemeinsamer Sicherheitsgruppen auf bestimmte Konten und Ressourcen.

  • Prüfen von Sicherheitsgruppenregeln, um nicht konforme Regeln zu finden und zu korrigieren.

  • Prüfen der Verwendung von Sicherheitsgruppen, um nicht verwendete und redundante Sicherheitsgruppen zu bereinigen.

Dieser Abschnitt beschreibt, wie die Sicherheitsgruppenrichtlinien von Firewall Manager funktionieren, und bietet Anleitungen zu ihrer Verwendung. Verfahren zum Erstellen von Sicherheitsgruppenrichtlinien finden Sie unterEine AWS Firewall Manager Richtlinie erstellen.

Bewährte Methoden für Sicherheitsgruppenrichtlinien

In diesem Abschnitt werden Empfehlungen zum Verwalten von Sicherheitsgruppen mit AWS Firewall Manager erläutert:

Schließen Sie das Firewall Manager Manager-Administratorkonto aus

Wenn Sie den Geltungsbereich der Richtlinie festlegen, schließen Sie das Firewall Manager Manager-Administratorkonto aus. Wenn Sie eine Nutzungsprüfungssicherheitsgruppenrichtlinie über die Konsole erstellen, ist dies die Standardoption.

Beginnen Sie mit deaktivierter automatischer Korrektur

Bei Content- oder Nutzungsprüfungssicherheitsgruppenrichtlinien sollten Sie die automatische Korrektur deaktivieren. Überprüfen Sie die Richtliniendetails, um festzustellen, welche Auswirkungen die automatische Korrektur haben würde. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie, um die automatische Korrektur zu aktivieren.

Vermeiden Sie Konflikte, wenn Sie zum Verwalten von Sicherheitsgruppen auch externe Quellen verwenden

Wenn Sie zur Verwaltung von Sicherheitsgruppen ein anderes Tool oder einen anderen Dienst als Firewall Manager verwenden, achten Sie darauf, Konflikte zwischen Ihren Einstellungen in Firewall Manager und den Einstellungen in Ihrer externen Quelle zu vermeiden. Wenn Sie die automatische Korrektur verwenden und Ihre Einstellungen Konflikte verursachen, kann dies zu einer Kette von widersprüchlichen Korrekturen führen, bei der Ressourcen auf beiden Seiten verbraucht werden.

Angenommen, Sie konfigurieren einen anderen Dienst, um eine Sicherheitsgruppe für eine Reihe von AWS Ressourcen zu verwalten, und Sie konfigurieren eine Firewall Manager Manager-Richtlinie, um eine andere Sicherheitsgruppe für einige oder alle derselben Ressourcen zu verwalten. Wenn Sie eine der beiden Seiten so konfigurieren, dass die Zuordnung einer anderen Sicherheitsgruppe zu den Ressourcen des Bereichs nicht zulässig ist, entfernt diese Seite die Zuordnung der Sicherheitsgruppe, die von der anderen Seite aufrechterhalten wird. Wenn beide Seiten auf diese Weise konfiguriert sind, kann dies zu einem Kreislauf widersprüchlicher Dissoziationen und Assoziationen führen.

Nehmen wir außerdem an, Sie erstellen eine Firewall Manager Manager-Überwachungsrichtlinie, um eine Sicherheitsgruppenkonfiguration durchzusetzen, die mit der Sicherheitsgruppenkonfiguration des anderen Dienstes in Konflikt steht. Die von der Firewall Manager Manager-Überwachungsrichtlinie angewandte Korrektur kann diese Sicherheitsgruppe aktualisieren oder löschen, wodurch sie für den anderen Dienst nicht mehr richtlinientreu ist. Wenn der andere Dienst so konfiguriert ist, dass er alle gefundenen Probleme überwacht und automatisch behebt, erstellt er die Sicherheitsgruppe neu oder aktualisiert sie, wodurch sie erneut nicht mehr den Firewall-Manager-Überwachungsrichtlinien entspricht. Wenn die Firewall Manager Manager-Überwachungsrichtlinie mit automatischer Behebung konfiguriert ist, aktualisiert oder löscht sie erneut die externe Sicherheitsgruppe usw.

Um solche Konflikte zu vermeiden, sollten Sie Konfigurationen zwischen Firewall Manager und externen Quellen erstellen, die sich gegenseitig ausschließen.

Sie können Tagging verwenden, um externe Sicherheitsgruppen von der automatischen Problembehebung durch Ihre Firewall Manager Manager-Richtlinien auszuschließen. Fügen Sie dazu den Sicherheitsgruppen oder anderen Ressourcen ein oder mehrere Tags hinzu, die von der externen Quelle verwaltet werden. Wenn Sie dann den Geltungsbereich der Firewall Manager Manager-Richtlinie definieren, schließen Sie in Ihrer Ressourcenspezifikation Ressourcen aus, die das oder die Tags haben, die Sie hinzugefügt haben.

Ebenso sollten Sie in Ihrem externen Tool oder Dienst die von Firewall Manager verwalteten Sicherheitsgruppen von allen Verwaltungs- oder Überwachungsaktivitäten ausschließen. Importieren Sie die Firewall Manager Manager-Ressourcen entweder nicht oder verwenden Sie Firewall Manager-spezifisches Tagging, um sie von der externen Verwaltung auszuschließen.

Bewährte Methoden für die Nutzungsprüfung und Sicherheitsgruppenrichtlinien

Beachten Sie diese Richtlinien, wenn Sie Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung verwenden.

  • Vermeiden Sie es, innerhalb kurzer Zeit, z. B. innerhalb eines Zeitfensters von 15 Minuten, mehrere Änderungen am Zuordnungsstatus einer Sicherheitsgruppe vorzunehmen. Dies kann dazu führen, dass Firewall Manager einige oder alle der entsprechenden Ereignisse verpasst. Ordnen Sie beispielsweise eine Sicherheitsgruppe nicht schnell einer elastic network interface zu oder trennen Sie sie.

Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien

In diesem Abschnitt werden die Vorbehalte und Einschränkungen für die Verwendung von Firewall Manager Manager-Sicherheitsgruppenrichtlinien aufgeführt.

Ressourcentyp: EC2 Amazon-Instanz

In diesem Abschnitt werden die Vorbehalte und Einschränkungen für den Schutz von EC2 Amazon-Instances mit Sicherheitsgruppenrichtlinien von Firewall Manager aufgeführt.

  • Bei Sicherheitsgruppen, die Amazon EC2 Elastic Network Interfaces (ENIs) schützen, sind Änderungen an einer Sicherheitsgruppe für Firewall Manager nicht sofort sichtbar. Der Firewall Manager erkennt Änderungen normalerweise innerhalb weniger Stunden, die Erkennung kann sich jedoch um bis zu sechs Stunden verzögern.

  • Firewall Manager unterstützt keine Sicherheitsgruppen für Amazon EC2ENIs, die vom Amazon Relational Database Service erstellt wurden.

  • Firewall Manager unterstützt nicht die Aktualisierung von Sicherheitsgruppen für Amazon EC2ENIs, die mit dem Fargate-Diensttyp erstellt wurden. Sie können jedoch Sicherheitsgruppen für Amazon ECS ENIs mit dem EC2 Amazon-Servicetyp aktualisieren.

  • Firewall Manager unterstützt die Aktualisierung von Sicherheitsgruppen für Amazon EC2ENIs, das vom Antragsteller verwaltet wird, nicht, da Firewall Manager nicht berechtigt ist, sie zu ändern.

  • Bei gängigen Sicherheitsgruppenrichtlinien betreffen diese Vorbehalte das Zusammenspiel zwischen der Anzahl der Elastic Network Interfaces (ENIs), die an die EC2 Instance angehängt sind, und der Richtlinienoption, die festlegt, ob nur EC2 Instances ohne hinzugefügte Anhänge oder alle Instances repariert werden sollen. Jede EC2 Instanz hat eine Standard-PrimärinstanzENI, und Sie können weitere hinzufügen. ENIs In der API lautet die Einstellung der Richtlinienoption für diese AuswahlApplyToAllEC2InstanceENIs.

    Wenn eine im Geltungsbereich EC2 befindliche Instanz zusätzliche ENIs angehängt wurde und die Richtlinie so konfiguriert ist, dass sie nur EC2 Instanzen mit nur der primären Instanz umfasstENI, versucht Firewall Manager nicht, für die EC2 Instanz eine Lösung zu finden. Wenn die Instanz den Richtlinienbereich verlässt, versucht Firewall Manager außerdem nicht, die Zuordnung von Sicherheitsgruppenzuordnungen aufzuheben, die er möglicherweise für die Instanz eingerichtet hat.

    In den folgenden Ausnahmefällen kann Firewall Manager bei der Ressourcensäuberung replizierte Sicherheitsgruppenzuordnungen unabhängig von den Ressourcenbereinigungsspezifikationen der Richtlinie intakt lassen:

    • Wenn eine Instanz mit zusätzlichen Instanzen zuvor durch eine Richtlinie behoben ENIs wurde, die so konfiguriert war, dass sie alle EC2 Instanzen einschließt, und dann entweder die Instanz den Richtlinienbereich verlassen hat oder die Richtlinieneinstellung so geändert wurde, dass sie nur Instanzen ohne zusätzliche Instanzen umfasst. ENIs

    • Wenn eine Instanz ohne zusätzliche Instanzen durch eine Richtlinie behoben ENIs wurde, die so konfiguriert war, dass sie nur Instanzen ohne zusätzliche Instanzen ENIs einschloss, ENI wurde der Instanz eine weitere hinzugefügt, und die Instanz wurde dann außerhalb des Richtlinienbereichs.

Weitere Vorbehalte und Einschränkungen

Im Folgenden finden Sie verschiedene Vorbehalte und Einschränkungen für Firewall Manager Manager-Sicherheitsgruppenrichtlinien.

  • Die Aktualisierung von Amazon ECS ENIs ist nur für ECS Amazon-Dienste möglich, die den Rolling Update (AmazonECS) Deployment Controller verwenden. Für andere ECS Amazon-Bereitstellungscontroller wie CODE _ DEPLOY oder externe Controller kann Firewall Manager die derzeit nicht aktualisierenENIs.

  • Firewall Manager unterstützt die Aktualisierung von Sicherheitsgruppen ENIs für Network Load Balancers nicht.

  • Bei gängigen Sicherheitsgruppenrichtlinien löscht Firewall Manager die replizierten Sicherheitsgruppen im Konto nicht, wenn die gemeinsame Nutzung mit einem Konto später aufgehoben wird. VPC

  • Wenn Sie bei Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mehrere Richtlinien mit einer benutzerdefinierten Verzögerungszeiteinstellung erstellen, die alle denselben Geltungsbereich haben, ist die erste Richtlinie mit den Konformitätsergebnissen die Richtlinie, die die Ergebnisse meldet.

Anwendungsfälle für Sicherheitsgruppenrichtlinien

Sie können AWS Firewall Manager allgemeine Sicherheitsgruppenrichtlinien verwenden, um die Host-Firewall-Konfiguration für die Kommunikation zwischen VPC Amazon-Instances zu automatisieren. In diesem Abschnitt werden die VPC Standardarchitekturen von Amazon aufgeführt und beschrieben, wie die einzelnen Architekturen mithilfe der allgemeinen Sicherheitsgruppenrichtlinien von Firewall Manager gesichert werden können. Diese Sicherheitsgruppenrichtlinien können Ihnen dabei helfen, einheitliche Regeln anzuwenden, um Ressourcen in verschiedenen Konten auszuwählen und Konfigurationen pro Konto in Amazon Elastic Compute Cloud und Amazon VPC zu vermeiden.

Mit den allgemeinen Sicherheitsgruppenrichtlinien von Firewall Manager können Sie nur die EC2 elastischen Netzwerkschnittstellen taggen, die Sie für die Kommunikation mit Instances in einem anderen Amazon benötigenVPC. Die anderen Instanzen im selben Amazon VPC sind dann sicherer und isolierter.

Anwendungsfall: Überwachung und Steuerung von Anfragen an Application Load Balancers und Classic Load Balancers

Sie können eine allgemeine Sicherheitsgruppenrichtlinie von Firewall Manager verwenden, um zu definieren, welche Anfragen Ihre Load Balancer im Geltungsbereich bearbeiten sollen. Sie können dies über die Firewall Manager Manager-Konsole konfigurieren. Nur Anfragen, die den Regeln der Sicherheitsgruppe für eingehende Nachrichten entsprechen, können Ihre Load Balancer erreichen, und die Load Balancer verteilen nur Anfragen, die den Regeln für ausgehende Nachrichten entsprechen.

Anwendungsfall: Über das Internet zugängliches, öffentliches Amazon VPC

Sie können eine allgemeine Sicherheitsgruppenrichtlinie von Firewall Manager verwenden, um ein öffentliches Amazon zu sichernVPC, um beispielsweise nur den eingehenden Port 443 zuzulassen. Dies entspricht dem Zulassen von eingehendem HTTPS Datenverkehr nur für eine Öffentlichkeit. VPC Sie können öffentliche Ressourcen innerhalb von kennzeichnen VPC (z. B. als VPC „Öffentlich“) und dann den Geltungsbereich der Firewall Manager Manager-Richtlinie auf nur Ressourcen mit diesem Tag festlegen. Firewall Manager wendet die Richtlinie automatisch auf diese Ressourcen an.

Anwendungsfall: Öffentliche und private VPC Amazon-Instances

Sie können dieselbe gemeinsame Sicherheitsgruppenrichtlinie für öffentliche Ressourcen verwenden, die im vorherigen Anwendungsfall für über das Internet zugängliche, öffentliche VPC Amazon-Instances empfohlen wurde. Sie können eine zweite gemeinsame Sicherheitsgruppenrichtlinie verwenden, um die Kommunikation zwischen öffentlichen und privaten Ressourcen zu beschränken. Kennzeichnen Sie die Ressourcen in den öffentlichen und privaten VPC Amazon-Instances mit etwas wie PublicPrivate "", um die zweite Richtlinie auf sie anzuwenden. Sie können eine dritte Richtlinie verwenden, um die zulässige Kommunikation zwischen den privaten Ressourcen und anderen Unternehmens- oder privaten VPC Amazon-Instances zu definieren. Für diese Richtlinie können Sie ein anderes identifizierendes Tag für die privaten Ressourcen verwenden.

Anwendungsfall: VPC Hub-and-Spoke-Amazon-Instances

Sie können eine gemeinsame Sicherheitsgruppenrichtlinie verwenden, um die Kommunikation zwischen der VPC Hub-Amazon-Instance und VPC Spoke-Amazon-Instances zu definieren. Sie können eine zweite Richtlinie verwenden, um die Kommunikation zwischen jeder VPC Spoke-Amazon-Instance und der VPC Hub-Instance von Amazon zu definieren.

Anwendungsfall: Standard-Netzwerkschnittstelle für EC2 Amazon-Instances

Sie können eine gemeinsame Sicherheitsgruppenrichtlinie verwenden, um nur Standardkommunikation zuzulassen, z. B. interne Kommunikation SSH und Patch/Betriebssystem-Aktualisierungsdienste, und andere unsichere Kommunikation zu verbieten.

Anwendungsfall: Identifizieren Sie Ressourcen mit offenen Berechtigungen

Sie können eine Prüfungssicherheitsgruppenrichtlinie verwenden, um alle Ressourcen in Ihrer Organisation zu identifizieren, die über die Berechtigung zur Kommunikation mit öffentlichen IP-Adressen oder über IP-Adressen verfügen, die Drittanbietern gehören.