Creación de una AWS Firewall Manager política - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Creación de una política para AWS WAFCreación de una política para AWS WAF ClassicCreación de una política para Shield AdvancedCrear una política de grupo de seguridad comúnCrear una política de grupo de seguridad de auditoría de contenidoCrear una política de grupo de seguridad de auditoría de usoCrear una ACL política de redCreación de una política para Network FirewallCree una política para DNS FirewallCree una política para Palo Alto Networks Cloud NGFWCree una política para Fortigate CNF

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de una AWS Firewall Manager política

Los pasos para crear una política varían entre los diferentes tipos de políticas. Asegúrese de utilizar el procedimiento adecuado para el tipo de política que necesita.

importante

AWS Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si desea proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones en Agregar la protección de AWS Shield Advanced a los recursos de AWS.

Crear una AWS Firewall Manager política para AWS WAF

En una AWS WAF política de Firewall Manager, puedes usar grupos de reglas gestionados, que AWS AWS Marketplace los vendedores crean y mantienen por ti. También puede crear y utilizar sus propios grupos de reglas. Para obtener más información acerca de los grupos de reglas, consulte AWS WAF grupos de reglas.

Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF . Para obtener instrucciones, consulte Administrar sus propios grupos de reglas. Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.

Para obtener información sobre AWS WAF las políticas de Firewall Manager, consulteUso de AWS WAF políticas con Firewall Manager.

Para crear una política de Firewall Manager para AWS WAF (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para Policy type (Tipo de política), seleccione AWS WAF.

  5. En Región, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige Global.

    Para proteger los recursos en varias regiones (distintas de CloudFront las distribuciones), debe crear políticas de Firewall Manager independientes para cada región.

  6. Elija Next (Siguiente).

  7. En Nombre de política, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de la web ACLs que administra. ACLLos nombres web van FMManagedWebACLV2- seguidos del nombre de la política que introduzca aquí y de la marca temporal de ACL creación de la web, en UTC milisegundos. - Por ejemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

  8. Para inspeccionar el cuerpo de las solicitudes web, si lo desea, puede cambiar el límite de tamaño corporal. Para obtener información sobre los límites de tamaño para la inspección corporal, incluidas las consideraciones de precio, consulte Gestión de límites de tamaño de inspección del cuerpo para AWS WAF en la Guía para desarrolladores de AWS WAF .

  9. En Reglas de políticas, añada los grupos de reglas que desee AWS WAF evaluar primero y último en la web. ACL Para usar el control de versiones de grupos de reglas AWS WAF administrado, active la opción Habilitar el control de versiones. Los administradores de cuentas individuales pueden agregar reglas y grupos de reglas entre los primeros grupos de reglas y los últimos grupos de reglas. Para obtener más información sobre el uso de grupos de AWS WAF reglas en las políticas del Firewall Manager AWS WAF, consulteUso de AWS WAF políticas con Firewall Manager.

    (Opcional) Para personalizar el modo en que su web ACL utiliza el grupo de reglas, seleccione Editar. A continuación se muestra la configuración de personalización común:

    • En el caso de los grupos de reglas administradas, anule las acciones de las reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener información acerca de esta opción, consulte Supervisar las acciones de un grupo de reglas en AWS WAF en la Guía para desarrolladores de AWS WAF .

    • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consulta AWS Reglas administradas para AWS WAF la Guía para AWS WAF desarrolladores.

    Cuando haya terminado con la configuración, seleccione Guardar regla.

  10. Defina la acción predeterminada para la webACL. Esta es la acción que AWS WAF se realiza cuando una solicitud web no cumple ninguna de las reglas de la webACL. Puede añadir encabezados personalizados con la acción Permitir o respuestas personalizadas para la acción Bloquear. Para obtener más información sobre ACL las acciones web predeterminadas, consulteCómo establecer la acción predeterminada de la ACL web en AWS WAF. Para obtener información sobre cómo configurar las solicitudes y respuestas web personalizadas, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

  11. Para la configuración del registro, seleccione Habilitar el registro para activar el registro. El registro proporciona información detallada sobre el tráfico que analiza tu webACL. Seleccione el destino del registro y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con aws-waf-logs-. Para obtener información sobre la configuración de un destino de AWS WAF registro, consulteUso de AWS WAF políticas con Firewall Manager.

  12. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija Add (Añadir). Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como REDACTED en los registros. Por ejemplo, si redacta el campo URI, el campo URI de los registros será REDACTED.

  13. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En Filtrar registros, para cada filtro que desee aplicar, elija Agregar filtro y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el comportamiento de registro predeterminado. Para obtener más información, consulte Búsqueda de los registros de la ACL web en la Guía para desarrolladores de AWS WAF .

  14. Puede definir una lista de dominios de token para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los utiliza el CAPTCHA y Challenge las acciones y la integración de aplicaciones SDKs que se implementan cuando se utilizan los grupos de reglas de reglas AWS gestionadas para el control del AWS WAF fraude, la prevención de apropiaciones de cuentas (ATP) y el control de AWS WAF bots.

    No se admiten sufijos públicos. Por ejemplo, no puede usar gov.au o co.uk como dominio de token.

    De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte Configuración de la lista de dominios de tóquenes de la ACL web de AWS WAF en la Guía para desarrolladores de AWS WAF .

    Solo puedes cambiar los tiempos ACL de la web CAPTCHA y cuestionar la inmunidad cuando editas una web existenteACL. Puede encontrar esta configuración en la página de Detalles de las políticas del Firewall Manager. Para obtener más información sobre esta configuración, consulte Configuración del vencimiento de la marca de tiempo y de los tiempos de inmunidad de los tóquenes en AWS WAF. Si actualiza la configuración de la asociación CAPTCHA, el desafío o la lista de dominios de token en una política existente, Firewall Manager sobrescribirá la web local ACLs con los nuevos valores. Sin embargo, si no actualiza la configuración de asociación CAPTCHA, el desafío o la lista de dominios de token de la política, los valores de la web local ACLs permanecerán inalterados. Para obtener información acerca de esta opción, consulte CAPTCHA y Challenge en AWS WAF en la Guía para desarrolladores de AWS WAF .

  15. En ACLAdministración web, elija cómo el Firewall Manager gestiona ACL la creación y la limpieza de sitios web.

    1. En Administrar la web no asociada ACLs, elija si el Firewall Manager administra la web no asociada. ACLs Con esta opción, Firewall Manager crea la web ACLs para las cuentas incluidas en el ámbito de la política solo si la ACLs va a utilizar al menos un recurso. Cuando una cuenta entra en el ámbito de la política, Firewall Manager crea automáticamente una web ACL en la cuenta si al menos un recurso la va a utilizar.

      Al activar esta opción, el Firewall Manager realiza una limpieza única de la web no asociada de su ACLs cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso deja el ámbito de la política después de que el Administrador de Firewall haya creado una webACL, el Administrador de Firewall disocia el recurso de la webACL, pero no limpia la web no asociada. ACL Firewall Manager solo limpia la web no asociada ACLs cuando habilita por primera vez la administración de la web no asociada ACLs en la política.

    2. En el caso de la ACLfuente web, especifique si desea crear una web completamente nueva ACLs para los recursos incluidos en el ámbito de aplicación o si desea modernizar la web existente siempre que sea posible. ACLs Firewall Manager puede modernizar sitios web ACLs que sean propiedad de cuentas integradas.

      El comportamiento predeterminado es crear una web completamente nueva. ACLs Si elige esta opción, todas las páginas web ACLs administradas por Firewall Manager tendrán nombres que comiencen porFMManagedWebACLV2. Si decide modernizar la web existenteACLs, la web actualizada ACLs tendrá sus nombres originales y las creadas por Firewall Manager tendrán nombres que comiencen por. FMManagedWebACLV2

  16. Para la acción de política, si deseas crear una web ACL en cada cuenta aplicable de la organización, pero no aplicar la web ACL a ningún recurso todavía, selecciona Identificar los recursos que no cumplen con las reglas de la política, pero que no se corrigen automáticamente y no eliges Administrar una web no asociada. ACLs Puede cambiar estas opciones más adelante.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes). Si la opción Administrar sitios web no asociados ACLs está desactivada, la opción Corregir automáticamente cualquier recurso que no cumpla los requisitos crea un sitio web ACL en cada cuenta aplicable de la organización y lo asocia ACL con los recursos de las cuentas. Si la opción Administrar sitios web no asociados ACLs está habilitada, la opción Corregir automáticamente cualquier recurso que no cumpla con las normas solo crea y asocia un sitio web ACL en las cuentas que tengan recursos aptos para ser asociados a la web. ACL

    Si elige Corregir automáticamente cualquier recurso no compatible, también puede optar por eliminar las ACL asociaciones web existentes de los recursos incluidos en el ámbito, para la web, ACLs que no estén gestionados por otra política activa de Firewall Manager. Si elige esta opción, Firewall Manager asocia primero la web ACL de la política a los recursos y, a continuación, elimina las asociaciones anteriores. Si un recurso tiene una asociación con otra web ACL administrada por una política de Firewall Manager activa diferente, esta elección no afecta a esa asociación.

  17. Elija Next (Siguiente).

  18. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  19. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

  20. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  21. Elija Next (Siguiente).

  22. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  23. Elija Next (Siguiente).

  24. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Crear una AWS Firewall Manager política para AWS WAF Classic

Para crear una política de Firewall Manager para AWS WAF Classic (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), seleccione AWS WAF Classic.

  5. Si ya creó el grupo de reglas AWS WAF clásico que desea agregar a la política, elija Crear una AWS Firewall Manager política y agregar los grupos de reglas existentes. Si desea crear un nuevo grupo de reglas, elija Crear una política de Firewall Manager y agregar un nuevo grupo de reglas.

  6. En Región, elija una Región de AWS. Para proteger CloudFront los recursos de Amazon, elige Global.

    Para proteger los recursos de varias regiones (distintas de CloudFront los recursos), debe crear políticas de Firewall Manager independientes para cada región.

  7. Elija Next (Siguiente).

  8. Si está creando un grupo de reglas, siga las instrucciones de Creación de un grupo de reglas de AWS WAF Classic. Después de crear el grupo de reglas, continúe con los pasos siguientes.

  9. Escriba un nombre para la política.

  10. Si agrega a un grupo de reglas existente, utilice el menú desplegable para seleccionar un grupo de reglas al que agregar y, a continuación, elija Add rule group (Agregar grupo de reglas).

  11. Una política dispone de dos posibles acciones: Action set by rule group (Acción establecida por el grupo de reglas) y Count (Contar). Si desea probar la política y el grupo de reglas, establezca la acción en Count (Contar). Esta acción anula cualquier acción de bloqueo especificada por las reglas en el grupo de reglas. Es decir, si la acción de la política está establecida en Count (Contar), las solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política en Action set by rule group (Acción establecida por el grupo de reglas), se utilizan las acciones del grupo de reglas. Elija la acción apropiada.

  12. Elija Next (Siguiente).

  13. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  14. Elija el tipo de recurso que desea proteger.

  15. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  16. Si desea aplicar automáticamente la política a los recursos existentes, elija Create and apply this policy to existing and new resources (Crear y aplicar esta política a los recursos nuevos y existentes).

    Esta opción crea una web ACL en cada cuenta aplicable de una AWS organización y asocia la web ACL con los recursos de las cuentas. Esta opción también aplica la política a todos los nuevos recursos que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Como alternativa, si elige Crear política pero no aplica la política a los recursos nuevos o existentes, el Firewall Manager crea una web ACL en cada cuenta aplicable de la organización, pero no la aplica ACL a ningún recurso. Deberá aplicar la política a los recursos posteriormente. Elija la opción apropiada.

  17. En Sustituir la web asociada existente ACLs, puede optar por eliminar cualquier ACL asociación web que esté definida actualmente para los recursos incluidos en el ámbito de aplicación y, a continuación, sustituirla por asociaciones a la web ACLs que vaya a crear con esta política. De forma predeterminada, Firewall Manager no elimina las ACL asociaciones web existentes antes de añadir las nuevas. Si desea eliminar las existentes, seleccione esta opción.

  18. Elija Next (Siguiente).

  19. Revise la nueva política. Para realizar cualquier cambio, elija Edit (Editar). Cuando esté satisfecho con la política, elija Create and apply policy (Crear y aplicar política).

Crear una AWS Firewall Manager política para AWS Shield Advanced

Creación de una política de Firewall Manager para Shield Advanced (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para Tipo de política, seleccione Shield Advanced.

    Para crear una política de Shield Advanced, debe estar suscrito a Shield Advanced. Se le pedirá que se suscriba si no lo ha hecho ya. Para obtener información sobre el coste de la suscripción, consulte Precios de AWS Shield Advanced.

  5. En Región, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige Global.

    En las opciones de región que no sean Global, para proteger recursos en varias regiones, debe crear una política de Firewall Manager independiente para cada región.

  6. Elija Next (Siguiente).

  7. En Nombre, introduzca un nombre descriptivo.

  8. Solo para las políticas de la región global, puede elegir si desea administrar la DDoS mitigación automática de la capa de aplicaciones de Shield Advanced. Para obtener información acerca de esta característica de Shield Advanced, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Advanced .

    Puede elegir habilitar o deshabilitar la mitigación automática, o puede elegir ignorarla. Si decide ignorarla, Firewall Manager no administra en absoluto la mitigación automática de las protecciones Shield Advanced. Para obtener más información sobre estas opciones de la política, consulte Uso de la mitigación automática de DDoS en la capa de aplicación con las políticas de Shield Advanced de Firewall Manager.

  9. En ACLAdministración web, si desea que Firewall Manager administre la web no asociadaACLs, habilite Administrar la web no asociada. ACLs Con esta opción, Firewall Manager crea la web ACLs en las cuentas dentro del ámbito de la política solo si la ACLs va a utilizar al menos un recurso. Si en algún momento una cuenta entra en el ámbito de aplicación de la política, Firewall Manager crea automáticamente una web ACL en la cuenta si al menos un recurso va a utilizar la webACL. Al activar esta opción, el Firewall Manager realiza una limpieza única de la web ACLs no asociada de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso deja el ámbito de la política después de que el Administrador de Firewall cree una webACL, el Administrador de Firewall no desasociará el recurso de la webACL. Para incluir la web ACL en la limpieza de una sola vez, primero debe desasociar manualmente los recursos de la web ACL y, a continuación, activar la opción Administrar la web no asociada. ACLs

  10. En Acción de la política, se recomienda crear la política con la opción que no corrige automáticamente los recursos no compatibles. Al deshabilitar la solución automática, puede evaluar los efectos de la nueva política antes de aplicarla. Cuando esté seguro de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes). Esta opción aplica las protecciones Shield Advanced a cada cuenta aplicable de la AWS organización y a cada recurso aplicable de las cuentas.

    Solo para las políticas de la región global, si elige Corregir automáticamente cualquier recurso que no cumpla con las normas, también puede optar por que Firewall Manager sustituya automáticamente cualquier ACL asociación web AWS WAF clásica existente por nuevas asociaciones a la web ACLs que se hayan creado con la última versión de AWS WAF (v2). Si elige esta opción, Firewall Manager elimina las asociaciones con la versión web anterior ACLs y crea nuevas asociaciones con la última versión webACLs, tras crear una nueva web vacía ACLs en todas las cuentas incluidas en el ámbito que aún no las tengan para la política. Para obtener más información acerca de esta opción, consulta Sustituya las ACL web AWS WAF Classic por la última versión de ACL web.

  11. Elija Next (Siguiente).

  12. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, mantenga la selección predeterminada Incluir todas las cuentas de mi organización AWS .

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas OUs que desee incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  13. Elija el tipo de recurso que desea proteger.

    Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita utilizar Shield Advanced para proteger recursos de estos servicios, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones de Shield Advanced en Agregar la protección de AWS Shield Advanced a los recursos de AWS.

  14. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  15. Elija Next (Siguiente).

  16. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  17. Elija Next (Siguiente).

  18. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Crear una política de grupo de seguridad común de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad comunes, consulte Utilización de políticas del grupo de seguridad comunes con Firewall Manager.

Para crear una política de grupo de seguridad común, debe tener un grupo de seguridad ya creado en la cuenta de administrador de Firewall Manager que desee utilizar como principal para la política. Puede gestionar los grupos de seguridad a través de Amazon Virtual Private Cloud (AmazonVPC) o Amazon Elastic Compute Cloud (AmazonEC2). Para obtener más información, consulte Trabajar con grupos de seguridad en la Guía del VPC usuario de Amazon.

Para crear una política de grupo de seguridad común (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

  5. En Security group policy type (Tipo de política de grupo de seguridad), elija Common security groups (Grupos de seguridad comunes).

  6. En Región, elija una Región de AWS.

  7. Elija Next (Siguiente).

  8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

  9. En Policy rules (Reglas de la política), haga lo siguiente:

    1. En las opciones de reglas, elija las restricciones que desea aplicar a las reglas de grupo de seguridad y a los recursos que están dentro del ámbito de la política. Si elige Distribuir etiquetas del grupo de seguridad principal a los grupos de seguridad creados por esta política, también debe seleccionar Identificar e informar cuando los grupos de seguridad creados por esta política dejen de cumplir las reglas.

      importante

      Firewall Manager no distribuirá las etiquetas de sistema agregadas por AWS los servicios en los grupos de seguridad de réplica. Las etiquetas del sistema comienzan por el prefijo aws:. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte las políticas de etiquetas en la Guía del AWS Organizations usuario.

      Si elige Distribuir las referencias a los grupos de seguridad del grupo de seguridad principal a los grupos de seguridad creados por esta política, Firewall Manager solo distribuirá las referencias a los grupos de seguridad si tienen una conexión de pares activa en Amazon. VPC Para obtener información acerca de esta opción, consulte Configuración de reglas de políticas.

    2. Para los grupos de seguridad principales, seleccione Agregar grupos de seguridad y, a continuación, elija los grupos de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de todas las VPC instancias de Amazon de la cuenta de administrador de Firewall Manager.

      El número máximo predeterminado de grupos de seguridad principales por política es 3. Para obtener información sobre esta configuración, consulte AWS Firewall Manager cuotas.

    3. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

  10. Elija Next (Siguiente).

  11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

    Para la EC2instancia de tipo de recurso, puede optar por remediar todas las EC2 instancias de Amazon o solo las que tengan la interfaz de red elástica principal predeterminada ()ENI. Para esta última opción, Firewall Manager no corrige las instancias que tienen ENI adjuntos adicionales. En cambio, cuando la corrección automática está habilitada, Firewall Manager solo marca el estado de conformidad de estas EC2 instancias y no aplica ninguna acción de corrección. Consulte las advertencias y limitaciones adicionales para el tipo de EC2 recurso de Amazon enLimitaciones y advertencias de las políticas de grupos de seguridad.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. En el caso de VPClos recursos compartidos, si desea aplicar la política a los recursos compartidosVPCs, además de los VPCs que poseen las cuentas, seleccione Incluir recursos de los compartidos VPCs.

  15. Elija Next (Siguiente).

  16. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager crea una réplica del grupo de seguridad principal en cada VPC instancia de Amazon incluida en las cuentas incluidas en el ámbito hasta alcanzar la cuota VPC máxima de Amazon admitida por cuenta. Firewall Manager asocia los grupos de seguridad réplica a los recursos que están dentro del alcance de la política para cada cuenta pertinente. Para obtener más información sobre cómo funciona esta política, consulte Utilización de políticas del grupo de seguridad comunes con Firewall Manager.

Crear una política de grupo de seguridad de auditoría de contenido de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de contenido, consulte Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager.

Para algunas configuraciones de políticas de auditoría de contenido, debe proporcionar un grupo de seguridad de auditoría para que Firewall Manager lo utilice como plantilla. Por ejemplo, puede tener un grupo de seguridad de auditoría que contenga todas las reglas que no permite en ningún grupo de seguridad. Debe crear estos grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede gestionar los grupos de seguridad a través de Amazon Virtual Private Cloud (AmazonVPC) o Amazon Elastic Compute Cloud (AmazonEC2). Para obtener más información, consulte Trabajar con grupos de seguridad en la Guía del VPC usuario de Amazon.

Para crear una política de grupo de seguridad de auditoría de contenido (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

  5. En Security group policy type (Tipo de política de grupo de seguridad), elija Auditing and enforcement of security group rules (Auditoría y aplicación de reglas de grupo de seguridad).

  6. En Región, elija una Región de AWS.

  7. Elija Next (Siguiente).

  8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

  9. En Reglas de política, elija la opción de reglas de política administradas o personalizadas que desee usar.

    1. En Configurar las reglas de políticas de auditoría administradas, haga lo siguiente:

      1. En Configurar las reglas de los grupos de seguridad para auditar, seleccione el tipo de reglas del grupo de seguridad al que desea que se aplique la política de auditoría.

      2. Si desea realizar tareas como auditar las reglas en función de los protocolos, los puertos y la configuración de CIDR rango de sus grupos de seguridad, elija Auditar las reglas de los grupos de seguridad demasiado permisivas y seleccione las opciones que desee.

        Para hacer la selección de Regla que permite todo el tráfico, puede proporcionar una lista de aplicaciones personalizada para designar las aplicaciones que desea auditar. Para obtener información sobre las listas de aplicaciones personalizadas y cómo utilizarlas en su política, consulte Uso de listas administradas y Uso de listas administradas.

        Para las selecciones que utilizan listas de protocolos, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de protocolos y cómo utilizarlas en su política, consulte Uso de listas administradas y Uso de listas administradas.

      3. Si desea auditar las aplicaciones de alto riesgo en función de su acceso a CIDR rangos reservados o no reservados, elija Auditar aplicaciones de alto riesgo y seleccione las opciones que desee.

        Las siguientes selecciones se excluyen mutuamente: aplicaciones que solo pueden acceder a CIDR rangos reservados y aplicaciones que pueden acceder a rangos no CIDR reservados. Puede seleccionar como máximo una de ellas en cualquier política.

        Para las selecciones que utilizan listas de aplicaciones, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de aplicaciones y cómo utilizarlas en su política, consulte Uso de listas administradas y Uso de listas administradas.

      4. Utilice la configuración de Anulaciones para anular de forma explícita otras configuraciones de la política. Puede optar por permitir siempre o denegar siempre reglas de grupos de seguridad específicos, independientemente de si cumplen con las demás opciones que haya establecido para la política.

        Para esta opción, proporcione un grupo de seguridad de auditoría como plantilla de reglas permitidas o reglas rechazadas. Para los grupos de seguridad de auditoría, seleccione Agregar grupo de seguridad de auditoría y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las VPC instancias de Amazon de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte AWS Firewall Manager cuotas.

    2. En Configurar reglas de política personalizadas, haga lo siguiente:

      1. En las opciones de reglas, elija si desea permitir solo las reglas definidas en los grupos de seguridad de auditoría o denegar todas las reglas. Para obtener información sobre esta opción, consulte Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager.

      2. Para los grupos de seguridad de auditoría, seleccione Agregar grupo de seguridad de auditoría y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las VPC instancias de Amazon de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte AWS Firewall Manager cuotas.

      3. En Policy action (Acción de la política), debe crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

  10. Elija Next (Siguiente).

  11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. Elija Next (Siguiente).

  15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager compara el grupo de seguridad de auditoría con los grupos de seguridad dentro del ámbito de la organización de AWS , según la configuración de las reglas de su política. Puede revisar el estado de la política en la consola AWS Firewall Manager de políticas. Una vez creada la política, puede editarla y habilitar la corrección automática para aplicar su política de grupo de seguridad de auditoría. Para obtener más información sobre cómo funciona esta política, consulte Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager.

Crear una política de grupo de seguridad de auditoría de uso de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de uso, consulte Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager.

Para crear una política de grupo de seguridad de auditoría de uso (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

  5. En Tipo de política de grupo de seguridad, elija Auditoría y eliminación de grupos de seguridad redundantes y no asociados.

  6. En Región, elija una Región de AWS.

  7. Elija Next (Siguiente).

  8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

  9. En Policy rules (Reglas de la política), elija una o ambas opciones disponibles.

    • Si elige Los grupos de seguridad dentro del alcance de esta política deben ser utilizados por al menos un recurso, Firewall Manager elimina los grupos de seguridad que determine que no se utilizan. Si habilita esta regla, Firewall Manager la ejecuta en último lugar vez cuando guarde la política.

      Para obtener más información acerca de cómo Firewall Manager determina el uso y el momento de la corrección, consulte Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager.

      nota

      Cuando utilice este tipo de política de auditoría de uso de los grupos de seguridad, evite hacer varios cambios en el estado de asociación de los grupos de seguridad incluidos en el ámbito de aplicación en poco tiempo. Si lo hace, es posible que Firewall Manager se saltee los eventos correspondientes.

      De forma predeterminada, Firewall Manager considera a los grupos de seguridad no conformes con esta regla de políticas si no se utilizan durante un tiempo. Opcionalmente, puede especificar una cantidad de minutos en los que un grupo de seguridad puede existir sin utilizarse antes de que se considere no conforme, hasta 525 600 minutos (365 días). Puede utilizar esta configuración para disponer de tiempo para asociar nuevos grupos de seguridad a los recursos.

      importante

      Si especifica una cantidad de minutos distinta del valor predeterminado de cero, debe habilitar las relaciones indirectas en AWS Config. De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte Relaciones indirectas AWS Config en la Guía para AWS Config desarrolladores.

    • Si elige Los grupos de seguridad dentro del alcance de esta política deben ser únicos, Firewall Manager consolida los grupos de seguridad redundantes, de modo que solo uno está asociado a los recursos. Si elige esta opción, Firewall Manager lo ejecuta en primer lugar cuando guarde la política.

  10. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

  11. Elija Next (Siguiente).

  12. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. Elija Next (Siguiente).

  15. Si no ha excluido la cuenta de administrador de Firewall Manager del ámbito de la política, Firewall Manager le pedirá que lo haga. Al hacerlo, los grupos de seguridad de la cuenta de administrador de Firewall Manager que utiliza para políticas de grupos de seguridad comunes y de auditoría quedan bajo su control manual. Elija la opción que desee en este diálogo.

  16. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Si opta por requerir grupos de seguridad únicos, Firewall Manager busca grupos de seguridad redundantes en cada instancia de Amazon VPC incluida en el ámbito. A continuación, si decide exigir que cada grupo de seguridad sea utilizado por al menos un recurso, Firewall Manager busca grupos de seguridad que no se han utilizado durante los minutos especificados en la regla. Puede revisar el estado de la política en la consola de AWS Firewall Manager políticas. Para obtener más información sobre cómo funciona esta política, consulte Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager.

Crear una ACL política AWS Firewall Manager de red

Para obtener información sobre cómo funcionan ACL las políticas de red, consultePolíticas de la ACL de red.

Para crear una ACL política de red, debes saber cómo definir una red ACL para usarla con tus VPC subredes de Amazon. Para obtener más información, consulte Controlar el tráfico a las subredes mediante la red ACLs y Trabajar con la red ACLs en la Guía del VPC usuario de Amazon.

Para crear una ACL política de red (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Tipo de política, seleccione Red ACL.

  5. En Región, elige una Región de AWS.

  6. Elija Next (Siguiente).

  7. En Nombre de política, introduzca un nombre descriptivo.

  8. En el caso de las reglas de política, defina las reglas que desee que se ejecuten siempre en la red ACLs que el Firewall Manager administra por usted. La red ACLs monitorea y gestiona el tráfico entrante y saliente, por lo que en tu política debes definir las reglas para ambas direcciones.

    En cualquier dirección, se definen las reglas que quiera ejecutar siempre primero y las que se deben ejecutar siempre en último lugar. En la red ACLs que administra Firewall Manager, los propietarios de las cuentas pueden definir reglas personalizadas para que se ejecuten entre la primera y la última regla.

  9. Para la acción de política, si desea identificar las subredes y redes que no cumplen con las normasACLs, pero no tomar ninguna medida correctiva todavía, elija Identificar los recursos que no cumplen con las reglas de la política, pero que no se corrigen automáticamente. Puede cambiar estas opciones más adelante.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Solucionar automáticamente los recursos no conformes. Con esta opción, también se especifica si se debe forzar la corrección cuando el comportamiento de las reglas de política en materia de gestión del tráfico entra en conflicto con las reglas personalizadas de la red. ACL Independientemente de si fuerza o no una corrección, Firewall Manager informa sobre las reglas incompatibles en sus infracciones de conformidad.

  10. Elija Next (Siguiente).

  11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva o diferente. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  12. Para el tipo de recurso, la configuración está fija en Subredes.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. Elija Next (Siguiente).

  15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager crea la política y comienza a monitorear y administrar la red de alcance de ACLs acuerdo con su configuración. Para obtener más información sobre cómo funciona esta política, consulte Políticas de la ACL de red.

Crear una AWS Firewall Manager política para AWS Network Firewall

En una política de Firewall Manager Network Firewall, se utilizan los grupos de reglas que se administran en AWS Network Firewall. Para obtener información sobre cómo administrar sus grupos de reglas, consulte Grupos de reglas de AWS Network Firewall en la Guía para desarrolladores de Network Firewall.

Para obtener información acerca de las políticas de Firewall Manager Network Firewall, consulte Uso de AWS Network Firewall políticas en Firewall Manager.

Para crear una política de Firewall Manager para AWS Network Firewall (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para Policy type (Tipo de política), seleccione AWS Network Firewall.

  5. En Tipo de administración del firewall, elija cómo desea que Firewall Manager administre los firewalls de la política. Puede elegir entre las siguientes opciones:

    • Distribuido: Firewall Manager crea y mantiene puntos finales de firewall en cada uno de los puntos de conexión VPC incluidos en el ámbito de aplicación de la política.

    • Centralizado: Firewall Manager crea y mantiene los puntos finales en una sola inspecciónVPC.

    • Importar firewalls existentes: Firewall Manager importa los firewalls existentes desde Network Firewall mediante conjuntos de recursos. Para obtener información acerca de los conjuntos de recursos, consulte Agrupación de los recursos en Firewall Manager.

  6. En Región, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  7. Elija Next (Siguiente).

  8. En Nombre de política, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de los firewalls de Network Firewall y las políticas de firewall que crea.

  9. En la política de configuración de AWS Network Firewall , configure la política de firewall como lo haría en Network Firewall. Agregue sus grupos de reglas sin estado y con estado y especifique las acciones predeterminadas de la política. Si lo desea, puede establecer el orden de evaluación de las reglas con estado de la política y las acciones predeterminadas, así como la configuración de registro. Para obtener información sobre la administración de políticas de firewall de Network Firewall, consulte Políticas de firewall AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall .

    Al crear la política de firewall de red de Firewall Manager Network Firewall, Firewall Manager crea políticas de firewall para las cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden agregar grupos de reglas a las políticas de firewall, pero no pueden cambiar la configuración que proporciona aquí.

  10. Elija Next (Siguiente).

  11. Realice una de las siguientes acciones, en función del tipo de administración de firewall que haya seleccionado en el paso anterior:

    • Si utiliza un tipo de administración de firewall distribuido, en Configuración de puntos de conexión de AWS Firewall Manager , en Ubicación del punto de conexión del firewall, seleccione una de las siguientes opciones:

      • Configuración de punto final personalizada: Firewall Manager crea firewalls para cada uno de ellos VPC dentro del ámbito de la política, en las zonas de disponibilidad que especifique. Cada firewall contiene como mínimo un punto de conexión de firewall.

        • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

        • Si desea proporcionar los CIDR bloques para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs

          nota

          La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para optar por no corregir automáticamente.

      • Configuración automática de puntos finales: Firewall Manager crea automáticamente puntos finales de firewall en las zonas de disponibilidad con subredes públicas en las suyas. VPC

        • Para la configuración de los puntos de conexión del firewall, especifique cómo desea que Firewall Manager administre los puntos de conexión del firewall. Se recomienda utilizar varios puntos de conexión para una alta disponibilidad.

    • Si utiliza un tipo de administración de firewall centralizada, en la configuración AWS Firewall Manager de puntos finales, en VPCConfiguración de inspección, introduzca el ID de AWS cuenta del propietario de la inspección VPC y el VPC ID de la inspección. VPC

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

      • Si desea proporcionar los CIDR bloques para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs

        nota

        La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para optar por no corregir automáticamente.

    • Si está utilizando un tipo de administración de firewalls de importación de firewalls existentes, en Conjuntos de recursos, agregue uno o más conjuntos de recursos. Un conjunto de recursos define los firewalls existentes de Network Firewall que pertenecen a la cuenta de su organización y que desea administrar de forma centralizada en esta política. Para añadir un conjunto de recursos a la política, primero debe crear un conjunto de recursos mediante la consola o el. PutResourceSetAPI Para obtener información acerca de los conjuntos de recursos, consulte Agrupación de los recursos en Firewall Manager. Para obtener más información sobre la importación de firewalls existentes desde Network Firewall, consulte Importar firewalls existentes.

  12. Elija Next (Siguiente).

  13. Si su política utiliza un tipo de administración de firewall distribuido, en Administración de rutas, elija si Firewall Manager supervisará y alertará sobre el tráfico que debe enrutarse a través de los puntos de conexión de firewall respectivos.

    nota

    Si selecciona Supervisar, no podrá cambiar la configuración a Desactivado más adelante. La supervisión continúa hasta que elimine la política.

  14. Para Tipo de tráfico, si lo desea, añada los puntos de conexión del tráfico por los que desee enrutar el tráfico para inspeccionar el firewall.

  15. En el caso de Permitir el tráfico entre zonas de disponibilidad obligatorio, si habilita esta opción, Firewall Manager considerará compatible el enrutamiento que envía tráfico fuera de una Zona de Disponibilidad para su inspección, en las Zonas de Disponibilidad que no tienen su propio punto de conexión de firewall. Las zonas de disponibilidad que tienen puntos de conexión siempre deben inspeccionar su propio tráfico.

  16. Elija Next (Siguiente).

  17. Para Alcance de la política, en esta política se aplica a Cuentas de AWS , elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  18. El tipo de recurso para las políticas de Network Firewall es VPC.

  19. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  20. Elija Next (Siguiente).

  21. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  22. Elija Next (Siguiente).

  23. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall

En una política de firewall de DNS Firewall Manager, utiliza grupos de reglas que administra en Amazon Route 53 Resolver DNS Firewall. Para obtener información sobre la administración de sus grupos de reglas, consulte Administrar grupos de reglas y reglas en DNS Firewall en la Guía para desarrolladores de Amazon Route 53.

Para obtener información sobre las políticas de DNS firewall de Firewall Manager, consulteUso de las políticas de Amazon Route 53 Resolver DNS Firewall en Firewall Manager.

Para crear una política de Firewall Manager para Amazon Route 53 Resolver DNS Firewall (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para el tipo de política, elija Amazon Route 53 Resolver DNSFirewall.

  5. En Región, elija un Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  6. Elija Next (Siguiente).

  7. En Nombre de política, introduzca un nombre descriptivo.

  8. En la configuración de políticas, añada los grupos de reglas que desee que DNS Firewall evalúe primero y en último lugar entre sus VPCs «asociaciones de grupos de reglas». Puede añadir hasta dos grupos de reglas a la política.

    Al crear la política de firewall de DNS Firewall Manager, Firewall Manager crea las asociaciones de grupos de reglas, con las prioridades de asociación que haya proporcionado, para las cuentas VPCs y cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden añadir asociaciones de grupos de reglas entre la primera y la última asociación, pero no pueden cambiar las asociaciones que defina aquí. Para obtener más información, consulte Uso de las políticas de Amazon Route 53 Resolver DNS Firewall en Firewall Manager.

  9. Elija Next (Siguiente).

  10. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  11. El tipo de recurso para las políticas de DNS firewall es VPC.

  12. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  13. Elija Next (Siguiente).

  14. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  15. Elija Next (Siguiente).

  16. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Creación de una AWS Firewall Manager política para Palo Alto Networks Cloud NGFW

Con una política de Firewall Manager para el firewall de próxima generación de Palo Alto Networks Cloud (Palo Alto Networks CloudNGFW), puede usar Firewall Manager para implementar NGFW los recursos de Palo Alto Networks Cloud y administrar las NGFW pilas de reglas de forma centralizada en todas sus cuentas. AWS

Para obtener información sobre las NGFW políticas de Firewall Manager Palo Alto Networks Cloud, consulteEl uso de políticas de Palo Alto Networks Cloud NGFW para Firewall Manager. Para obtener información sobre cómo configurar y administrar Palo Alto Networks Cloud NGFW for Firewall Manager, consulte la AWS documentación de Palo Alto Networks Palo Alto Networks Cloud NGFW.

Requisitos previos

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en Requisitos previos de AWS Firewall Manager. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Para crear una política de Firewall Manager para Palo Alto Networks Cloud NGFW (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para el tipo de política, elija Palo Alto Networks Cloud NGFW. Si aún no te has suscrito al NGFW servicio en la nube de Palo Alto Networks en AWS Marketplace, tendrás que hacerlo primero. Para suscribirte en AWS Marketplace, selecciona Ver detalles del AWS Marketplace.

  5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos finales del firewall en cada uno de los puntos de conexión VPC que se encuentran dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto final en una inspecciónVPC.

  6. En Región, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  7. Elija Next (Siguiente).

  8. En Nombre de política, introduzca un nombre descriptivo.

  9. En la configuración de la política, elija la política de NGFW firewall de Palo Alto Networks Cloud para asociarla a esta política. La lista de políticas de NGFW firewall de Palo Alto Networks Cloud contiene todas las políticas de NGFW firewall de Palo Alto Networks Cloud asociadas a su NGFW inquilino de Palo Alto Networks Cloud. Para obtener información sobre cómo crear y administrar las políticas de NGFW firewall de Palo Alto Networks Cloud, consulte la guía Implemente Palo Alto Networks Cloud NGFW para, AWS junto con el AWS Firewall Manager tema, en la guía de implementación de Palo Alto Networks Cloud NGFW for AWS Deployment.

  10. En el caso del NGFWregistro en Palo Alto Networks Cloud (opcional), elija de forma opcional los tipos de NGFW registro de Palo Alto Networks Cloud que desee registrar para su política. Para obtener información sobre los tipos de NGFW registro en la nube de Palo Alto Networks, consulte Configurar el registro para Palo Alto Networks Cloud NGFW AWS en la guía de AWS implementación de Palo Alto Networks Cloud NGFW.

    En Destino del registro, especifique en qué momento Firewall Manager debe escribir los registros.

  11. Elija Next (Siguiente).

  12. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de despliegue centralizado para esta política, en la configuración de AWS Firewall Manager terminales, en la VPCsección Configuración de inspección, introduzca el ID de AWS cuenta del propietario de la inspección VPC y el VPC ID de la inspecciónVPC.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

  13. Si desea proporcionar los CIDR bloques para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs

    nota

    La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para optar por no corregir automáticamente.

  14. Elija Next (Siguiente).

  15. Para Alcance de la política, en esta política se aplica a Cuentas de AWS , elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  16. El tipo de recurso para las políticas de Network Firewall es VPC.

  17. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  18. En Conceder acceso entre cuentas, seleccione Descargar plantilla de AWS CloudFormation . Esto descarga una AWS CloudFormation plantilla que puede usar para crear una AWS CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos multicuenta al Administrador de Firewall para administrar los NGFW recursos de Palo Alto Networks Cloud. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de AWS CloudFormation .

  19. Elija Next (Siguiente).

  20. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  21. Elija Next (Siguiente).

  22. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Crear una AWS Firewall Manager política para Fortigate Cloud Native Firewall (CNF) como servicio

Con una política de Firewall Manager para FortigateCNF, puede usar el Firewall Manager para implementar y administrar CNF los recursos de Fortigate en todas sus AWS cuentas.

Para obtener información sobre las CNF políticas de Firewall Manager Fortigate, consulteUso de la política de las políticas de Fortigate Cloud Native Firewall (CNF) como servicio para Firewall Manager. Para obtener información sobre cómo configurar Fortigate CNF para su uso con Firewall Manager, consulte la documentación de Fortinet.

Requisitos previos

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en Requisitos previos de AWS Firewall Manager. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Para crear una política de Firewall Manager para Fortigate CNF (consola)

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para el tipo de política, elija Fortigate Cloud Native Firewall (CNF) como servicio. Si aún no te has suscrito al CNFservicio Fortigate en AWS Marketplace, tendrás que hacerlo primero. Para suscribirte en AWS Marketplace, selecciona Ver detalles del AWS Marketplace.

  5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos finales del firewall en cada uno de los puntos de conexión VPC que se encuentran dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto final en una inspecciónVPC.

  6. En Región, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  7. Elija Next (Siguiente).

  8. En Nombre de política, introduzca un nombre descriptivo.

  9. En la configuración de la política, elija la política de CNF firewall de Fortigate para asociarla a esta política. La lista de políticas de CNF firewall de Fortigate contiene todas las políticas de CNF firewall de Fortigate asociadas a su inquilino de Fortigate. CNF Para obtener información sobre cómo crear y administrar CNF inquilinos de Fortigate, consulte la documentación de Fortinet.

  10. Elija Next (Siguiente).

  11. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de implementación centralizada para esta política, en la configuración del AWS Firewall Manager punto final, en la sección VPC Configuración de inspección, introduzca el ID de AWS cuenta del propietario de la inspección VPC y el VPC ID de la inspección. VPC

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

  12. Si desea proporcionar los CIDR bloques para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs

    nota

    La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para optar por no corregir automáticamente.

  13. Elija Next (Siguiente).

  14. Para Alcance de la política, en esta política se aplica a Cuentas de AWS , elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  15. El tipo de recurso para las políticas de Network Firewall es VPC.

  16. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre las etiquetas para definir el alcance de la política, consulteUso del ámbito de aplicación AWS Firewall Manager de la política.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  17. En Conceder acceso entre cuentas, seleccione Descargar plantilla de AWS CloudFormation . Esto descarga una AWS CloudFormation plantilla que puede usar para crear una AWS CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos multicuenta al Administrador de Firewall para administrar los recursos de FortigateCNF. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de AWS CloudFormation . Para crear una pila, necesitarás el ID de cuenta del portal de CNF Fortigate.

  18. Elija Next (Siguiente).

  19. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  20. Elija Next (Siguiente).

  21. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política