Uso de las políticas de lista de control de acceso (ACL) de red de Amazon VPC con Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Prácticas recomendadasAdvertencias

Uso de las políticas de lista de control de acceso (ACL) de red de Amazon VPC con Firewall Manager

En esta sección se describe cómo funcionan las políticas de la ACL de red de AWS Firewall Manager y se proporciona orientación para utilizarlas. Para obtener instrucciones sobre cómo crear una política de la ACL de red mediante la consola, consulte Creación de una política de la ACL de red.

Para obtener más información sobre las listas de control de acceso (ACL) de la red de Amazon VPC, consulte Controlar el tráfico hacia las subredes utilizando las ACL de red en la Guía del usuario de Amazon VPC.

Puede utilizar las políticas de la ACL de red de Firewall Manager para administrar las listas de control de acceso (ACL) a la red de Amazon Virtual Private Cloud (Amazon VPC) para su organización en AWS Organizations. Usted define la configuración de las reglas de la ACL de red de la política en las cuentas y subredes en las que desea que se aplique la configuración. Firewall Manager aplica continuamente su configuración de las políticas y las aplica a cuentas y subredes a medida que se agregan o actualizan en toda la organización. Para obtener información sobre el alcance de la política de AWS Organizations, consulte Uso del ámbito de la política de AWS Firewall Manager y la Guía del usuario de AWS Organizations.

Cuando define una política de ACL de red de Firewall Manager, además de la configuración estándar de la política de Firewall Manager, como el nombre y el alcance, debe proporcionar lo siguiente:

  • Las primeras y últimas reglas para el manejo del tráfico entrante y saliente. Firewall Manager impone la presencia y el orden de estos elementos en las ACL de red que están dentro del ámbito de aplicación de la política o informa su incumplimiento. Sus cuentas individuales pueden crear reglas personalizadas que se ejecuten entre las primeras y las últimas reglas de la política.

  • Si se debe forzar la corrección cuando esta pueda provocar conflictos en la administración del tráfico entre las reglas de la ACL de red. Esto se aplica solo cuando la corrección está habilitada para la política.

Prácticas recomendadas para usar las políticas de la ACL de red de Firewall Manager

En esta sección se enumeran las recomendaciones para trabajar con las políticas de la ACL de red y las ACL de red administradas de Firewall Manager.

Consulte la etiqueta FMManaged para identificar las ACL de red administradas por el Firewall Manager

Las ACL de red que administra Firewall Manager tienen la etiqueta FMManaged configurada como true. Use esta etiqueta para distinguir sus propias ACL de red personalizadas de las que administra mediante Firewall Manager.

No modifique el valor de la etiqueta FMManaged en una ACL de red

Firewall Manager usa esta etiqueta para establecer y determinar su estado de administración con una ACL de red.

No modifique las asociaciones de las subredes que tienen las ACL de red que administra Firewall Manager

No cambie manualmente las asociaciones entre las subredes y las ACL de red que administra Firewall Manager. Si lo hace, puede inhabilitar la capacidad del Firewall Manager para administrar las protecciones de esas subredes. Puede identificar las ACL de red que administra Firewall Manager consultando la configuración de etiquetas FMManaged de true.

Para eliminar una subred de la administración de políticas de Firewall Manager, utilice la configuración del ámbito de la política de Firewall Manager para excluir la subred. Por ejemplo, puede etiquetar la subred y, a continuación, excluirla del ámbito de la política. Para obtener más información, consulte Uso del ámbito de la política de AWS Firewall Manager.

Cuando actualice una ACL de red administrada, no modifique las reglas que administra Firewall Manager

En una ACL de red que administra Firewall Manager, mantenga sus reglas personalizadas separadas de las reglas de política siguiendo el esquema de numeración descrito en Uso de reglas y etiquetado de la ACL de red en Firewall Manager. Agregue o modifique únicamente las reglas que tengan números entre 5000 y 32 000.

Evite agregar demasiadas reglas a los límites de su cuenta

Durante la corrección de una ACL de red, Firewall Manager suele aumentar temporalmente el recuento de reglas de la ACL de la red. Para evitar problemas de incumplimiento, asegúrese de tener suficiente espacio para las reglas que utilice. Para obtener más información, consulte Cómo Firewall Manager corrige las ACL de red administradas no compatibles.

Comience con la corrección automática desactivada

Comience con la corrección automática deshabilitada, revise la información de detalles de la política para determinar los efectos que tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la política y habilite la corrección automática.

Advertencias sobre la política de ACL de red de Firewall Manager

En esta sección se enumeran las advertencias y limitaciones relacionadas con el uso de las políticas de la ACL de red de Firewall Manager.

  • Tiempos de actualización más lentos que con otras políticas: Firewall Manager suele aplicar las políticas de la ACL de red y los cambios de política con más lentitud que con otras políticas de Firewall Manager, debido a las limitaciones en la velocidad a la que las API de la ACL de red de Amazon EC2 pueden procesar las solicitudes. Es posible que note que los cambios de política tardan más que los cambios similares con otras políticas del Firewall Manager, especialmente cuando agrega una política por primera vez.

  • Para la protección inicial de subredes, Firewall Manager prefiere las políticas más antiguas. Esto solo se aplica a las subredes que aún no están protegidas por una política de la ACL de red de Firewall Manager. Si una subred entra en el ámbito de aplicación de más de una política de la ACL de red al mismo tiempo, Firewall Manager utiliza la política más antigua para proteger la subred.

  • Motivos por los que una política deja de proteger una subred: una política que administra la ACL de red de una subred retiene la administración hasta que ocurra una de las siguientes situaciones:

    • La subred queda fuera del ámbito de la política.

    • Se elimina la política.

    • La asociación de la subred se cambia manualmente a una ACL de red que se administra mediante una política de Firewall Manager diferente y cuyo ámbito de aplicación es la subred.

Temas