Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager

En esta página, se explica cómo funcionan las políticas del grupo de seguridad de auditoría del contenido de Firewall Manager.

Utilice políticas de grupos de seguridad de auditoría de contenido de AWS Firewall Manager para auditar y aplicar acciones de política a las reglas que se utilizan en los grupos de seguridad de su organización. Las políticas de grupos de seguridad de auditoría de contenido se aplican a todos los grupos de seguridad creados por el cliente que se utilizan en la organización de AWS, según el ámbito que defina en la política.

Para obtener instrucciones sobre cómo crear una política de grupo de seguridad de auditoría de contenido mediante la consola, consulte Crear una política de grupo de seguridad de auditoría de contenido.

Tipo de recurso de ámbito de la política

Puede aplicar políticas de grupos de seguridad de auditoría de contenido a los siguientes tipos de recursos:

  • Instancia de Amazon Elastic Compute Cloud (Amazon EC2)

  • Elastic Network Interface

  • Grupo de seguridad de Amazon VPC

Los grupos de seguridad se consideran dentro del ámbito de la política si están explícitamente dentro del ámbito o si están asociados con recursos que están dentro del ámbito.

Opciones de la regla de política

Puede usar reglas de política administradas o reglas de política personalizadas para cada política de auditoría de contenido, pero no ambas.

  • Reglas de políticas administradas: en una política con reglas administradas, puede usar listas de aplicaciones y de protocolos para controlar las reglas que Firewall Manager audita y marca como compatibles o no compatibles. Puede usar listas administradas por el Firewall Manager. También puede crear y usar sus propias listas de aplicaciones y de protocolos. Para obtener información sobre estos tipos de listas y sus opciones de administración para las listas personalizadas, consulte Uso de las listas que administra Firewall Manager.

  • Reglas de política personalizadas: en una política con reglas de política personalizadas, especifique un grupo de seguridad existente como grupo de seguridad de auditoría para su política. Puede usar las reglas del grupo de seguridad de auditoría como plantilla que defina las reglas que Firewall Manager audita y marca como compatibles o no compatibles.

Auditar grupos de seguridad

Debe crear grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

Firewall Manager solo utiliza un grupo de seguridad que utiliza para una política de grupo de seguridad de auditoría de contenido como referencia de comparación para los grupos de seguridad incluidos en el ámbito de la política. Firewall Manager no lo asocia con ningún recurso de su organización.

La forma en que defina las reglas en el grupo de seguridad de auditoría depende de sus elecciones en la configuración de reglas de la política:

  • Reglas de políticas administradas: para la configuración de las reglas de políticas administradas, se utiliza un grupo de seguridad de auditoría para anular otras configuraciones de la política y permitir o denegar explícitamente las reglas que, de otro modo, podrían tener otro resultado de compatibilidad.

    • Si decide permitir siempre las reglas definidas en el grupo de seguridad de auditoría, cualquier regla que coincida con una que esté definida en el grupo de seguridad de auditoría se considerará compatible con la política, independientemente de las demás configuraciones de la política.

    • Si decide denegar siempre las reglas definidas en el grupo de seguridad de auditoría, cualquier regla que coincida con una que esté definida en el grupo de seguridad de auditoría se considerará incompatible con la política, independientemente de las demás configuraciones de la política.

  • Reglas de políticas personalizadas: en el caso de la configuración de reglas de políticas personalizadas, el grupo de seguridad de auditoría proporciona un ejemplo de lo que es aceptable o no aceptable en las reglas del grupo de seguridad incluidas en el alcance:

    • Si decide permitir el uso de las reglas, todos los grupos de seguridad dentro del alcance solo deben tener reglas que estén dentro del rango permitido de las reglas de grupo de seguridad de auditoría de la política. En este caso, las reglas de grupo de seguridad de la política proporcionan el ejemplo de lo que es aceptable hacer.

    • Si decide denegar el uso de las reglas, todos los grupos de seguridad dentro del alcance solo deben tener reglas que no estén dentro del rango permitido de las reglas de grupo de seguridad de auditoría de la política. En este caso, el grupo de seguridad de la política proporciona el ejemplo de lo que no es aceptable hacer.

Creación y gestión de políticas

Al crear una política de grupo de seguridad de auditoría, debe tener deshabilitada la corrección automática. Se recomienda revisar los efectos de la creación de políticas antes de habilitar la corrección automática. Después de revisar los efectos esperados, puede editar la política y habilitar la corrección automática. Cuando la corrección automática está habilitada, Firewall Manager actualiza o quita reglas que no son conformes de los grupos de seguridad dentro del ámbito.

Grupos de seguridad afectados por una política de grupo de seguridad de auditoría

Todos los grupos de seguridad de la organización creados por el cliente pueden incluirse en el ámbito de una política de grupo de seguridad de auditoría.

Los grupos de seguridad de réplica no son creados por el cliente y, por lo tanto, no son aptos para incluirse directamente en el ámbito de una política de grupo de seguridad de auditoría. Sin embargo, se pueden actualizar como resultado de las actividades de corrección automática de la política. El grupo de seguridad principal de una política de grupo de seguridad común es creado por el cliente y puede incluirse en el ámbito de una política de grupo de seguridad de auditoría. Si una política de grupo de seguridad de auditoría realiza cambios en un grupo de seguridad principal, Firewall Manager propaga automáticamente esos cambios a las réplicas.