Utilización de políticas del grupo de seguridad comunes con Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Utilización de políticas del grupo de seguridad comunes con Firewall Manager

Esta página explica cómo funcionan las políticas del grupo de seguridad comunes de Firewall Manager.

Con una política de grupo de seguridad común, Firewall Manager proporciona una asociación controlada centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la política en su organización.

Puede aplicar políticas de grupos de seguridad comunes a los siguientes tipos de recursos:

  • Instancia de Amazon Elastic Compute Cloud (Amazon EC2)

  • Elastic Network Interface

  • Equilibrador de carga de aplicación

  • Equilibrador de carga clásico

Para obtener instrucciones sobre cómo crear una política de grupo de seguridad común mediante la consola, consulte Crear una política de grupo de seguridad común.

VPC compartidas

En la configuración de ámbito de política de una política de grupo de seguridad común, puede optar por incluir VPC compartidas. Esta opción incluye VPC que son propiedad de otra cuenta y que se comparten con una cuenta dentro del ámbito. Las VPC que poseen cuentas dentro del ámbito siempre se incluyen. Para obtener información sobre las VPC compartidas, consulte Trabajar con VPC compartidas en la Guía del usuario de Amazon VPC.

Las siguientes advertencias se aplican a la hora de incluir VPC compartidas. Estas advertencias se suman a las advertencias generales sobre las políticas de grupos de seguridad que se encuentran en Limitaciones y advertencias de las políticas de grupos de seguridad.

  • Firewall Manager replica el grupo de seguridad principal en las VPC para cada cuenta dentro del ámbito. Para una VPC compartida, Firewall Manager replica el grupo de seguridad principal una vez para cada cuenta dentro del ámbito con la que se comparte la VPC. Esto puede dar lugar a varias réplicas en una única VPC compartida.

  • Al crear una VPC compartida nueva, no la verá representada en los detalles de la política de grupo de seguridad de Firewall Manager hasta después de crear al menos un recurso en la VPC que esté dentro del ámbito de la política.

  • Cuando deshabilita las VPC compartidas en una política que tenía las VPC compartidas habilitadas, en las VPC compartidas, Firewall Manager elimina los grupos de seguridad de réplica que no están asociados a ningún recurso. Firewall Manager deja los grupos de seguridad de réplica restantes en su lugar, pero deja de administrarlos. La eliminación de estos grupos de seguridad restantes requiere la administración manual en cada instancia de VPC compartida.

Grupos de seguridad principales

Para cada política de grupo de seguridad común, AWS Firewall Manager debe proporcionar uno o varios grupos de seguridad principales:

  • Los grupos de seguridad principales deben ser creados por la cuenta de administrador de Firewall Manager y pueden residir en cualquier instancia de Amazon VPC de la cuenta.

  • Puede administrar grupos de seguridad principal a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

  • Puede nombrar uno o varios grupos de seguridad como principales para una política de grupo de seguridad de Firewall Manager. De forma predeterminada, el número de grupos de seguridad permitidos en una política es uno, pero puede enviar una solicitud para aumentarlo. Para obtener más información, consulte Cuotas de AWS Firewall Manager.

Configuración de reglas de la política

Puede elegir uno o más de los siguientes comportamientos de control de cambios para los grupos de seguridad y los recursos de la política de grupo de seguridad común:

  • Identifique y reporte los cambios realizados por los usuarios locales en los grupos de seguridad de réplica.

  • Desasociar cualquier otro grupo de seguridad de los recursos de AWS que se encuentren dentro del ámbito de la política.

  • Distribuya las etiquetas del grupo primario a los grupos de seguridad de réplica.

    importante

    Firewall Manager no distribuirá etiquetas del sistema agregadas por servicios de AWS en los grupos de seguridad de réplicas. Las etiquetas del sistema comienzan por el prefijo aws:. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte Políticas de etiquetas en la Guía del usuario de AWS Organizations.

  • Distribuya las referencias del grupo de seguridad de los grupos principales a los grupos de seguridad de réplica.

    Esto le permite establecer fácilmente reglas de referencia de grupos de seguridad comunes en todos los recursos incluidos en el alcance para las instancias asociadas a la VPC del grupo de seguridad especificado. Al activar esta opción, Firewall Manager solo propaga las referencias a los grupos de seguridad si los grupos de seguridad hacen referencia a grupos de seguridad del mismo nivel en Amazon Virtual Private Cloud. Si los grupos de seguridad replicados no hacen referencia correctamente al grupo de seguridad del mismo nivel, Firewall Manager marca estos grupos de seguridad replicados como no compatibles. Para obtener información sobre cómo hacer referencia a grupos de seguridad del mismo nivel en Amazon VPC, consulte Actualizar sus grupos de seguridad para hacer referencia a grupos de seguridad del mismo nivel en la Guía de interconexión de Amazon VPC.

    Si no habilita esta opción, Firewall Manager no propaga las referencias de los grupos de seguridad a los grupos de seguridad de réplica. Para obtener información sobre las interconexiones de VPC en Amazon VPC, consulte la Guía de interconexión de Amazon VPC.

Creación y gestión de políticas

Al crear la política de grupo de seguridad común, Firewall Manager replica los grupos de seguridad principales en cada instancia de Amazon VPC dentro del ámbito de la política y asocia los grupos de seguridad replicados a cuentas y recursos incluidos en el ámbito de la política. Al modificar un grupo de seguridad principal, Firewall Manager propaga el cambio a las réplicas.

Al eliminar una política de grupo de seguridad común, puede elegir si desea borrar los recursos creados por la política. Para los grupos de seguridad comunes de Firewall Manager, estos recursos son los grupos de seguridad de réplica. Elija la opción de eliminación a menos que desee administrar manualmente cada réplica individual después de eliminar la política. En la mayoría de las situaciones, elegir la opción de eliminación es el enfoque más sencillo.

Cómo se administran las réplicas

Los grupos de seguridad de réplica de las instancias de Amazon VPC se administran como otros grupos de seguridad de Amazon VPC. Para obtener información, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.