Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager

En esta página, se explica cómo funcionan las políticas del grupo de seguridad de auditoría de uso de Firewall Manager.

Utilice políticas de grupos de seguridad de auditoría de uso de AWS Firewall Manager para supervisar la organización en busca de grupos de seguridad redundantes y no utilizados y, opcionalmente, eliminarlos. Al habilitar la corrección automática para esta política, Firewall Manager hace lo siguiente:

  1. Consolida grupos de seguridad redundantes, si ha elegido esa opción.

  2. Elimina los grupos de seguridad no utilizados, si ha elegido esa opción.

Puede aplicar políticas de grupos de seguridad de auditoría de uso a los siguientes tipos de recursos:

  • Grupo de seguridad de Amazon VPC

Para obtener instrucciones sobre cómo crear una política de grupo de seguridad de auditoría de uso mediante la consola, consulte Crear una política de grupo de seguridad de auditoría de uso.

Cómo detecta y corrige Firewall Manager los grupos de seguridad redundantes

Para que los grupos de seguridad se consideren redundantes, deben tener exactamente las mismas reglas establecidas y estar en la misma instancia de Amazon VPC.

Para corregir un conjunto de grupos de seguridad redundante, Firewall Manager selecciona uno de los grupos de seguridad del conjunto que desea conservar y, a continuación, lo asocia a todos los recursos que están asociados a los demás grupos de seguridad del conjunto. A continuación, Firewall Manager desasocia los demás grupos de seguridad de los recursos a los que estaban asociados, lo que hace que no se utilicen.

nota

Si también ha elegido eliminar los grupos de seguridad no utilizados, Firewall Manager los elimina a continuación. Esto puede dar lugar a la eliminación de los grupos de seguridad que están en el conjunto redundante.

Cómo detecta y corrige Firewall Manager los grupos de seguridad no utilizados

Firewall Manager considera que un grupo de seguridad no se utiliza si se cumplen las dos condiciones siguientes:

  • Al grupo de seguridad no lo utiliza ninguna instancia de Amazon EC2 ni la interfaz de red elástica de Amazon EC2.

  • Firewall Manager no ha recibido ningún elemento de configuración correspondiente dentro del periodo en minutos especificado en la regla de la política.

El periodo de la regla de la política tiene una configuración predeterminada de cero minutos, pero puede aumentarlo hasta 365 días (525 600 minutos) para tener tiempo de asociar nuevos grupos de seguridad a los recursos.

importante

Si especifica una cantidad de minutos distinta del valor predeterminado de cero, debe habilitar las relaciones indirectas en AWS Config. De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte Relaciones indirectas en AWS Config en la Guía para desarrolladores de AWS Config.

Firewall Manager corrige los grupos de seguridad no utilizados eliminándolos de su cuenta, si es posible, de acuerdo con la configuración de sus reglas. Si Firewall Manager no puede eliminar un grupo de seguridad, lo marca como no conforme con la política. Firewall Manager no puede eliminar un grupo de seguridad al que hace referencia otro grupo de seguridad.

La duración de la corrección varía en función de si se utiliza la configuración de periodo predeterminada o una configuración personalizada:

  • Periodo establecido en cero, el valor predeterminado: con esta configuración, un grupo de seguridad se considera no utilizado cuando una instancia de Amazon EC2 o una interfaz de red elástica no lo utilizan.

    Para esta configuración de periodo cero, Firewall Manager corrige el grupo de seguridad inmediatamente.

  • Periodo superior a cero: con esta configuración, un grupo de seguridad se considera no utilizado cuando no lo utiliza una instancia de Amazon EC2 o una interfaz de red elástica y Firewall Manager no recibió un elemento de configuración para este en el plazo de minutos especificado.

    Para la configuración del periodo distinto de cero, Firewall Manager corrige el grupo de seguridad después de que haya permanecido en estado no utilizado durante 24 horas.

Especificación de cuenta predeterminada

Al crear una política de grupo de seguridad de auditoría de uso a través de la consola, Firewall Manager selecciona automáticamente Excluir las cuentas especificadas e incluir todas las demás. A continuación, el servicio pone la cuenta de administrador de Firewall Manager en la lista de exclusión. Esta es la estrategia recomendada y le permite administrar manualmente los grupos de seguridad que pertenecen a la cuenta de administrador de Firewall Manager.