Uso de políticas de grupos de seguridad en Firewall Manager para administrar los grupos de seguridad de Amazon VPC - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Prácticas recomendadas para las políticas de grupos de seguridadLimitaciones y advertencias de las políticas de grupos de seguridadCasos de uso de políticas de grupos de seguridad

Uso de políticas de grupos de seguridad en Firewall Manager para administrar los grupos de seguridad de Amazon VPC

En esta página, se explica cómo utilizar las políticas de grupos de seguridad de AWS Firewall Manager para administrar grupos de seguridad de Amazon Virtual Private Cloud para su organización en AWS Organizations. Puede aplicar políticas de grupos de seguridad controladas centralmente a toda la organización o a un subconjunto seleccionado de cuentas y recursos. También puede supervisar y administrar las políticas de grupos de seguridad que están en uso en su organización, con políticas de grupos de seguridad de auditoría y uso.

Firewall Manager mantiene continuamente sus políticas y las aplica a cuentas y recursos a medida que se agregan o actualizan en toda la organización. Para obtener información sobre AWS Organizations, consulte la Guía del usuario de AWS Organizations.

Para obtener información sobre los grupos de seguridad de Amazon Virtual Private Cloud, consulte Grupos de seguridad para su VPC en la Guía del usuario de Amazon VPC.

Puede utilizar política de grupo de seguridad de Firewall Manager para realizar lo siguiente en toda la organización de AWS:

  • Aplicar grupos de seguridad comunes a cuentas y recursos especificados.

  • Auditar reglas de grupo de seguridad para localizar y corregir reglas no conformes.

  • Auditar el uso de grupos de seguridad para eliminar grupos de seguridad no utilizados y redundantes.

En esta sección se describe cómo funcionan las política de grupos de seguridad de Firewall Manager y se proporciona orientación para utilizarlas. Para obtener información sobre los procedimientos para crear políticas de grupos de seguridad, consulte Crear una política de AWS Firewall Manager.

Prácticas recomendadas para las políticas de grupos de seguridad

En esta sección aparecen recomendaciones para administrar grupos de seguridad mediante AWS Firewall Manager.

Excluir la cuenta de administrador de Firewall Manager

Cuando establezca el ámbito de la política, excluya la cuenta de administrador de Firewall Manager. Cuando crea una política de grupo de seguridad de auditoría de uso a través de la consola, esta es la opción predeterminada.

Comience con la corrección automática desactivada

Para políticas de grupos de seguridad de auditoría de contenido o uso, comience con la corrección automática deshabilitada. Revise la información de detalles de la política para determinar los efectos que tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la política y habilite la corrección automática.

Evite conflictos si también utiliza fuentes externas para administrar grupos de seguridad

Si utiliza una herramienta o servicio que no sea Firewall Manager para administrar los grupos de seguridad, tenga cuidado de evitar conflictos entre su configuración en Firewall Manager y la configuración en su fuente externa. Si utiliza la corrección automática y su configuración entra en conflicto, puede crear un ciclo de corrección conflictiva que consuma recursos en ambos lados.

Por ejemplo, supongamos que configura que otro servicio mantenga un grupo de seguridad para un conjunto de recursos de AWS y configura una política de Firewall Manager para que mantenga un grupo de seguridad diferente para algunos o todos los mismos recursos. Si configura que cualquier parte no permita que cualquier otro grupo de seguridad se asocie con los recursos dentro del ámbito, esa parte eliminará la asociación del grupo de seguridad que mantiene la otra marte. Si ambas partes se configuran de esta manera, puede acabar con un ciclo de asociaciones y desasociaciones conflictivas.

Además, supongamos que crea una política de auditoría de Firewall Manager para aplicar una configuración de grupo de seguridad que entra en conflicto con la configuración de grupo de seguridad del otro servicio. La corrección aplicada por la política de auditoría de Firewall Manager puede actualizar o eliminar ese grupo de seguridad, lo que hace que esté fuera de la conformidad del otro servicio. Si el otro servicio está configurado para supervisar y solucionar automáticamente cualquier problema que encuentre, volverá a crear o actualizar el grupo de seguridad, haciendo de nuevo que esté fuera de la conformidad con la política de auditoría de Firewall Manager. Si la política de auditoría de Firewall Manager está configurada con corrección automática, volverá a actualizar o eliminar el grupo de seguridad externo, etc.

Para evitar conflictos como estos, cree configuraciones que sean mutuamente excluyentes, entre Firewall Manager y cualquier fuente externa.

Puede utilizar el etiquetado para excluir grupos de seguridad externos de la corrección automática por parte de las políticas de Firewall Manager. Para ello, agregue una o más etiquetas a los grupos de seguridad u otros recursos administrados por la fuente externa. A continuación, cuando defina el ámbito de la política de Firewall Manager, en la especificación de recursos, excluya los recursos que tengan la etiqueta o las etiquetas que haya agregado.

Del mismo modo, en su herramienta o servicio externo, excluya los grupos de seguridad que Firewall Manager administra de cualquier actividad de administración o auditoría. O bien no importe los recursos de Firewall Manager o use etiquetas específicas de Firewall Manager para excluirlos de la administración externa.

Prácticas recomendadas para las políticas de grupos de seguridad de auditoría de uso

Siga estas directrices cuando utilice políticas de grupos de seguridad de auditoría de uso.

  • Evite realizar varios cambios en el estado de asociación de un grupo de seguridad en un periodo corto; por ejemplo, en un periodo de 15 minutos. Si lo hace, es posible que Firewall Manager se pierda algunos o todos los eventos correspondientes. Por ejemplo, no asocie y desasocie rápidamente un grupo de seguridad con una interfaz de red elástica.

Limitaciones y advertencias de las políticas de grupos de seguridad

En esta sección, se enumeran las limitaciones y las advertencias de uso de las políticas de grupo de seguridad de Firewall Manager.

Tipo de recurso: instancia de Amazon EC2

En esta sección, se enumeran las limitaciones y las advertencias para proteger las instancias de Amazon EC2 con las políticas de grupo de seguridad de Firewall Manager.

  • Con los grupos de seguridad que protegen las interfaces de red elásticas (ENI) de Amazon EC2, los cambios en un grupo de seguridad no son visibles inmediatamente para Firewall Manager. Firewall Manager suele detectar los cambios al cabo de varias horas, pero la detección puede demorarse hasta seis horas.

  • Firewall Manager no admite grupos de seguridad para las ENI de Amazon EC2 creadas por Amazon Relational Database Service.

  • Firewall Manager no admite la actualización de grupos de seguridad para las ENI de Amazon EC2 que se crearon utilizando el tipo de servicio de Fargate. Sin embargo, puede actualizar los grupos de seguridad para las ENI de Amazon ECS con el tipo de servicio de Amazon EC2.

  • Firewall Manager no admite la actualización de grupos de seguridad para las ENI de Amazon EC2 administradas por el solicitante porque Firewall Manager no tiene permiso para modificarlos.

  • En el caso de las políticas de grupos de seguridad habituales, estas advertencias se refieren a la interacción entre el número de interfaces de red elásticas (ENI) que están conectadas a la instancia de EC2 y la opción de la política que especifica si se deben corregir únicamente las instancias de EC2 sin adjuntos agregados o si se deben corregir todas las instancias. Cada instancia de EC2 tiene una ENI principal predeterminada y puede adjuntar más ENI. En la API, la configuración de la opción de la política para esto es ApplyToAllEC2InstanceENIs.

    Si una instancia EC2 dentro del ámbito tiene otras ENI adicionales adjuntas y la política está configurada para incluir solo las instancias de EC2 con solo la ENI principal, Firewall Manager no intentará corregir la instancia de EC2. Además, si la instancia queda fuera del ámbito de la política, Firewall Manager no intentará desasociar ninguna asociación de grupos de seguridad que haya establecido para la instancia.

    Para los siguientes casos excepcionales, durante la limpieza de recursos, Firewall Manager puede dejar intactas las asociaciones de grupos de seguridad replicadas, independientemente de las especificaciones de limpieza de recursos de la política:

    • Cuando una instancia con ENI adicionales se corrigió previamente mediante una política configurada para incluir todas las instancias de EC2 y, a continuación, la instancia salió del ámbito de la política o se cambió la configuración de la política para incluir solo instancias sin las ENI adicionales.

    • Cuando una instancia sin ENI adicionales se corrigió mediante una política configurada para incluir solo instancias sin ENI adicionales, después se adjuntó otra ENI a la instancia y, a continuación, la instancia salió del ámbito de la política.

Otras advertencias y limitaciones

Estas son varias advertencias y limitaciones para las políticas de grupos de seguridad de Firewall Manager.

  • La actualización de las ENI de Amazon ECS solo es posible para los servicios de Amazon ECS que utilizan el controlador de implementación de actualización continua (Amazon ECS). Para otros controladores de implementación de Amazon ECS, como CODE_DEPLOY o controladores externos, en estos momentos, Firewall Manager no puede actualizar las ENI.

  • Firewall Manager no admite la actualización de grupos de seguridad en las ENI para equilibradores de carga de red.

  • En las políticas de grupos de seguridad comunes, si una VPC compartida luego deja de compartirse con una cuenta, Firewall Manager no eliminará los grupos de seguridad de réplica de la cuenta.

  • Con las políticas de grupo de seguridad de auditoría de uso, si crea varias políticas con una configuración de tiempo de demora personalizada que tengan todas el mismo alcance, la primera política con resultados de cumplimiento será la política que informe los resultados.

Casos de uso de políticas de grupos de seguridad

Puede utilizar políticas de grupos de seguridad comunes de AWS Firewall Manager para automatizar la configuración del firewall del host para la comunicación entre instancias de Amazon VPC. En esta sección se enumeran las arquitecturas estándar de Amazon VPC y se describe cómo proteger cada una mediante políticas de grupos de seguridad comunes de Firewall Manager. Estas políticas de grupos de seguridad pueden ayudarle a aplicar un conjunto unificado de reglas para seleccionar recursos en diferentes cuentas y evitar configuraciones por cuenta en Amazon Elastic Compute Cloud y Amazon VPC.

Con las políticas de grupos de seguridad comunes de Firewall Manager, puede etiquetar solo las interfaces de red elásticas de EC2 que necesita para comunicarse con instancias de otra Amazon VPC. Las otras instancias en la misma Amazon VPC quedan entonces más seguras y aisladas.

Caso de uso: supervisión y control de las solicitudes a los equilibradores de carga de aplicación y a los equilibradores de carga clásicos

Puede usar una política de grupo de seguridad común de Firewall Manager para definir qué solicitudes deben atender sus equilibradores de carga internos. Puede configurar esto a través de la consola del Firewall Manager. Solo las solicitudes que cumplan con las reglas de entrada del grupo de seguridad pueden llegar a sus equilibradores de carga, y los equilibradores de carga solo distribuirán las solicitudes que cumplan con las reglas de salida.

Caso de uso: VPC de Amazon pública y accesible a través de Internet

Puede utilizar una política de grupo de seguridad común de Firewall Manager para proteger una VPC de Amazon pública, por ejemplo, para permitir solo el puerto de entrada 443. Esto es lo mismo que permitir el tráfico HTTPS entrante para una VPC pública. Puede etiquetar recursos públicos dentro de la VPC (por ejemplo, como “PublicVPC”) y, a continuación, establecer el alcance de la política de Firewall Manager solo a los recursos con esa etiqueta. Firewall Manager aplica automáticamente la política a esos recursos.

Caso de uso: instancias públicas y privadas de Amazon VPC

Puede utilizar la misma política de grupo de seguridad común para recursos públicos que se recomienda en el caso de uso anterior para instancias de Amazon VPC públicas accesibles por Internet. Puede utilizar una segunda política de grupo de seguridad común para limitar la comunicación entre los recursos públicos y los privados. Etiquete los recursos en las instancias de Amazon VPC públicas y privadas con algo así como "PublicPrivate" para aplicarles la segunda política. Puede utilizar una tercera política para definir la comunicación permitida entre los recursos privados y otras instancias de Amazon VPC corporativas o privadas. Para esta política, puede utilizar otra etiqueta de identificación en los recursos privados.

Caso de uso: instancias de Amazon VPC de concentradores y radios

Puede utilizar una política de grupo de seguridad común para definir las comunicaciones entre la instancia de Amazon VPC de concentrador y las instancias de Amazon VPC de radio. Puede utilizar una segunda política para definir la comunicación desde cada instancia de Amazon VPC de radio a la instancia de Amazon VPC de concentrador.

Caso de uso: interfaz de red predeterminada para instancias Amazon EC2

Puede utilizar una política de grupo de seguridad común para permitir únicamente comunicaciones estándar, por ejemplo, servicios de actualización de parche/SO y SSH internos y para no permitir otras comunicaciones inseguras.

Caso de uso: identificar recursos con permisos abiertos

Puede utilizar una política de grupo de seguridad de auditoría para identificar todos los recursos de la organización que tienen permiso para comunicarse con direcciones IP públicas o que tienen direcciones IP que pertenecen a proveedores externos.