Uso de políticas de grupos de seguridad en Firewall Manager para gestionar los grupos VPC de seguridad de Amazon - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Prácticas recomendadas para las políticas de grupos de seguridadLimitaciones y advertencias de las políticas de grupos de seguridadCasos de uso de políticas de grupos de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de políticas de grupos de seguridad en Firewall Manager para gestionar los grupos VPC de seguridad de Amazon

En esta página se explica cómo utilizar las políticas de grupos de AWS Firewall Manager seguridad para gestionar los grupos de seguridad de Amazon Virtual Private Cloud para su organización en AWS Organizations. Puede aplicar políticas de grupos de seguridad controladas centralmente a toda la organización o a un subconjunto seleccionado de cuentas y recursos. También puede supervisar y administrar las políticas de grupos de seguridad que están en uso en su organización, con políticas de grupos de seguridad de auditoría y uso.

Firewall Manager mantiene continuamente sus políticas y las aplica a cuentas y recursos a medida que se agregan o actualizan en toda la organización. Para obtener información al respecto AWS Organizations, consulte la Guía AWS Organizations del usuario.

Para obtener información sobre los grupos de seguridad de Amazon Virtual Private Cloud, consulte Security Groups for Your VPC en la Guía del VPC usuario de Amazon.

Puede utilizar política de grupo de seguridad de Firewall Manager para realizar lo siguiente en toda la organización de AWS :

  • Aplicar grupos de seguridad comunes a cuentas y recursos especificados.

  • Auditar reglas de grupo de seguridad para localizar y corregir reglas no conformes.

  • Auditar el uso de grupos de seguridad para eliminar grupos de seguridad no utilizados y redundantes.

En esta sección se describe cómo funcionan las política de grupos de seguridad de Firewall Manager y se proporciona orientación para utilizarlas. Para obtener información sobre los procedimientos para crear políticas de grupos de seguridad, consulte Creación de una AWS Firewall Manager política.

Prácticas recomendadas para las políticas de grupos de seguridad

En esta sección aparecen recomendaciones para administrar grupos de seguridad mediante AWS Firewall Manager.

Excluir la cuenta de administrador de Firewall Manager

Cuando establezca el ámbito de la política, excluya la cuenta de administrador de Firewall Manager. Cuando crea una política de grupo de seguridad de auditoría de uso a través de la consola, esta es la opción predeterminada.

Comience con la corrección automática desactivada

Para políticas de grupos de seguridad de auditoría de contenido o uso, comience con la corrección automática deshabilitada. Revise la información de detalles de la política para determinar los efectos que tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la política y habilite la corrección automática.

Evite conflictos si también utiliza orígenes externos para administrar grupos de seguridad

Si utiliza una herramienta o servicio que no sea Firewall Manager para administrar los grupos de seguridad, tenga cuidado de evitar conflictos entre su configuración en Firewall Manager y la configuración en su fuente externa. Si utiliza la corrección automática y su configuración entra en conflicto, puede crear un ciclo de corrección conflictiva que consuma recursos en ambos lados.

Por ejemplo, supongamos que configura que otro servicio mantenga un grupo de seguridad para un conjunto de recursos de AWS y configura una política de Firewall Manager para que mantenga un grupo de seguridad diferente para algunos o todos los mismos recursos. Si configura que cualquier parte no permita que cualquier otro grupo de seguridad se asocie con los recursos dentro del ámbito, esa parte eliminará la asociación del grupo de seguridad que mantiene la otra marte. Si ambas partes se configuran de esta manera, puede acabar con un ciclo de asociaciones y desasociaciones conflictivas.

Además, supongamos que crea una política de auditoría de Firewall Manager para aplicar una configuración de grupo de seguridad que entra en conflicto con la configuración de grupo de seguridad del otro servicio. La corrección aplicada por la política de auditoría de Firewall Manager puede actualizar o eliminar ese grupo de seguridad, lo que hace que esté fuera de la conformidad del otro servicio. Si el otro servicio está configurado para supervisar y solucionar automáticamente cualquier problema que encuentre, volverá a crear o actualizar el grupo de seguridad, haciendo de nuevo que esté fuera de la conformidad con la política de auditoría de Firewall Manager. Si la política de auditoría de Firewall Manager está configurada con corrección automática, volverá a actualizar o eliminar el grupo de seguridad externo, etc.

Para evitar conflictos como estos, cree configuraciones que sean mutuamente excluyentes, entre Firewall Manager y cualquier fuente externa.

Puede utilizar el etiquetado para excluir grupos de seguridad externos de la corrección automática por parte de las políticas de Firewall Manager. Para ello, agregue una o más etiquetas a los grupos de seguridad u otros recursos administrados por el origen externo. A continuación, cuando defina el ámbito de la política de Firewall Manager, en la especificación de recursos, excluya los recursos que tengan la etiqueta o las etiquetas que haya agregado.

Del mismo modo, en su herramienta o servicio externo, excluya los grupos de seguridad que Firewall Manager administra de cualquier actividad de administración o auditoría. O bien no importe los recursos de Firewall Manager o use etiquetas específicas de Firewall Manager para excluirlos de la administración externa.

Prácticas recomendadas para las políticas de grupos de seguridad de auditoría de uso

Siga estas directrices cuando utilice políticas de grupos de seguridad de auditoría de uso.

  • Evite realizar varios cambios en el estado de asociación de un grupo de seguridad en un periodo corto; por ejemplo, en un periodo de 15 minutos. Si lo hace, es posible que Firewall Manager se pierda algunos o todos los eventos correspondientes. Por ejemplo, no asocie y desasocie rápidamente un grupo de seguridad con una interfaz de red elástica.

Limitaciones y advertencias de las políticas de grupos de seguridad

En esta sección, se enumeran las limitaciones y las advertencias de uso de las políticas de grupo de seguridad de Firewall Manager.

Tipo de recurso: Amazon EC2 instance

En esta sección se enumeran las advertencias y limitaciones para proteger las EC2 instancias de Amazon con políticas de grupos de seguridad de Firewall Manager.

  • Con los grupos de seguridad que protegen las interfaces de red EC2 elásticas de Amazon (ENIs), los cambios en un grupo de seguridad no son visibles inmediatamente para Firewall Manager. Firewall Manager suele detectar los cambios al cabo de varias horas, pero la detección puede demorarse hasta seis horas.

  • Firewall Manager no admite grupos de seguridad para Amazon EC2 ENIs creados por Amazon Relational Database Service.

  • Firewall Manager no admite la actualización de grupos de seguridad para Amazon EC2 ENIs que se crearon con el tipo de servicio Fargate. Sin embargo, puedes actualizar los grupos de seguridad de Amazon ECS ENIs con el tipo de EC2 servicio de Amazon.

  • Firewall Manager no admite la actualización de grupos de seguridad para EC2 ENIs Amazon gestionado por el solicitante, porque Firewall Manager no tiene permiso para modificarlos.

  • En el caso de las políticas de grupos de seguridad más comunes, estas advertencias se refieren a la interacción entre el número de interfaces de red elásticas (ENIs) que están conectadas a la EC2 instancia y la opción de política que especifica si se deben corregir solo las EC2 instancias sin archivos adjuntos añadidos o si se deben corregir todas las instancias. Cada EC2 instancia tiene una instancia principal ENI predeterminada y puedes adjuntar más. ENIs En elAPI, la configuración de la opción de política para esta elección esApplyToAllEC2InstanceENIs.

    Si una EC2 instancia dentro del ámbito tiene ENIs adjuntos adicionales y la política está configurada para incluir solo EC2 las instancias con solo la instancia principalENI, Firewall Manager no intentará corregir la instancia. EC2 Además, si la instancia queda fuera del ámbito de la política, Firewall Manager no intentará desasociar ninguna asociación de grupos de seguridad que haya establecido para la instancia.

    Para los siguientes casos excepcionales, durante la limpieza de recursos, Firewall Manager puede dejar intactas las asociaciones de grupos de seguridad replicadas, independientemente de las especificaciones de limpieza de recursos de la política:

    • Cuando una instancia con una adicional ENIs se corrigió previamente mediante una política que se configuró para incluir todas las EC2 instancias y, después, la instancia quedó fuera del ámbito de aplicación de la política o se modificó la configuración de la política para incluir solo las instancias sin las adicionales. ENIs

    • Cuando una instancia que no tenía ninguna adicional ENIs se solucionaba mediante una política que se configuraba para incluir solo las instancias sin ninguna adicionalENIs, ENI se adjuntaba otra a la instancia y, por lo tanto, la instancia quedaba fuera del ámbito de aplicación de la política.

Otras advertencias y limitaciones

Estas son varias advertencias y limitaciones para las políticas de grupos de seguridad de Firewall Manager.

  • La actualización de Amazon solo ECS ENIs es posible para ECS los servicios de Amazon que utilizan el controlador de despliegue de actualización progresiva (AmazonECS). Para otros controladores de ECS despliegue de Amazon, como CODE _ DEPLOY o controladores externos, Firewall Manager actualmente no puede actualizar elENIs.

  • Firewall Manager no admite la actualización de los grupos de seguridad ENIs para los balanceadores de carga de red.

  • En las políticas de grupos de seguridad habituales, si un elemento compartido VPC se deja de compartir posteriormente con una cuenta, el Firewall Manager no eliminará los grupos de seguridad de réplica de la cuenta.

  • Con las políticas de grupo de seguridad de auditoría de uso, si crea varias políticas con una configuración de tiempo de demora personalizada que tengan todas el mismo alcance, la primera política con resultados de cumplimiento será la política que informe los resultados.

Casos de uso de políticas de grupos de seguridad

Puede usar políticas de grupos de seguridad AWS Firewall Manager comunes para automatizar la configuración del firewall del host para la comunicación entre las VPC instancias de Amazon. En esta sección se enumeran las VPC arquitecturas estándar de Amazon y se describe cómo proteger cada una de ellas mediante las políticas de grupos de seguridad comunes de Firewall Manager. Estas políticas de grupos de seguridad pueden ayudarlo a aplicar un conjunto unificado de reglas para seleccionar recursos en diferentes cuentas y evitar configuraciones por cuenta en Amazon Elastic Compute Cloud y AmazonVPC.

Con las políticas de grupos de seguridad comunes de Firewall Manager, puede etiquetar solo las interfaces de red EC2 elásticas que necesita para comunicarse con instancias de otro AmazonVPC. Las otras instancias en el mismo Amazon VPC son entonces más seguras y aisladas.

Caso de uso: supervisión y control de las solicitudes a los equilibradores de carga de aplicación y a los equilibradores de carga clásicos

Puede usar una política de grupo de seguridad común de Firewall Manager para definir qué solicitudes deben atender sus equilibradores de carga internos. Puede configurar esto a través de la consola del Firewall Manager. Solo las solicitudes que cumplan con las reglas de entrada del grupo de seguridad pueden llegar a sus equilibradores de carga, y los equilibradores de carga solo distribuirán las solicitudes que cumplan con las reglas de salida.

Caso de uso: Amazon público y accesible a Internet VPC

Puede usar una política de grupo de seguridad común de Firewall Manager para proteger un Amazon públicoVPC, por ejemplo, para permitir solo el puerto de entrada 443. Esto equivale a permitir únicamente el HTTPS tráfico entrante para un público. VPC Puede etiquetar los recursos públicos dentro de VPC (por ejemplo, como VPC «públicos») y, a continuación, establecer el alcance de la política del Firewall Manager para que solo los recursos con esa etiqueta. Firewall Manager aplica automáticamente la política a esos recursos.

Caso de uso: VPC instancias de Amazon públicas y privadas

Puede usar la misma política de grupo de seguridad común para los recursos públicos que se recomendaba en el caso de uso anterior para las instancias de Amazon VPC públicas y accesibles a Internet. Puede utilizar una segunda política de grupo de seguridad común para limitar la comunicación entre los recursos públicos y los privados. Etiquete los recursos de las VPC instancias públicas y privadas de Amazon con algo como PublicPrivate "" para aplicarles la segunda política. Puedes usar una tercera política para definir la comunicación permitida entre los recursos privados y otras VPC instancias corporativas o privadas de Amazon. Para esta política, puede utilizar otra etiqueta de identificación en los recursos privados.

Caso de uso: VPC instancias de Amazon Hub and Spoke

Puede utilizar una política de grupo de seguridad común para definir las comunicaciones entre la VPC instancia central de Amazon y las VPC instancias radiales de Amazon. Puedes usar una segunda política para definir la comunicación entre cada instancia radial de Amazon y la VPC instancia central de AmazonVPC.

Caso de uso: interfaz de red predeterminada para las EC2 instancias de Amazon

Puede usar una política de grupo de seguridad común para permitir solo las comunicaciones estándar, por ejemplo, los servicios internos SSH y de actualización de parches o sistemas operativos, y para impedir otras comunicaciones inseguras.

Caso de uso: identificar recursos con permisos abiertos

Puede utilizar una política de grupo de seguridad de auditoría para identificar todos los recursos de la organización que tienen permiso para comunicarse con direcciones IP públicas o que tienen direcciones IP que pertenecen a proveedores externos.