Uso de las listas que administra Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Control de versiones de listas administradasUso de listas administradas

Uso de las listas que administra Firewall Manager

Esta sección explica qué son los listados administrados y cómo usarlos.

Las listas administradas de aplicaciones y protocolos simplifican la configuración y la administración de las políticas de los grupos de seguridad de auditoría de contenido de AWS Firewall Manager. Las listas administradas se utilizan para definir los protocolos y las aplicaciones que su política permite y no permite. Para obtener información sobre las políticas de grupo de seguridad de auditoría de contenido, consulte Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager.

Puede utilizar los siguientes tipos de listas administradas en una política de grupo de seguridad de auditoría de contenido:

  • Listas de aplicaciones y listas de protocolos de Firewall Manager: Firewall Manager administra estas listas.

    • Las listas de aplicaciones incluyen FMS-Default-Public-Access-Apps-Allowed y FMS-Default-Public-Access-Apps-Denied, las cuales describen las aplicaciones de uso común que deberían permitirse o denegarse al público en general.

    • Las listas de protocolos incluyen FMS-Default-Protocols-Allowed, una lista de protocolos de uso común que deberían estar permitidos al público en general. Puede usar cualquier lista administrada por Firewall Manager, pero no puede editarla ni eliminarla.

  • Listas de aplicaciones y listas de protocolos personalizadas: usted administra estas listas. Puede crear listas de cualquier tipo con la configuración que necesite. Tiene el control total sobre sus propias listas de administración personalizada y puede crearlas, editarlas y eliminarlas según sea necesario.

    nota

    Actualmente, Firewall Manager no comprueba las referencias a una lista de administración personalizada al eliminarla. Esto significa que puede eliminar una lista de aplicaciones o una lista de protocolos de administración personalizada incluso cuando una política activa la esté utilizando. Esto puede provocar que la política deje de funcionar. Elimine una lista de aplicaciones o una lista de protocolos solo después de comprobar que ninguna política activa hace referencia a ella.

Las listas administradas son recursos de AWS. Puede etiquetar una lista de administración personalizada. No puede etiquetar una lista administrada por Firewall Manager.

Control de versiones de listas administradas

Las listas de administración personalizada no tienen versiones. Al editar una lista personalizada, las políticas que hacen referencia a la lista utilizan automáticamente la lista actualizada.

Las listas administradas por Firewall Manager tienen control de versiones. El equipo del servicio Firewall Manager publica nuevas versiones según sea necesario para aplicar las prácticas recomendadas de seguridad a las listas.

Cuando utiliza una lista administrada por Firewall Manager en una política, elige la estrategia de control de versiones de la siguiente manera:

  • Última versión disponible: si no especifica una configuración de versión explícita para la lista, la política utilizará automáticamente la última versión. Esta es la única opción disponible a través de la consola.

  • Versión explícita: si especifica una versión para la lista, su política utilizará esa versión. La política permanece bloqueada en la versión que ha especificado hasta que modifique la configuración de la versión. Para especificar la versión, debe definir la política fuera de la consola, por ejemplo, mediante la CLI o uno de los SDK.

Para obtener más información sobre cómo elegir la configuración de versión para una lista, consulte Uso de listas administradas en las políticas de los grupos de seguridad de auditoría de contenido.

Uso de listas administradas en las políticas de los grupos de seguridad de auditoría de contenido

Cuando cree una política de grupo de seguridad de auditoría de contenido, puede optar por utilizar reglas de política de auditoría administrada. Algunas de las configuraciones de esta opción requieren una lista de aplicaciones administrada o una lista de protocolos administrada. Algunos ejemplos de estas configuraciones son los protocolos permitidos en las reglas de los grupos de seguridad y las aplicaciones que pueden acceder a Internet.

Se aplican las siguientes restricciones a cada configuración de política que utilice una lista administrada:

  • Puede especificar como máximo una lista administrada por Firewall Manager para cualquier configuración. De forma predeterminada, puede especificar como máximo una lista personalizada. El límite de la listas personalizadas es flexible, por lo que puede solicitar un aumento de la misma. Para obtener más información, consulte Cuotas de AWS Firewall Manager.

  • En la consola, si selecciona una lista administrada por Firewall Manager, no podrá especificar la versión. La política siempre utilizará la última versión de la lista. Para especificar la versión, debe definir la política fuera de la consola, por ejemplo, mediante la CLI o uno de los SDK. Para obtener información sobre el control de versiones de las listas administradas por Firewall Manager, consulte Control de versiones de listas administradas.

Para obtener información acerca de cómo crear una política de grupo de seguridad de auditoría de contenido a través de la consola, consulte Crear una política de grupo de seguridad de auditoría de contenido.