Stratégies de groupe de sécurité communes Stratégies de groupe de sécurité d'audit de contenu Stratégies de groupe de sécurité d'audit d'utilisation Bonnes pratiques en matière de politique des groupes de sécurité Mises en garde et limites relatives à la politique des groupes de sécurité Cas d'utilisation des stratégies de groupe de sécurité

Politiques des groupes de sécurité

Vous pouvez utiliser les politiques des groupes de AWS Firewall Manager sécurité pour gérer les groupes de sécurité Amazon Virtual Private Cloud pour votre organisation dans AWS Organizations. Vous pouvez appliquer des stratégies de groupe de sécurité contrôlées de manière centralisée à l'ensemble de votre organisation ou à un sous-ensemble sélectionné de vos comptes et ressources. Vous pouvez également surveiller et gérer les stratégies de groupe de sécurité utilisées dans votre organisation, avec des stratégies de groupe de sécurité d'audit et d'utilisation.

Firewall Manager gère en permanence vos politiques et les applique aux comptes et aux ressources au fur et à mesure qu'ils sont ajoutés ou mis à jour au sein de votre organisation. Pour plus d'informations AWS Organizations, consultez le Guide de AWS Organizations l'utilisateur.

Pour plus d'informations sur les groupes de sécurité Amazon Virtual Private Cloud, consultez la section Security Groups for Your VPC dans le guide de VPC l'utilisateur Amazon.

Vous pouvez utiliser les politiques de groupe de sécurité de Firewall Manager pour effectuer les opérations suivantes au sein de votre AWS entreprise :

Appliquer des groupes de sécurité communs aux comptes et ressources spécifiés.
Auditer des règles de groupe de sécurité pour rechercher et corriger les règles non conformes.
Auditer l'utilisation des groupes de sécurité pour nettoyer les groupes de sécurité inutilisés et redondants.

Cette section décrit le fonctionnement des politiques des groupes de sécurité de Firewall Manager et fournit des conseils pour les utiliser. Pour les procédures de création de politiques de groupe de sécurité, voirCréation d'une AWS Firewall Manager politique.

Stratégies de groupe de sécurité communes

Grâce à une politique de groupe de sécurité commune, Firewall Manager fournit une association contrôlée de manière centralisée des groupes de sécurité aux comptes et aux ressources de votre entreprise. Vous spécifiez où et comment appliquer la stratégie dans votre organisation.

Vous pouvez appliquer des politiques de groupe de sécurité communes aux types de ressources suivants :

Instance Amazon Elastic Compute Cloud (AmazonEC2)
Interface réseau élastique
Application Load Balancer
Classic Load Balancer

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité commune à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité commune.

Partagé VPCs

Dans les paramètres de portée d'une stratégie de groupe de sécurité commune, vous pouvez choisir d'inclure le partageVPCs. Ce choix inclut ceux VPCs qui sont détenus par un autre compte et partagés avec un compte inclus dans le champ d'application. VPCsque les comptes inclus dans le champ d'application sont toujours inclus. Pour plus d'informations sur le partageVPCs, consultez la section Travailler avec le partage VPCs dans le guide de VPC l'utilisateur Amazon.

Les mises en garde suivantes s'appliquent à l'inclusion du partage. VPCs Elles s'ajoutent aux mises en garde générales relatives aux politiques des groupes de sécurité figurant à l'adresse. Mises en garde et limites relatives à la politique des groupes de sécurité

Firewall Manager réplique le groupe de sécurité principal dans le groupe de sécurité VPCs de chaque compte concerné. Dans le cas d'un partageVPC, Firewall Manager réplique le groupe de sécurité principal une fois pour chaque compte concerné avec lequel il VPC est partagé. Cela peut entraîner la création de plusieurs répliques dans un seul partageVPC.
Lorsque vous créez un nouveau partageVPC, vous ne le verrez pas représenté dans les détails de la politique de groupe de sécurité de Firewall Manager tant VPC que vous n'aurez pas créé au moins une ressource relevant du champ d'application de la politique.
Lorsque vous désactivez le partage VPCs dans le cadre d'une politique qui avait VPCs activé le partageVPCs, Firewall Manager supprime les répliques des groupes de sécurité qui ne sont associés à aucune ressource. Firewall Manager laisse les groupes de sécurité répliques restants en place, mais arrête de les gérer. La suppression de ces groupes de sécurité restants nécessite une gestion manuelle dans chaque VPC instance partagée.

Groupes de sécurité principaux

Pour chaque stratégie de groupe de sécurité commune, vous AWS Firewall Manager fournissez un ou plusieurs groupes de sécurité principaux :

Les groupes de sécurité principaux doivent être créés par le compte administrateur de Firewall Manager et peuvent résider dans n'importe quelle VPC instance Amazon du compte.
Vous gérez vos principaux groupes de sécurité via Amazon Virtual Private Cloud (AmazonVPC) ou Amazon Elastic Compute Cloud (AmazonEC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de VPC l'utilisateur Amazon.
Vous pouvez nommer un ou plusieurs groupes de sécurité comme principaux pour une politique de groupe de sécurité Firewall Manager. Par défaut, le nombre de groupes de sécurité autorisés dans une stratégie est limité à un, mais vous pouvez envoyer une demande pour augmenter cette limite. Pour plus d’informations, veuillez consulter AWS Firewall Manager quotas.

Paramètres des règles de stratégie

Vous pouvez choisir un ou plusieurs des comportements de contrôle des modifications suivants pour les groupes de sécurité et les ressources de votre stratégie de groupe de sécurité commune :

Identifiez et signalez les modifications apportées par les utilisateurs locaux aux groupes de sécurité répliqués.
Dissociez tous les autres groupes de sécurité des AWS ressources relevant du champ d'application de la politique.
Distribuez les balises du groupe principal aux groupes de sécurité répliqués.

Important
Firewall Manager ne distribuera pas les balises système ajoutées par les AWS services dans les groupes de sécurité répliqués. Les balises système commencent par le préfixe aws:. En outre, Firewall Manager ne met pas à jour les balises des groupes de sécurité existants et ne crée pas de nouveaux groupes de sécurité si la politique contient des balises en conflit avec la politique de balises de l'entreprise. Pour plus d'informations sur les politiques relatives aux balises, consultez la section Politiques relatives aux balises dans le guide de AWS Organizations l'utilisateur.
Distribuez les références aux groupes de sécurité du groupe principal aux groupes de sécurité répliqués.

Cela vous permet d'établir facilement des règles communes de référencement des groupes de sécurité pour toutes les ressources incluses dans le champ d'application pour les instances associées aux groupes de sécurité spécifiés. VPC Lorsque vous activez cette option, Firewall Manager ne propage les références aux groupes de sécurité que si les groupes de sécurité font référence à des groupes de sécurité homologues dans Amazon Virtual Private Cloud. Si les groupes de sécurité répliqués ne font pas correctement référence au groupe de sécurité homologue, Firewall Manager marque ces groupes de sécurité répliqués comme non conformes. Pour plus d'informations sur la façon de référencer les groupes de sécurité homologues dans AmazonVPC, consultez Mettre à jour vos groupes de sécurité pour référencer les groupes de sécurité homologues dans le Amazon VPC Peering Guide.

Si vous n'activez pas cette option, Firewall Manager ne propage pas les références aux groupes de sécurité aux répliques de groupes de sécurité. Pour plus d'informations sur le VPC peering sur AmazonVPC, consultez le Amazon VPC Peering Guide.

Création et gestion des stratégies

Lorsque vous créez votre politique de groupe de sécurité commune, Firewall Manager réplique les principaux groupes de sécurité sur chaque VPC instance Amazon relevant du champ d'application de la politique, et associe les groupes de sécurité répliqués aux comptes et aux ressources concernés par la politique. Lorsque vous modifiez un groupe de sécurité principal, Firewall Manager propage la modification aux répliques.

Lorsque vous supprimez une stratégie de groupe de sécurité commune, vous pouvez choisir de nettoyer les ressources créées par la stratégie. Pour les groupes de sécurité courants de Firewall Manager, ces ressources sont les répliques des groupes de sécurité. Choisissez l'option de nettoyage, sauf si vous souhaitez gérer manuellement chaque réplica après la suppression de la stratégie. Dans la plupart des situations, choisir l'option de nettoyage est l'approche la plus simple.

Mode de gestion des réplicas

Les groupes de sécurité répliqués dans les VPC instances Amazon sont gérés comme les autres groupes VPC de sécurité Amazon. Pour plus d'informations, consultez la section Security Groups for Your VPC dans le guide de VPC l'utilisateur Amazon.

Stratégies de groupe de sécurité d'audit de contenu

Utilisez les politiques des groupes de sécurité d'audit de AWS Firewall Manager contenu pour auditer et appliquer des actions de stratégie aux règles utilisées dans les groupes de sécurité de votre organisation. Les politiques des groupes de sécurité d'audit de contenu s'appliquent à tous les groupes de sécurité créés par les clients et utilisés dans votre AWS organisation, selon le périmètre que vous définissez dans la politique.

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité d'audit de contenu à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité d'audit de contenu.

Type de ressource concerné par une stratégie

Vous pouvez appliquer des politiques de groupe de sécurité d'audit de contenu aux types de ressources suivants :

Instance Amazon Elastic Compute Cloud (AmazonEC2)
Interface réseau élastique
Groupe VPC de sécurité Amazon

Les groupes de sécurité sont considérés comme étant concernés par la stratégie s'ils sont explicitement dans la portée de la stratégie ou s'ils sont associés à des ressources qui sont dans la portée.

Options de règles de politique

Vous pouvez utiliser des règles de stratégie gérées ou des règles de stratégie personnalisées pour chaque stratégie d'audit de contenu, mais pas les deux.

Règles de stratégie gérées : dans une politique comportant des règles gérées, vous pouvez utiliser des listes d'applications et de protocoles pour contrôler les règles que Firewall Manager audite et marque comme conformes ou non conformes. Vous pouvez utiliser des listes gérées par Firewall Manager. Vous pouvez également créer et utiliser vos propres listes d'applications et de protocoles. Pour plus d'informations sur ces types de listes et sur les options de gestion des listes personnalisées, consultezListes gérées.
Règles de stratégie personnalisées : dans une politique comportant des règles de stratégie personnalisées, vous spécifiez un groupe de sécurité existant comme groupe de sécurité d'audit pour votre stratégie. Vous pouvez utiliser les règles du groupe de sécurité d'audit comme modèle qui définit les règles que Firewall Manager audite et marque comme conformes ou non conformes.

Audit des groupes de sécurité

Vous devez créer des groupes de sécurité d'audit à l'aide de votre compte administrateur Firewall Manager avant de pouvoir les utiliser dans votre politique. Vous pouvez gérer les groupes de sécurité via Amazon Virtual Private Cloud (AmazonVPC) ou Amazon Elastic Compute Cloud (AmazonEC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

Un groupe de sécurité que vous utilisez pour une stratégie de groupe de sécurité d'audit de contenu est utilisé par Firewall Manager uniquement comme référence de comparaison pour les groupes de sécurité concernés par cette stratégie. Firewall Manager ne l'associe à aucune ressource de votre organisation.

La façon dont vous définissez les règles dans le groupe de sécurité d'audit dépend de vos choix dans les paramètres des règles de politique :

Règles de stratégie gérées : pour les paramètres des règles de stratégie gérées, vous utilisez un groupe de sécurité d'audit pour remplacer les autres paramètres de la stratégie, afin d'autoriser ou de refuser explicitement les règles qui, autrement, pourraient avoir un autre résultat de conformité.
- Si vous choisissez de toujours autoriser les règles définies dans le groupe de sécurité d'audit, toute règle correspondant à celle définie dans le groupe de sécurité d'audit est considérée comme conforme à la stratégie, quels que soient les autres paramètres de stratégie.
- Si vous choisissez de toujours refuser les règles définies dans le groupe de sécurité d'audit, toute règle correspondant à une règle définie dans le groupe de sécurité d'audit est considérée comme non conforme à la stratégie, quels que soient les autres paramètres de stratégie.
Règles de stratégie personnalisées : pour les paramètres des règles de stratégie personnalisées, le groupe de sécurité d'audit fournit un exemple de ce qui est acceptable ou non acceptable dans les règles du groupe de sécurité incluses dans le champ de compétence :
- Si vous choisissez d'autoriser l'utilisation des règles, tous les groupes de sécurité concernés ne doivent disposer que de règles se situant dans la plage autorisée par les règles de groupe de sécurité d'audit de la politique. Dans ce cas, les règles de groupe de sécurité de la politique fournissent un exemple de ce qu'il est acceptable de faire.
- Si vous choisissez de refuser l'utilisation des règles, tous les groupes de sécurité concernés ne doivent avoir que des règles qui ne se situent pas dans la plage autorisée par les règles de groupe de sécurité d'audit de la politique. Dans ce cas, le groupe de sécurité de la politique fournit un exemple de ce qu'il n'est pas acceptable de faire.

Création et gestion des stratégies

Lorsque vous créez une stratégie de groupe de sécurité d'audit, la résolution automatique doit être désactivée. La pratique recommandée consiste à examiner les effets de la création d'une stratégie avant d'activer la résolution automatique. Après avoir examiné les effets attendus, vous pouvez modifier la stratégie et activer la résolution automatique. Lorsque la correction automatique est activée, Firewall Manager met à jour ou supprime les règles non conformes dans les groupes de sécurité concernés.

Groupes de sécurité affectés par une stratégie de groupe de sécurité d'audit

Tous les groupes de sécurité de votre organisation qui sont créés par les clients peuvent être concernés par une stratégie de groupe de sécurité d'audit.

Les groupes de sécurité de réplica ne sont pas créés par les clients et ne peuvent donc pas être directement concernés par une stratégie de groupe de sécurité d'audit. Cependant, ils peuvent être mis à jour suite à des activités de résolution automatique de la stratégie. Le groupe de sécurité principal d'une stratégie de groupe de sécurité commune est créé par le client et peut être concerné par une stratégie de groupe de sécurité d'audit. Si une politique de groupe de sécurité d'audit apporte des modifications à un groupe de sécurité principal, Firewall Manager propage automatiquement ces modifications aux répliques.

Stratégies de groupe de sécurité d'audit d'utilisation

Utilisez les politiques des groupes de sécurité AWS Firewall Manager d'audit d'utilisation pour surveiller les groupes de sécurité inutilisés et redondants dans votre organisation et éventuellement effectuer un nettoyage. Lorsque vous activez la correction automatique de cette politique, Firewall Manager effectue les opérations suivantes :

Consolide les groupes de sécurité redondants, si vous avez choisi cette option.
Supprime les groupes de sécurité non utilisés, si vous avez choisi cette option.

Vous pouvez appliquer des politiques de groupe de sécurité d'audit d'utilisation au type de ressource suivant :

Groupe VPC de sécurité Amazon

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité d'audit d'utilisation à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité d'audit d'utilisation.

Comment Firewall Manager détecte et corrige les groupes de sécurité redondants

Pour que les groupes de sécurité soient considérés comme redondants, ils doivent avoir exactement les mêmes règles définies et se trouver dans la même VPC instance Amazon.

Pour remédier à un ensemble de groupes de sécurité redondant, Firewall Manager sélectionne l'un des groupes de sécurité à conserver, puis l'associe à toutes les ressources associées aux autres groupes de sécurité de l'ensemble. Firewall Manager dissocie ensuite les autres groupes de sécurité des ressources auxquelles ils étaient associés, ce qui les rend inutilisés.

Note

Si vous avez également choisi de supprimer les groupes de sécurité inutilisés, Firewall Manager s'en charge ensuite. Cela peut entraîner la suppression des groupes de sécurité qui se trouvent dans l'ensemble redondant.

Comment Firewall Manager détecte et corrige les groupes de sécurité non utilisés

Firewall Manager considère qu'un groupe de sécurité n'est pas utilisé si les deux conditions suivantes sont réunies :

Le groupe de sécurité n'est utilisé par aucune EC2 instance Amazon ou Amazon EC2 Elastic Network Interface.
Firewall Manager n'a pas reçu d'élément de configuration correspondant dans le délai de minutes spécifié dans la période définie par les règles de politique.

La durée de la règle de politique est définie par défaut à zéro minute, mais vous pouvez l'augmenter jusqu'à 365 jours (525 600 minutes), afin de vous donner le temps d'associer de nouveaux groupes de sécurité aux ressources.

Important

Si vous spécifiez un nombre de minutes autre que la valeur par défaut de zéro, vous devez activer les relations indirectes dans AWS Config. Dans le cas contraire, vos politiques de groupe de sécurité d'audit d'utilisation ne fonctionneront pas comme prévu. Pour plus d'informations sur les relations indirectes dans AWS Config, voir Relations indirectes AWS Config dans le Guide du AWS Config développeur.

Firewall Manager corrige les groupes de sécurité inutilisés en les supprimant de votre compte conformément aux paramètres de vos règles, si possible. Si Firewall Manager ne parvient pas à supprimer un groupe de sécurité, il le marque comme non conforme à la politique. Firewall Manager ne peut pas supprimer un groupe de sécurité référencé par un autre groupe de sécurité.

La durée de la correction varie selon que vous utilisez le paramètre de période par défaut ou un paramètre personnalisé :

Période définie sur zéro, valeur par défaut : avec ce paramètre, un groupe de sécurité est considéré comme inutilisé dès qu'il n'est pas utilisé par une EC2 instance Amazon ou une interface elastic network.

Pour ce paramètre de période zéro, Firewall Manager corrige immédiatement le groupe de sécurité.
Période supérieure à zéro — Avec ce paramètre, un groupe de sécurité est considéré comme inutilisé lorsqu'il n'est pas utilisé par une EC2 instance Amazon ou Elastic Network Interface et que Firewall Manager n'a pas reçu d'élément de configuration correspondant dans le délai spécifié.

Pour le paramètre de période différent de zéro, Firewall Manager corrige le groupe de sécurité après qu'il soit resté inutilisé pendant 24 heures.

Spécification du compte par défaut

Lorsque vous créez une politique de groupe de sécurité d'audit d'utilisation via la console, Firewall Manager choisit automatiquement d'exclure les comptes spécifiés et d'inclure tous les autres. Le service place ensuite le compte administrateur de Firewall Manager dans la liste à exclure. Il s'agit de l'approche recommandée, qui vous permet de gérer manuellement les groupes de sécurité appartenant au compte administrateur de Firewall Manager.

Bonnes pratiques pour les stratégies de groupe de sécurité

Cette section répertorie les recommandations relatives à la gestion des groupes de sécurité à l'aide d' AWS Firewall Manager.

Exclure le compte administrateur de Firewall Manager

Lorsque vous définissez le champ d'application de la politique, excluez le compte administrateur de Firewall Manager. Lorsque vous créez une stratégie de groupe de sécurité d'audit d'utilisation via la console, il s'agit de l'option par défaut.

Désactiver le lancement avec la correction automatique

Pour les stratégies de groupe de sécurité d'audit de contenu ou d'utilisation, démarrez avec la résolution automatique désactivée. Examinez les informations détaillées de la stratégie pour déterminer les effets qu'aurait la résolution automatique aurait. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie pour activer la résolution automatique.

Éviter les conflits en cas d'utilisation de sources externes pour gérer des groupes de sécurité

Si vous utilisez un outil ou un service autre que Firewall Manager pour gérer les groupes de sécurité, veillez à éviter les conflits entre les paramètres de Firewall Manager et ceux de votre source externe. Si vous avez recours à la correction automatique et que vos paramètres se contredisent, vous pouvez créer un cycle de résolution sans fin qui consomme des ressources des deux côtés.

Supposons, par exemple, que vous configuriez un autre service pour gérer un groupe de sécurité pour un ensemble de AWS ressources, et que vous configuriez une politique de Firewall Manager afin de maintenir un groupe de sécurité différent pour certaines ou toutes les mêmes ressources. Si vous configurez l'un des deux services pour interdire l'association d'un autre groupe de sécurité aux ressources concernées, celui-ci supprimera l'association de ce groupe de sécurité dans l'autre service. Si les deux services sont configurés de cette manière, vous pouvez vous retrouver avec un cycle de désassociations et d'associations sans fin.

Supposons également que vous créiez une politique d'audit de Firewall Manager pour appliquer une configuration de groupe de sécurité en conflit avec la configuration de groupe de sécurité de l'autre service. Les mesures correctives appliquées par la politique d'audit de Firewall Manager peuvent mettre à jour ou supprimer ce groupe de sécurité, le rendant ainsi non conforme pour l'autre service. Si l'autre service est configuré pour surveiller et résoudre automatiquement les problèmes détectés, il recréera ou mettra à jour le groupe de sécurité, le rendant ainsi non conforme à la politique d'audit de Firewall Manager. Si la politique d'audit de Firewall Manager est configurée avec une correction automatique, elle met à jour ou supprime à nouveau le groupe de sécurité externe, etc.

Pour éviter de tels conflits, créez des configurations qui s'excluent mutuellement entre Firewall Manager et toute source externe.

Vous pouvez utiliser le balisage pour exclure les groupes de sécurité extérieurs de la correction automatique prévue par vos politiques de Firewall Manager. Pour ce faire, ajoutez une ou plusieurs balises aux groupes de sécurité ou à d'autres ressources gérées par la source externe. Ensuite, lorsque vous définissez le champ d'application de la politique de Firewall Manager, dans la spécification de vos ressources, excluez les ressources qui possèdent le ou les tags que vous avez ajoutés.

De même, dans votre outil ou service externe, excluez les groupes de sécurité gérés par Firewall Manager de toute activité de gestion ou d'audit. N'importez pas les ressources de Firewall Manager ou utilisez le balisage spécifique à Firewall Manager pour les exclure de la gestion externe.

Bonnes pratiques en matière d'audit d'utilisation, politiques de groupe de sécurité

Suivez ces directives lorsque vous utilisez les politiques de groupe de sécurité relatives à l'audit d'utilisation.

Évitez de modifier plusieurs fois le statut d'association d'un groupe de sécurité dans un court laps de temps, par exemple dans un délai de 15 minutes. Cela peut empêcher Firewall Manager de rater certains ou tous les événements correspondants. Par exemple, n'associez et ne dissociez pas rapidement un groupe de sécurité à une interface elastic network.

Mises en garde et limites relatives à la politique des groupes de sécurité

Cette section répertorie les mises en garde et les limites liées à l'utilisation des politiques de groupe de sécurité de Firewall Manager.

Type de ressource : EC2 instance Amazon

Cette section répertorie les mises en garde et les limites relatives à la protection des EC2 instances Amazon avec les politiques de groupe de sécurité de Firewall Manager.

Avec les groupes de sécurité qui protègent les interfaces réseau EC2 élastiques d'Amazon (ENIs), les modifications apportées à un groupe de sécurité ne sont pas immédiatement visibles par Firewall Manager. Firewall Manager détecte généralement les modifications en quelques heures, mais la détection peut être retardée jusqu'à six heures.
Firewall Manager ne prend pas en charge les groupes de sécurité pour Amazon EC2 ENIs créés par Amazon Relational Database Service.
Firewall Manager ne prend pas en charge la mise à jour des groupes de sécurité pour Amazon EC2 ENIs créés à l'aide du type de service Fargate. Vous pouvez toutefois mettre à jour les groupes de sécurité pour Amazon ECS ENIs avec le type EC2 de service Amazon.
Pour les politiques de groupe de sécurité courantes, ces mises en garde concernent l'interaction entre le nombre d'interfaces réseau élastiques (ENIs) associées à l'EC2instance et l'option de stratégie qui indique s'il faut corriger uniquement les EC2 instances sans pièces jointes ajoutées ou corriger toutes les instances. Chaque EC2 instance possède une instance principale par défautENI, et vous pouvez en attacher d'autresENIs. Dans leAPI, le paramètre de l'option de stratégie pour ce choix estApplyToAllEC2InstanceENIs.

Si une EC2 instance comprise dans le champ d'application possède une ENIs attache supplémentaire et que la politique est configurée pour inclure uniquement les EC2 instances comportant uniquement l'instance principaleENI, Firewall Manager ne tentera aucune correction pour l'EC2instance. En outre, si l'instance sort du champ d'application des règles, Firewall Manager n'essaie pas de dissocier les associations de groupes de sécurité qu'il aurait pu établir pour l'instance.

Dans les cas extrêmes suivants, pendant le nettoyage des ressources, Firewall Manager peut laisser intactes les associations de groupes de sécurité répliquées, quelles que soient les spécifications de nettoyage des ressources de la politique :
- Lorsqu'une instance comportant des éléments supplémentaires ENIs a été précédemment corrigée par une stratégie configurée pour inclure toutes les EC2 instances, l'instance est sortie du champ d'application de la stratégie ou le paramètre de stratégie a été modifié pour inclure uniquement les instances sans ajout d'instances supplémentairesENIs.
- Lorsqu'une instance sans ajout ENIs a été corrigée par une politique configurée pour inclure uniquement les instances sans ajoutENIs, une autre ENI a été attachée à l'instance, puis l'instance est sortie du champ d'application de la politique.

Autres mises en garde et limites

Vous trouverez ci-dessous diverses mises en garde et limitations relatives aux politiques de groupe de sécurité de Firewall Manager.

La mise à jour d'Amazon n'ECSENIsest possible que pour les ECS services Amazon qui utilisent le contrôleur de déploiement Rolling Update (AmazonECS). Pour les autres contrôleurs de ECS déploiement Amazon tels que CODE _ DEPLOY ou les contrôleurs externes, Firewall Manager ne peut actuellement pas mettre à jour leENIs.
Firewall Manager ne prend pas en charge la mise à jour des groupes de sécurité ENIs pour les équilibreurs de charge réseau.
Dans les politiques de groupe de sécurité courantes, si un partage VPC est ultérieurement annulé avec un compte, Firewall Manager ne supprimera pas les répliques des groupes de sécurité du compte.
Avec les politiques de groupe de sécurité d'audit d'utilisation, si vous créez plusieurs politiques avec un paramètre de délai personnalisé qui ont toutes le même champ d'application, la première stratégie contenant des résultats de conformité sera celle qui communique les résultats.

Cas d'utilisation des stratégies de groupe de sécurité

Vous pouvez utiliser des politiques de groupe de sécurité AWS Firewall Manager communes pour automatiser la configuration du pare-feu hôte pour les communications entre les VPC instances Amazon. Cette section répertorie les VPC architectures Amazon standard et décrit comment les sécuriser à l'aide des politiques de groupe de sécurité communes de Firewall Manager. Ces politiques de groupe de sécurité peuvent vous aider à appliquer un ensemble unifié de règles pour sélectionner les ressources de différents comptes et à éviter les configurations par compte dans Amazon Elastic Compute Cloud et AmazonVPC.

Grâce aux politiques de groupe de sécurité communes de Firewall Manager, vous pouvez étiqueter uniquement les interfaces réseau EC2 élastiques dont vous avez besoin pour communiquer avec les instances d'un autre AmazonVPC. Les autres instances du même Amazon VPC sont alors plus sécurisées et isolées.

Cas d'utilisation : surveillance et contrôle des demandes adressées aux équilibreurs de charge d'application et aux équilibreurs de charge classiques

Vous pouvez utiliser une politique de groupe de sécurité commune de Firewall Manager pour définir les demandes que vos équilibreurs de charge intégrés doivent traiter. Vous pouvez le configurer via la console Firewall Manager. Seules les demandes conformes aux règles entrantes du groupe de sécurité peuvent atteindre vos équilibreurs de charge, et les équilibreurs de charge distribueront uniquement les demandes conformes aux règles sortantes.

Cas d'utilisation : Amazon public, accessible à Internet VPC

Vous pouvez utiliser une politique de groupe de sécurité commune de Firewall Manager pour sécuriser un Amazon publicVPC, par exemple, afin d'autoriser uniquement le port entrant 443. Cela revient à autoriser uniquement le HTTPS trafic entrant pour un publicVPC. Vous pouvez étiqueter les ressources publiques au sein de VPC (par exemple, en tant que VPC « Public »), puis définir le champ d'application de la politique de Firewall Manager sur les seules ressources dotées de cette balise. Firewall Manager applique automatiquement la politique à ces ressources.

Cas d'utilisation : VPC instances Amazon publiques et privées

Vous pouvez utiliser la même politique de groupe de sécurité commune pour les ressources publiques que celle recommandée dans le cas d'utilisation précédent pour les instances Amazon VPC publiques accessibles sur Internet. Vous pouvez utiliser une deuxième stratégie de groupe de sécurité commune pour limiter la communication entre les ressources publiques et les ressources privées. Marquez les ressources des VPC instances Amazon publiques et privées avec quelque chose comme PublicPrivate « » pour leur appliquer la deuxième politique. Vous pouvez utiliser une troisième politique pour définir la communication autorisée entre les ressources privées et d'autres VPC instances privées ou privées d'Amazon. Pour cette stratégie, vous pouvez utiliser une autre balise d'identification sur les ressources privées.

Cas d'utilisation : VPC instances Amazon Hub and Spoke

Vous pouvez utiliser une politique de groupe de sécurité commune pour définir les communications entre l'VPCinstance Amazon hub et les VPC instances Amazon Spoke. Vous pouvez utiliser une deuxième politique pour définir la communication entre chaque VPC instance Amazon parlée et l'VPCinstance Amazon hub.

Cas d'utilisation : interface réseau par défaut pour les EC2 instances Amazon

Vous pouvez utiliser une politique de groupe de sécurité commune pour autoriser uniquement les communications standard, par exemple les services internes SSH et les services de mise à jour des patchs/du système d'exploitation, et pour interdire les autres communications non sécurisées.

Cas d'utilisation : identifier les ressources avec des autorisations ouvertes

Vous pouvez utiliser une stratégie de groupe de sécurité d'audit pour identifier toutes les ressources de votre organisation qui sont autorisées à communiquer avec des adresses IP publiques ou qui possèdent des adresses IP appartenant à des fournisseurs tiers.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Shield Advanced politiques

Politiques ACL du réseau