Configuration de AWS Firewall ManagerAWS Shield Advanced politiques - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Étape 1 : Compléter les prérequisÉtape 2 : Création et application d'une politique Shield AdvancedÉtape 3 : (Facultatif) Autorisation de l'équipe Shield Response () SRTÉtape 4 : Configuration des SNS notifications Amazon et des CloudWatch alarmes Amazon

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de AWS Firewall ManagerAWS Shield Advanced politiques

Vous pouvez l'utiliser AWS Firewall Manager pour activer AWS Shield Advanced les protections au sein de votre organisation.

Important

Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous devez protéger ces ressources avec Shield Advanced, vous ne pouvez pas utiliser une politique Firewall Manager. Au lieu de cela, suivez les instructions de Ajouter AWS Shield Advanced une protection aux AWS ressources.

Pour utiliser Firewall Manager afin d'activer la protection Shield Advanced, effectuez les étapes suivantes dans l'ordre.

Étape 1 : Compléter les prérequis

Il existe plusieurs étapes obligatoires pour préparer votre compte pour AWS Firewall Manager. Ces étapes sont décrites dans AWS Firewall Manager prérequis. Complétez toutes les conditions préalables avant de passer à Étape 2 : Création et application d'une politique Shield Advanced.

Étape 2 : Création et application d'une politique Shield Advanced

Après avoir rempli les conditions requises, vous créez une politique AWS Firewall Manager Shield Advanced. Une politique Firewall Manager Shield Advanced contient les comptes et les ressources que vous souhaitez protéger avec Shield Advanced.

Important

Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous devez protéger ces ressources avec Shield Advanced, vous ne pouvez pas utiliser une politique Firewall Manager. Au lieu de cela, suivez les instructions de Ajouter AWS Shield Advanced une protection aux AWS ressources.

Pour créer une politique Firewall Manager Shield Advanced (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Create Policy (Créer une politique).

  4. Pour le type de politique, choisissez Shield Advanced.

    Pour créer une politique Shield Advanced, votre compte administrateur Firewall Manager doit être abonné à Shield Advanced. Si vous n'êtes pas abonné, vous êtes invité à le faire. Pour plus d'informations sur le coût de l'abonnement, consultez la section AWS Shield Advanced Tarification.

    Note

    Il n'est pas nécessaire d'inscrire manuellement chaque compte membre à Shield Advanced. Firewall Manager le fait pour vous lorsqu'il crée la politique. Chaque compte doit rester abonné à Firewall Manager et à Shield Advanced pour continuer à protéger les ressources du compte.

  5. Pour Région, choisissez un Région AWS. Pour protéger les CloudFront ressources d'Amazon, choisissez Global.

    Pour protéger les ressources de plusieurs régions (autres que les CloudFront ressources), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

  6. Choisissez Suivant.

  7. Dans Nom, entrez un nom descriptif.

  8. (Région mondiale uniquement) Pour les politiques régionales mondiales, vous pouvez choisir si vous souhaitez gérer l'DDoSatténuation automatique de la couche d'application Shield Advanced. Pour ce didacticiel, conservez le paramètre par défaut Ignorer pour ce choix.

  9. Pour l'action stratégique, choisissez l'option qui ne corrige pas automatiquement.

  10. Choisissez Suivant.

  11. Comptes AWS cette politique s'applique pour vous permettre de réduire le champ d'application de votre politique en spécifiant les comptes à inclure ou à exclure. Pour ce didacticiel, choisissez Include all accounts under my organization (Inclure tous les comptes de mon organisation).

  12. Choisissez les types de ressource que vous voulez protéger.

    Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous devez protéger ces ressources avec Shield Advanced, vous ne pouvez pas utiliser une politique Firewall Manager. Suivez plutôt les instructions de Shield Advanced à l'adresseAjouter AWS Shield Advanced une protection aux AWS ressources.

  13. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  14. Choisissez Suivant.

  15. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  16. Choisissez Suivant.

  17. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Vérifiez que Policy action (Action de stratégie) est défini sur Identify resources that don’t comply with the policy rules, but don’t auto remediate (Identifier les ressources qui ne sont pas conformes aux règles de stratégie, mais ne pas effectuer une résolution automatique). Cela vous permet de passer en revue les modifications que votre politique apporterait avant de les activer.

  18. Lorsque vous êtes satisfait de la politique, choisissez Créer une politique.

    Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

Passez au Étape 3 : (Facultatif) Autorisation de l'équipe Shield Response () SRT.

Étape 3 : (Facultatif) Autorisation de l'équipe Shield Response () SRT

L'un des avantages de AWS Shield Advanced est le soutien de la Shield Response Team (SRT). Lorsque vous êtes victime d'une DDoS attaque potentielle, vous pouvez contacter le AWS Support Centre. Si nécessaire, le Support Center transmet votre problème auSRT. SRTCela vous aide à analyser l'activité suspecte et à atténuer le problème. Cette atténuation implique souvent la création ou la mise à jour de AWS WAF règles et de sites Web ACLs dans votre compte. Ils SRT peuvent inspecter votre AWS WAF configuration et créer ou mettre à jour des AWS WAF règles et des sites Web ACLs pour vous, mais l'équipe a besoin de votre autorisation pour le faire. Nous vous recommandons, dans le cadre de la configuration AWS Shield Advanced, de leur fournir de manière proactive SRT les autorisations nécessaires. La fourniture préalable de l'autorisation permet d'éviter les retards d'atténuation des risques en cas d'attaque réelle.

Vous les autorisez et vous les contactez SRT au niveau du compte. C'est-à-dire que le propriétaire du compte, et non l'administrateur de Firewall Manager, doit effectuer les étapes suivantes pour autoriser le SRT afin d'atténuer les attaques potentielles. L'administrateur de Firewall Manager ne peut autoriser SRT que pour les comptes qu'il possède. De même, seul le titulaire du compte peut contacter le SRT pour obtenir de l'aide.

Note

Pour utiliser les services duSRT, vous devez être abonné au plan Business Support ou au plan Enterprise Support.

Pour autoriser le SRT à atténuer les attaques potentielles en votre nom, suivez les instructions figurant dansRéponse aux DDoS événements gérée avec le support de Shield Response Team (SRT). Vous pouvez modifier SRT l'accès et les autorisations à tout moment en suivant les mêmes étapes.

Passez au Étape 4 : Configuration des SNS notifications Amazon et des CloudWatch alarmes Amazon.

Étape 4 : Configuration des SNS notifications Amazon et des CloudWatch alarmes Amazon

Vous pouvez continuer à partir de cette étape sans configurer SNS les notifications ou les CloudWatch alarmes Amazon. Cependant, la configuration de ces alarmes et notifications augmente considérablement votre visibilité sur les DDoS événements possibles.

Vous pouvez surveiller vos ressources protégées pour détecter toute DDoS activité potentielle à l'aide d'AmazonSNS. Pour recevoir des notifications concernant d'éventuelles attaques, créez un SNS sujet Amazon pour chaque région.

Important

SNSLes notifications Amazon concernant DDoS une activité potentielle ne sont pas envoyées en temps réel et peuvent être retardées. Pour activer les notifications en temps réel d'une DDoS activité potentielle, vous pouvez utiliser une CloudWatch alarme. Votre alarme doit être basée sur la DDoSDetected métrique du compte dans lequel se trouve la ressource protégée.

Pour créer une SNS rubrique Amazon dans Firewall Manager (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sous AWS FMS, choisissez Paramètres.

  3. Choisissez Create new topic (Créer une rubrique).

  4. Saisissez un nom de rubrique.

  5. Entrez l'adresse e-mail à laquelle les SNS messages Amazon seront envoyés, puis choisissez Ajouter une adresse e-mail.

  6. Choisissez Mettre à jour SNS la configuration.

Configuration des CloudWatch alarmes Amazon

Shield Advanced enregistre les indicateurs de détection, d'atténuation et des principaux contributeurs CloudWatch que vous pouvez surveiller. Pour plus d'informations, consultezAWS Shield Advanced métriques. CloudWatch entraîne des coûts supplémentaires. Pour CloudWatch connaître les tarifs, consultez Amazon CloudWatch Pricing.

Pour créer une CloudWatch alarme, suivez les instructions de la section Utilisation d'Amazon CloudWatch Alarms. Par défaut, Shield Advanced est configuré CloudWatch pour vous avertir après un seul indicateur d'un DDoS événement potentiel. Si nécessaire, vous pouvez utiliser la CloudWatch console pour modifier ce paramètre afin de ne vous avertir qu'après la détection de plusieurs indicateurs.

Note

Outre les alarmes, vous pouvez également utiliser un CloudWatch tableau de bord pour surveiller les DDoS activités potentielles. Le tableau de bord collecte et traite les données brutes de Shield Advanced en indicateurs lisibles en temps quasi réel. Vous pouvez utiliser les statistiques CloudWatch d'Amazon pour avoir une idée des performances de votre application ou service Web. Pour plus d'informations, consultez le contenu CloudWatch du guide de CloudWatch l'utilisateur Amazon.

Pour obtenir des instructions sur la création d'un CloudWatch tableau de bord, consultezSurveillance avec Amazon CloudWatch. Pour plus d'informations sur les métriques spécifiques de Shield Advanced que vous pouvez ajouter à votre tableau de bord, consultezAWS Shield Advanced métriques.

Lorsque vous aurez terminé votre configuration Shield Advanced, familiarisez-vous avec les options de visualisation des événements surVisibilité des DDoS événements avec Shield Advanced.