Utilisation de politiques de groupe de sécurité pour l'audit de contenu avec Firewall Manager - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques de groupe de sécurité pour l'audit de contenu avec Firewall Manager

Cette page explique le fonctionnement des politiques de groupe de sécurité relatives à l'audit de contenu de Firewall Manager.

Utilisez les politiques des groupes de sécurité d'audit de AWS Firewall Manager contenu pour auditer et appliquer des actions de stratégie aux règles utilisées dans les groupes de sécurité de votre organisation. Les politiques des groupes de sécurité d'audit de contenu s'appliquent à tous les groupes de sécurité créés par les clients et utilisés dans votre AWS organisation, selon le périmètre que vous définissez dans la politique.

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité d'audit de contenu à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité d'audit de contenu.

Type de ressource concerné par une stratégie

Vous pouvez appliquer des politiques de groupe de sécurité d'audit de contenu aux types de ressources suivants :

  • Instance Amazon Elastic Compute Cloud (AmazonEC2)

  • Interface réseau élastique

  • Groupe VPC de sécurité Amazon

Les groupes de sécurité sont considérés comme étant concernés par la stratégie s'ils sont explicitement dans la portée de la stratégie ou s'ils sont associés à des ressources qui sont dans la portée.

Options de règles de politique

Vous pouvez utiliser des règles de stratégie gérées ou des règles de stratégie personnalisées pour chaque stratégie d'audit de contenu, mais pas les deux.

  • Règles de stratégie gérées : dans une politique comportant des règles gérées, vous pouvez utiliser des listes d'applications et de protocoles pour contrôler les règles que Firewall Manager audite et marque comme conformes ou non conformes. Vous pouvez utiliser des listes gérées par Firewall Manager. Vous pouvez également créer et utiliser vos propres listes d'applications et de protocoles. Pour plus d'informations sur ces types de listes et sur les options de gestion des listes personnalisées, consultezUtilisation des listes gérées par Firewall Manager.

  • Règles de stratégie personnalisées : dans une politique comportant des règles de stratégie personnalisées, vous spécifiez un groupe de sécurité existant comme groupe de sécurité d'audit pour votre stratégie. Vous pouvez utiliser les règles du groupe de sécurité d'audit comme modèle qui définit les règles que Firewall Manager audite et marque comme conformes ou non conformes.

Audit des groupes de sécurité

Vous devez créer des groupes de sécurité d'audit à l'aide de votre compte administrateur Firewall Manager avant de pouvoir les utiliser dans votre politique. Vous pouvez gérer les groupes de sécurité via Amazon Virtual Private Cloud (AmazonVPC) ou Amazon Elastic Compute Cloud (AmazonEC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

Un groupe de sécurité que vous utilisez pour une stratégie de groupe de sécurité d'audit de contenu est utilisé par Firewall Manager uniquement comme référence de comparaison pour les groupes de sécurité concernés par cette stratégie. Firewall Manager ne l'associe à aucune ressource de votre organisation.

La façon dont vous définissez les règles dans le groupe de sécurité d'audit dépend de vos choix dans les paramètres des règles de politique :

  • Règles de stratégie gérées : pour les paramètres des règles de stratégie gérées, vous utilisez un groupe de sécurité d'audit pour remplacer les autres paramètres de la stratégie, afin d'autoriser ou de refuser explicitement les règles qui, autrement, pourraient avoir un autre résultat de conformité.

    • Si vous choisissez de toujours autoriser les règles définies dans le groupe de sécurité d'audit, toute règle correspondant à celle définie dans le groupe de sécurité d'audit est considérée comme conforme à la stratégie, quels que soient les autres paramètres de stratégie.

    • Si vous choisissez de toujours refuser les règles définies dans le groupe de sécurité d'audit, toute règle correspondant à une règle définie dans le groupe de sécurité d'audit est considérée comme non conforme à la stratégie, quels que soient les autres paramètres de stratégie.

  • Règles de stratégie personnalisées : pour les paramètres des règles de stratégie personnalisées, le groupe de sécurité d'audit fournit un exemple de ce qui est acceptable ou non acceptable dans les règles du groupe de sécurité incluses dans le champ de compétence :

    • Si vous choisissez d'autoriser l'utilisation des règles, tous les groupes de sécurité concernés ne doivent disposer que de règles se situant dans la plage autorisée par les règles de groupe de sécurité d'audit de la politique. Dans ce cas, les règles de groupe de sécurité de la politique fournissent un exemple de ce qu'il est acceptable de faire.

    • Si vous choisissez de refuser l'utilisation des règles, tous les groupes de sécurité concernés ne doivent avoir que des règles qui ne se situent pas dans la plage autorisée par les règles de groupe de sécurité d'audit de la politique. Dans ce cas, le groupe de sécurité de la politique fournit un exemple de ce qu'il n'est pas acceptable de faire.

Création et gestion des stratégies

Lorsque vous créez une stratégie de groupe de sécurité d'audit, la résolution automatique doit être désactivée. La pratique recommandée consiste à examiner les effets de la création d'une stratégie avant d'activer la résolution automatique. Après avoir examiné les effets attendus, vous pouvez modifier la stratégie et activer la résolution automatique. Lorsque la correction automatique est activée, Firewall Manager met à jour ou supprime les règles non conformes dans les groupes de sécurité concernés.

Groupes de sécurité affectés par une stratégie de groupe de sécurité d'audit

Tous les groupes de sécurité de votre organisation qui sont créés par les clients peuvent être concernés par une stratégie de groupe de sécurité d'audit.

Les groupes de sécurité de réplica ne sont pas créés par les clients et ne peuvent donc pas être directement concernés par une stratégie de groupe de sécurité d'audit. Cependant, ils peuvent être mis à jour suite à des activités de résolution automatique de la stratégie. Le groupe de sécurité principal d'une stratégie de groupe de sécurité commune est créé par le client et peut être concerné par une stratégie de groupe de sécurité d'audit. Si une politique de groupe de sécurité d'audit apporte des modifications à un groupe de sécurité principal, Firewall Manager propage automatiquement ces modifications aux répliques.