Utilisation des politiques de groupe de sécurité relatives à l'audit d'utilisation avec Firewall Manager - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des politiques de groupe de sécurité relatives à l'audit d'utilisation avec Firewall Manager

Cette page explique le fonctionnement des politiques de groupe de sécurité relatives à l'audit d'utilisation de Firewall Manager.

Utilisez les politiques des groupes de sécurité AWS Firewall Manager d'audit d'utilisation pour surveiller les groupes de sécurité inutilisés et redondants dans votre organisation et éventuellement effectuer un nettoyage. Lorsque vous activez la correction automatique de cette politique, Firewall Manager effectue les opérations suivantes :

  1. Consolide les groupes de sécurité redondants, si vous avez choisi cette option.

  2. Supprime les groupes de sécurité non utilisés, si vous avez choisi cette option.

Vous pouvez appliquer des politiques de groupe de sécurité d'audit d'utilisation au type de ressource suivant :

  • Groupe de sécurité Amazon VPC

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité d'audit d'utilisation à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité d'audit d'utilisation.

Comment Firewall Manager détecte et corrige les groupes de sécurité redondants

Pour que les groupes de sécurité soient considérés comme redondants, ils doivent avoir exactement les mêmes règles définies et se trouver dans la même instance Amazon VPC.

Pour remédier à un ensemble de groupes de sécurité redondant, Firewall Manager sélectionne l'un des groupes de sécurité à conserver, puis l'associe à toutes les ressources associées aux autres groupes de sécurité de l'ensemble. Firewall Manager dissocie ensuite les autres groupes de sécurité des ressources auxquelles ils étaient associés, ce qui les rend inutilisés.

Note

Si vous avez également choisi de supprimer les groupes de sécurité inutilisés, Firewall Manager s'en charge ensuite. Cela peut entraîner la suppression des groupes de sécurité qui se trouvent dans l'ensemble redondant.

Comment Firewall Manager détecte et corrige les groupes de sécurité non utilisés

Firewall Manager considère qu'un groupe de sécurité n'est pas utilisé si les deux conditions suivantes sont réunies :

  • Le groupe de sécurité n'est utilisé par aucune EC2 instance Amazon ou Amazon EC2 Elastic Network Interface.

  • Firewall Manager n'a pas reçu d'élément de configuration correspondant dans le délai de minutes spécifié dans la période définie par les règles de politique.

La durée de la règle de politique est définie par défaut à zéro minute, mais vous pouvez l'augmenter jusqu'à 365 jours (525 600 minutes), afin de vous donner le temps d'associer de nouveaux groupes de sécurité aux ressources.

Important

Si vous spécifiez un nombre de minutes autre que la valeur par défaut de zéro, vous devez activer les relations indirectes dans AWS Config. Dans le cas contraire, les politiques de groupe de sécurité de votre audit d'utilisation ne fonctionneront pas comme prévu. Pour plus d'informations sur les relations indirectes dans AWS Config, voir Relations indirectes AWS Config dans le Guide du AWS Config développeur.

Firewall Manager corrige les groupes de sécurité inutilisés en les supprimant de votre compte conformément aux paramètres de vos règles, si possible. Si Firewall Manager ne parvient pas à supprimer un groupe de sécurité, il le marque comme non conforme à la politique. Firewall Manager ne peut pas supprimer un groupe de sécurité référencé par un autre groupe de sécurité.

La durée de la correction varie selon que vous utilisez le paramètre de période par défaut ou un paramètre personnalisé :

  • Période définie sur zéro, valeur par défaut : avec ce paramètre, un groupe de sécurité est considéré comme inutilisé dès qu'il n'est pas utilisé par une EC2 instance Amazon ou une interface elastic network.

    Pour ce paramètre de période zéro, Firewall Manager corrige immédiatement le groupe de sécurité.

  • Période supérieure à zéro — Avec ce paramètre, un groupe de sécurité est considéré comme inutilisé lorsqu'il n'est pas utilisé par une EC2 instance Amazon ou Elastic Network Interface et que Firewall Manager n'a pas reçu d'élément de configuration correspondant dans le délai spécifié.

    Pour le paramètre de période différent de zéro, Firewall Manager corrige le groupe de sécurité après qu'il soit resté inutilisé pendant 24 heures.

Spécification du compte par défaut

Lorsque vous créez une politique de groupe de sécurité d'audit d'utilisation via la console, Firewall Manager choisit automatiquement d'exclure les comptes spécifiés et d'inclure tous les autres. Le service place ensuite le compte administrateur de Firewall Manager dans la liste à exclure. Il s'agit de l'approche recommandée, qui vous permet de gérer manuellement les groupes de sécurité appartenant au compte administrateur de Firewall Manager.