Menggunakan kebijakan grup keamanan audit konten dengan Firewall Manager - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan grup keamanan audit konten dengan Firewall Manager

Halaman ini menjelaskan cara kerja kebijakan grup keamanan audit konten Firewall Manager.

Gunakan kebijakan grup keamanan audit AWS Firewall Manager konten untuk mengaudit dan menerapkan tindakan kebijakan pada aturan yang digunakan dalam grup keamanan organisasi Anda. Kebijakan grup keamanan audit konten berlaku untuk semua grup keamanan yang dibuat pelanggan yang digunakan di AWS organisasi Anda, sesuai dengan cakupan yang Anda tetapkan dalam kebijakan.

Untuk panduan cara membuat kebijakan grup keamanan audit konten menggunakan konsol, lihatMembuat kebijakan grup keamanan audit konten.

Jenis sumber daya lingkup kebijakan

Anda dapat menerapkan kebijakan grup keamanan audit konten ke jenis sumber daya berikut:

  • Contoh Amazon Elastic Compute Cloud (AmazonEC2)

  • Antarmuka Jaringan Elastis

  • Grup VPC keamanan Amazon

Kelompok keamanan dipertimbangkan dalam lingkup kebijakan jika mereka secara eksplisit berada dalam ruang lingkup atau jika mereka terkait dengan sumber daya yang berada dalam ruang lingkup.

Opsi aturan kebijakan

Anda dapat menggunakan aturan kebijakan terkelola atau aturan kebijakan khusus untuk setiap kebijakan audit konten, tetapi tidak keduanya.

  • Aturan kebijakan terkelola — Dalam kebijakan dengan aturan terkelola, Anda dapat menggunakan daftar aplikasi dan protokol untuk mengontrol aturan mana yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak patuh. Anda dapat menggunakan daftar yang dikelola oleh Firewall Manager. Anda juga dapat membuat dan menggunakan daftar aplikasi dan protokol Anda sendiri. Untuk informasi tentang jenis daftar ini dan opsi manajemen Anda untuk daftar kustom, lihatMenggunakan daftar terkelola Firewall Manager.

  • Aturan kebijakan khusus — Dalam kebijakan dengan aturan kebijakan khusus, Anda menentukan grup keamanan yang ada sebagai grup keamanan audit untuk kebijakan Anda. Anda dapat menggunakan aturan grup keamanan audit sebagai templat yang mendefinisikan aturan yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak sesuai.

Audit kelompok keamanan

Anda harus membuat grup keamanan audit menggunakan akun administrator Firewall Manager Anda, sebelum Anda dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (AmazonVPC) atau Amazon Elastic Compute Cloud (AmazonEC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan VPC Pengguna Amazon.

Grup keamanan yang Anda gunakan untuk kebijakan grup keamanan audit konten digunakan oleh Firewall Manager hanya sebagai referensi perbandingan untuk grup keamanan yang berada dalam cakupan kebijakan. Firewall Manager tidak mengaitkannya dengan sumber daya apa pun di organisasi Anda.

Cara Anda menentukan aturan dalam grup keamanan audit bergantung pada pilihan Anda di setelan aturan kebijakan:

  • Aturan kebijakan terkelola — Untuk pengaturan aturan kebijakan terkelola, Anda menggunakan grup keamanan audit untuk mengganti setelan lain dalam kebijakan, untuk secara eksplisit mengizinkan atau menolak aturan yang mungkin memiliki hasil kepatuhan lainnya.

    • Jika Anda memilih untuk selalu mengizinkan aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditentukan dalam grup keamanan audit dianggap sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.

    • Jika Anda memilih untuk selalu menolak aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditetapkan dalam grup keamanan audit dianggap tidak sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.

  • Aturan kebijakan khusus — Untuk pengaturan aturan kebijakan khusus, grup keamanan audit memberikan contoh apa yang dapat diterima atau tidak dapat diterima dalam aturan grup keamanan dalam lingkup:

    • Jika Anda memilih untuk mengizinkan penggunaan aturan, semua grup keamanan dalam ruang lingkup hanya boleh memiliki aturan yang berada dalam rentang yang diizinkan dari aturan grup keamanan audit kebijakan. Dalam hal ini, aturan kelompok keamanan kebijakan memberikan contoh tentang apa yang dapat diterima untuk dilakukan.

    • Jika Anda memilih untuk menolak penggunaan aturan, semua grup keamanan dalam ruang lingkup hanya boleh memiliki aturan yang tidak berada dalam rentang yang diizinkan dari aturan grup keamanan audit kebijakan. Dalam hal ini, kelompok keamanan kebijakan memberikan contoh tentang apa yang tidak dapat diterima untuk dilakukan.

Pembuatan dan manajemen kebijakan

Saat membuat kebijakan grup keamanan audit, remediasi otomatis harus dinonaktifkan. Praktik yang disarankan adalah meninjau efek pembuatan kebijakan sebelum mengaktifkan remediasi otomatis. Setelah meninjau efek yang diharapkan, Anda dapat mengedit kebijakan dan mengaktifkan remediasi otomatis. Ketika remediasi otomatis diaktifkan, Firewall Manager memperbarui atau menghapus aturan yang tidak sesuai dalam grup keamanan dalam lingkup.

Kelompok keamanan yang terpengaruh oleh kebijakan grup keamanan audit

Semua grup keamanan di organisasi Anda yang dibuat pelanggan memenuhi syarat untuk berada dalam cakupan kebijakan grup keamanan audit.

Grup keamanan replika tidak dibuat oleh pelanggan sehingga tidak memenuhi syarat untuk secara langsung berada dalam lingkup kebijakan grup keamanan audit. Namun, mereka dapat diperbarui sebagai hasil dari kegiatan remediasi otomatis kebijakan. Grup keamanan utama kebijakan grup keamanan umum dibuat oleh pelanggan dan dapat berada dalam lingkup kebijakan grup keamanan audit. Jika kebijakan grup keamanan audit membuat perubahan pada grup keamanan utama, Firewall Manager secara otomatis menyebarkan perubahan tersebut ke replika.