Menggunakan kebijakan grup keamanan audit penggunaan dengan Firewall Manager - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan grup keamanan audit penggunaan dengan Firewall Manager

Halaman ini menjelaskan cara kerja kebijakan grup keamanan audit penggunaan Firewall Manager.

Gunakan kebijakan grup keamanan audit AWS Firewall Manager penggunaan untuk memantau organisasi Anda untuk grup keamanan yang tidak digunakan dan berlebihan dan secara opsional melakukan pembersihan. Bila Anda mengaktifkan remediasi otomatis untuk kebijakan ini, Firewall Manager melakukan hal berikut:

  1. Mengkonsolidasikan grup keamanan yang berlebihan, jika Anda telah memilih opsi itu.

  2. Menghapus grup keamanan yang tidak digunakan, jika Anda memilih opsi itu.

Anda dapat menerapkan kebijakan grup keamanan audit penggunaan ke jenis sumber daya berikut:

  • Grup VPC keamanan Amazon

Untuk panduan cara membuat kebijakan grup keamanan audit penggunaan menggunakan konsol, lihatMembuat kebijakan grup keamanan audit penggunaan.

Bagaimana Firewall Manager mendeteksi dan memulihkan grup keamanan yang berlebihan

Agar kelompok keamanan dianggap berlebihan, mereka harus memiliki aturan yang sama persis dan berada dalam contoh Amazon VPC yang sama.

Untuk memulihkan kumpulan grup keamanan yang berlebihan, Firewall Manager memilih salah satu grup keamanan dalam set yang akan disimpan, dan kemudian mengaitkannya ke semua sumber daya yang terkait dengan grup keamanan lain di set. Firewall Manager kemudian memisahkan grup keamanan lain dari sumber daya yang terkait dengannya, yang membuat mereka tidak digunakan.

catatan

Jika Anda juga memilih untuk menghapus grup keamanan yang tidak digunakan, Firewall Manager melakukannya selanjutnya. Hal ini dapat mengakibatkan penghapusan kelompok keamanan yang berada di set redundan.

Bagaimana Firewall Manager mendeteksi dan memulihkan grup keamanan yang tidak digunakan

Firewall Manager menganggap grup keamanan tidak digunakan jika kedua hal berikut ini benar:

  • Grup keamanan tidak digunakan oleh EC2 instans Amazon atau Amazon EC2 elastic network interface.

  • Firewall Manager belum menerima item konfigurasi untuk itu dalam jumlah menit yang ditentukan dalam periode waktu aturan kebijakan.

Periode waktu aturan kebijakan memiliki pengaturan default nol menit, tetapi Anda dapat meningkatkan waktu hingga 365 hari (525.600 menit), untuk memberi diri Anda waktu untuk mengaitkan grup keamanan baru dengan sumber daya.

penting

Jika Anda menentukan jumlah menit selain nilai default nol, Anda harus mengaktifkan hubungan tidak langsung di AWS Config. Jika tidak, kebijakan grup keamanan audit penggunaan Anda tidak akan berfungsi sebagaimana dimaksud. Untuk informasi tentang hubungan tidak langsung di AWS Config, lihat Hubungan Tidak Langsung di AWS Config dalam Panduan AWS Config Pengembang.

Firewall Manager memulihkan grup keamanan yang tidak digunakan dengan menghapusnya dari akun Anda sesuai dengan pengaturan aturan Anda, jika memungkinkan. Jika Firewall Manager tidak dapat menghapus grup keamanan, ia menandainya sebagai tidak sesuai dengan kebijakan. Firewall Manager tidak dapat menghapus grup keamanan yang direferensikan oleh grup keamanan lain.

Waktu remediasi bervariasi sesuai dengan apakah Anda menggunakan pengaturan periode waktu default atau pengaturan kustom:

  • Periode waktu ditetapkan ke nol, default — Dengan pengaturan ini, grup keamanan dianggap tidak digunakan segera setelah tidak digunakan oleh EC2 instans Amazon atau elastic network interface.

    Untuk pengaturan periode waktu nol ini, Firewall Manager segera memperbaiki grup keamanan.

  • Periode waktu lebih besar dari nol — Dengan pengaturan ini, grup keamanan dianggap tidak digunakan ketika tidak digunakan oleh EC2 instans Amazon atau elastic network interface dan Firewall Manager belum menerima item konfigurasi untuk itu dalam jumlah menit yang ditentukan.

    Untuk pengaturan periode waktu bukan nol, Firewall Manager memulihkan grup keamanan setelah tetap dalam keadaan tidak digunakan selama 24 jam.

Spesifikasi akun default

Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, Firewall Manager secara otomatis memilih Kecualikan akun yang ditentukan dan menyertakan semua akun lainnya. Layanan kemudian menempatkan akun administrator Firewall Manager dalam daftar untuk dikecualikan. Ini adalah pendekatan yang disarankan, dan memungkinkan Anda untuk secara manual mengelola grup keamanan milik akun administrator Firewall Manager.