Menggunakan kebijakan grup keamanan Firewall Manager untuk mengelola grup VPC keamanan Amazon - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Praktik terbaik kebijakan kelompok keamananPeringatan dan batasan kebijakan kelompok keamananKasus penggunaan kebijakan grup keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan grup keamanan Firewall Manager untuk mengelola grup VPC keamanan Amazon

Halaman ini menjelaskan cara menggunakan kebijakan grup AWS Firewall Manager keamanan untuk mengelola grup keamanan Amazon Virtual Private Cloud untuk organisasi Anda AWS Organizations. Anda dapat menerapkan kebijakan grup keamanan yang dikontrol secara terpusat ke seluruh organisasi Anda atau ke subset tertentu dari akun dan sumber daya Anda. Anda juga dapat memantau dan mengelola kebijakan grup keamanan yang digunakan di organisasi Anda, dengan kebijakan grup keamanan audit dan penggunaan.

Firewall Manager terus mempertahankan kebijakan Anda dan menerapkannya ke akun dan sumber daya saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk selengkapnya AWS Organizations, lihat Panduan AWS Organizations Pengguna.

Untuk informasi tentang grup keamanan Amazon Virtual Private Cloud, lihat Grup Keamanan untuk Anda VPC di Panduan VPC Pengguna Amazon.

Anda dapat menggunakan kebijakan grup keamanan Firewall Manager untuk melakukan hal berikut di seluruh AWS organisasi Anda:

  • Terapkan grup keamanan umum ke akun dan sumber daya tertentu.

  • Audit aturan kelompok keamanan, untuk menemukan dan memulihkan aturan yang tidak patuh.

  • Audit penggunaan kelompok keamanan, untuk membersihkan kelompok keamanan yang tidak terpakai dan berlebihan.

Bagian ini mencakup cara kerja kebijakan grup keamanan Firewall Manager dan memberikan panduan untuk menggunakannya. Untuk prosedur untuk membuat kebijakan grup keamanan, lihatMembuat AWS Firewall Manager kebijakan.

Praktik terbaik untuk kebijakan grup keamanan

Bagian ini mencantumkan rekomendasi untuk mengelola grup keamanan yang digunakan AWS Firewall Manager.

Kecualikan akun administrator Manajer Firewall

Saat Anda menetapkan cakupan kebijakan, kecualikan akun administrator Manajer Firewall. Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, ini adalah opsi default.

Mulailah dengan remediasi otomatis dinonaktifkan

Untuk kebijakan grup keamanan audit konten atau penggunaan, mulailah dengan remediasi otomatis dinonaktifkan. Tinjau informasi detail kebijakan untuk menentukan efek yang akan ditimbulkan oleh remediasi otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.

Hindari konflik jika Anda juga menggunakan sumber luar untuk mengelola grup keamanan

Jika Anda menggunakan alat atau layanan selain Firewall Manager untuk mengelola grup keamanan, berhati-hatilah untuk menghindari konflik antara pengaturan Anda di Firewall Manager dan pengaturan di sumber luar Anda. Jika Anda menggunakan remediasi otomatis dan konflik pengaturan, Anda dapat membuat siklus remediasi yang bertentangan yang menghabiskan sumber daya di kedua sisi.

Misalnya, Anda mengonfigurasi layanan lain untuk mempertahankan grup keamanan untuk sekumpulan AWS sumber daya, dan Anda mengonfigurasi kebijakan Firewall Manager untuk mempertahankan grup keamanan yang berbeda untuk beberapa atau semua sumber daya yang sama. Jika Anda mengonfigurasi kedua sisi untuk melarang grup keamanan lain dikaitkan dengan sumber daya dalam lingkup, pihak tersebut akan menghapus asosiasi grup keamanan yang dikelola oleh pihak lain. Jika kedua belah pihak dikonfigurasi dengan cara ini, Anda dapat berakhir dengan siklus disasosiasi dan asosiasi yang saling bertentangan.

Selain itu, katakan bahwa Anda membuat kebijakan audit Firewall Manager untuk menerapkan konfigurasi grup keamanan yang bertentangan dengan konfigurasi grup keamanan dari layanan lain. Remediasi yang diterapkan oleh kebijakan audit Firewall Manager dapat memperbarui atau menghapus grup keamanan tersebut, membuatnya tidak sesuai dengan layanan lainnya. Jika layanan lain dikonfigurasi untuk memantau dan secara otomatis memperbaiki masalah yang ditemukannya, itu akan membuat ulang atau memperbarui grup keamanan, membuatnya lagi tidak sesuai dengan kebijakan audit Manajer Firewall. Jika kebijakan audit Firewall Manager dikonfigurasi dengan remediasi otomatis, kebijakan tersebut akan memperbarui atau menghapus grup keamanan luar, dan seterusnya.

Untuk menghindari konflik seperti ini, buat konfigurasi yang saling eksklusif, antara Firewall Manager dan sumber luar mana pun.

Anda dapat menggunakan penandaan untuk mengecualikan grup keamanan luar dari remediasi otomatis berdasarkan kebijakan Firewall Manager Anda. Untuk melakukan ini, tambahkan satu atau beberapa tag ke grup keamanan atau sumber daya lain yang dikelola oleh sumber luar. Kemudian, ketika Anda menentukan cakupan kebijakan Firewall Manager, dalam spesifikasi sumber daya Anda, kecualikan sumber daya yang memiliki tag atau tag yang telah Anda tambahkan.

Demikian pula, di alat atau layanan luar Anda, kecualikan grup keamanan yang dikelola Manajer Firewall dari aktivitas manajemen atau audit apa pun. Jangan mengimpor sumber daya Firewall Manager atau gunakan penandaan khusus Manajer Firewall untuk mengecualikannya dari manajemen luar.

Praktik terbaik untuk penggunaan kebijakan grup keamanan audit

Ikuti panduan ini saat Anda menggunakan kebijakan grup keamanan audit penggunaan.

  • Hindari membuat beberapa perubahan pada status asosiasi grup keamanan dalam waktu singkat, seperti dalam jendela 15 menit. Melakukannya dapat menyebabkan Firewall Manager melewatkan beberapa atau semua peristiwa terkait. Misalnya, jangan cepat mengasosiasikan dan memisahkan grup keamanan dengan elastic network interface.

Peringatan dan batasan kebijakan kelompok keamanan

Bagian ini mencantumkan peringatan dan batasan untuk menggunakan kebijakan grup keamanan Firewall Manager.

Jenis sumber daya: EC2 Instans Amazon

Bagian ini mencantumkan peringatan dan batasan untuk melindungi EC2 instans Amazon dengan kebijakan grup keamanan Firewall Manager.

  • Dengan grup keamanan yang melindungi antarmuka jaringan EC2 elastis Amazon (ENIs), perubahan pada grup keamanan tidak langsung terlihat oleh Firewall Manager. Firewall Manager biasanya mendeteksi perubahan dalam beberapa jam, tetapi deteksi dapat ditunda hingga enam jam.

  • Firewall Manager tidak mendukung grup keamanan untuk Amazon EC2 ENIs yang dibuat oleh Amazon Relational Database Service.

  • Firewall Manager tidak mendukung pembaruan grup keamanan untuk Amazon EC2 ENIs yang dibuat menggunakan jenis layanan Fargate. Namun, Anda dapat memperbarui grup keamanan untuk Amazon ECS ENIs dengan jenis EC2 layanan Amazon.

  • Firewall Manager tidak mendukung pembaruan grup keamanan untuk EC2 ENIs Amazon yang dikelola pemohon, karena Firewall Manager tidak memiliki izin untuk memodifikasinya.

  • Untuk kebijakan grup keamanan umum, peringatan ini menyangkut interaksi antara jumlah antarmuka jaringan elastis (ENIs) yang dilampirkan ke EC2 instance dan opsi kebijakan yang menentukan apakah akan memperbaiki hanya EC2 instance tanpa lampiran tambahan atau untuk memulihkan semua instance. Setiap EC2 instance memiliki primer defaultENI, dan Anda dapat melampirkan lebih banyakENIs. Di dalamAPI, pengaturan opsi kebijakan untuk pilihan ini adalahApplyToAllEC2InstanceENIs.

    Jika EC2 instance dalam lingkup memiliki ENIs lampiran tambahan dan kebijakan dikonfigurasi untuk hanya menyertakan EC2 instance hanya dengan yang utamaENI, maka Firewall Manager tidak akan mencoba perbaikan apa pun untuk instance tersebut. EC2 Selain itu, Jika instance keluar dari cakupan kebijakan, Firewall Manager tidak mencoba untuk memisahkan asosiasi grup keamanan apa pun yang mungkin telah dibuat untuk instance tersebut.

    Untuk kasus tepi berikut, selama pembersihan sumber daya, Firewall Manager dapat membiarkan asosiasi grup keamanan yang direplikasi tetap utuh, terlepas dari spesifikasi pembersihan sumber daya kebijakan:

    • Ketika instance dengan tambahan ENIs sebelumnya diperbaiki oleh kebijakan yang dikonfigurasi untuk menyertakan semua EC2 instance, dan kemudian instance keluar dari cakupan kebijakan atau pengaturan kebijakan diubah untuk menyertakan hanya instance tanpa tambahan. ENIs

    • Ketika sebuah instance tanpa tambahan ENIs diperbaiki oleh kebijakan yang dikonfigurasi untuk hanya menyertakan instance tanpa tambahanENIs, maka instance lain ENI dilampirkan ke instance, dan kemudian instance keluar dari cakupan kebijakan.

Peringatan dan batasan lainnya

Berikut ini adalah berbagai peringatan dan batasan untuk kebijakan grup keamanan Firewall Manager.

  • Memperbarui Amazon hanya ECS ENIs dimungkinkan untuk ECS layanan Amazon yang menggunakan pengontrol penyebaran pembaruan bergulir (AmazonECS). Untuk pengontrol ECS penyebaran Amazon lainnya seperti CODE _ DEPLOY atau pengontrol eksternal, Firewall Manager saat ini tidak dapat memperbarui file. ENIs

  • Firewall Manager tidak mendukung pembaruan grup keamanan ENIs untuk Network Load Balancers.

  • Dalam kebijakan grup keamanan umum, jika dibagikan VPC kemudian tidak dibagikan dengan akun, Firewall Manager tidak akan menghapus grup keamanan replika di akun.

  • Dengan kebijakan grup keamanan audit penggunaan, jika Anda membuat beberapa kebijakan dengan pengaturan waktu tunda khusus yang semuanya memiliki cakupan yang sama, kebijakan pertama dengan temuan kepatuhan adalah kebijakan yang melaporkan temuan.

Kasus penggunaan kebijakan grup keamanan

Anda dapat menggunakan kebijakan grup keamanan AWS Firewall Manager umum untuk mengotomatiskan konfigurasi firewall host untuk komunikasi antar VPC instans Amazon. Bagian ini mencantumkan VPC arsitektur Amazon standar dan menjelaskan cara mengamankan masing-masing menggunakan kebijakan grup keamanan umum Firewall Manager. Kebijakan grup keamanan ini dapat membantu Anda menerapkan seperangkat aturan terpadu untuk memilih sumber daya di akun yang berbeda dan menghindari konfigurasi per akun di Amazon Elastic Compute Cloud dan Amazon. VPC

Dengan kebijakan grup keamanan umum Firewall Manager, Anda dapat menandai hanya antarmuka jaringan EC2 elastis yang Anda perlukan untuk komunikasi dengan instance di Amazon lain. VPC Contoh lain di Amazon yang sama kemudian VPC lebih aman dan terisolasi.

Kasus penggunaan: Memantau dan mengendalikan permintaan ke Application Load Balancers dan Classic Load Balancer

Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk menentukan permintaan penyeimbang beban dalam ruang lingkup yang harus disajikan. Anda dapat mengonfigurasi ini melalui konsol Firewall Manager. Hanya permintaan yang mematuhi aturan masuk grup keamanan yang dapat mencapai penyeimbang beban Anda, dan penyeimbang beban hanya akan mendistribusikan permintaan yang memenuhi aturan keluar.

Kasus penggunaan: Amazon publik yang dapat diakses Internet VPC

Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk mengamankan Amazon publikVPC, misalnya, untuk mengizinkan hanya port masuk 443. Ini sama dengan hanya mengizinkan HTTPS lalu lintas masuk untuk publikVPC. Anda dapat menandai sumber daya publik dalam VPC (misalnya, sebagai VPC “Publik”), lalu menyetel cakupan kebijakan Manajer Firewall ke hanya sumber daya dengan tag tersebut. Firewall Manager secara otomatis menerapkan kebijakan ke sumber daya tersebut.

Kasus penggunaan: VPC Instans Amazon Publik dan Pribadi

Anda dapat menggunakan kebijakan grup keamanan umum yang sama untuk sumber daya publik seperti yang direkomendasikan dalam kasus penggunaan sebelumnya untuk instans Amazon VPC publik yang dapat diakses internet. Anda dapat menggunakan kebijakan grup keamanan umum kedua untuk membatasi komunikasi antara sumber daya publik dan sumber daya pribadi. Tandai sumber daya di VPC instans Amazon publik dan pribadi dengan sesuatu seperti "PublicPrivate" untuk menerapkan kebijakan kedua kepada mereka. Anda dapat menggunakan kebijakan ketiga untuk menentukan komunikasi yang diizinkan antara sumber daya pribadi dan perusahaan lain atau VPC instans Amazon pribadi. Untuk kebijakan ini, Anda dapat menggunakan tag pengenal lain pada sumber daya pribadi.

Kasus penggunaan: Hub dan VPC instance Amazon yang berbicara

Anda dapat menggunakan kebijakan grup keamanan umum untuk menentukan komunikasi antara VPC instans Amazon hub dan VPC instance Amazon. Anda dapat menggunakan kebijakan kedua untuk menentukan komunikasi dari setiap VPC instance Amazon yang berbicara ke VPC instans Amazon hub.

Kasus penggunaan: Antarmuka jaringan default untuk EC2 instans Amazon

Anda dapat menggunakan kebijakan grup keamanan umum untuk hanya mengizinkan komunikasi standar, misalnya layanan pembaruan internal SSH dan patch/OS, dan untuk melarang komunikasi tidak aman lainnya.

Kasus penggunaan: Identifikasi sumber daya dengan izin terbuka

Anda dapat menggunakan kebijakan grup keamanan audit untuk mengidentifikasi semua sumber daya dalam organisasi Anda yang memiliki izin untuk berkomunikasi dengan alamat IP publik atau yang memiliki alamat IP milik vendor pihak ketiga.