Creazione di una AWS Firewall Manager politica - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Creare una politica per AWS WAFCrea una politica per AWS WAF ClassicCrea una politica per Shield AdvancedCreazione di una policy di gruppo di sicurezza comuneCreazione di una policy di gruppo di sicurezza di controllo del contenutoCreazione di una policy di gruppo di sicurezza di controllo dell'utilizzoCreazione di una politica ACL di reteCreare una policy per Network FirewallCrea una policy per DNS FirewallCreare una policy per Palo Alto Networks Cloud NGFWCrea una politica per Fortigate CNF

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una AWS Firewall Manager politica

I passaggi per la creazione di un criterio variano a seconda dei diversi tipi di criteri. Assicurarsi di utilizzare la procedura per il tipo di criterio necessario.

Importante

AWS Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se desideri proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in Aggiungere AWS Shield Advanced protezione alle AWS risorse.

Creazione di una AWS Firewall Manager politica per AWS WAF

In una AWS WAF politica di Firewall Manager, puoi utilizzare gruppi di regole gestiti, che AWS e Marketplace AWS i venditori creano e gestiscono per te. È inoltre possibile creare e utilizzare propri gruppi di regole. Per ulteriori informazioni sui gruppi di regole, consulta AWS WAF gruppi di regole.

Se desideri utilizzare i tuoi gruppi di regole, creali prima di creare la AWS WAF policy di Firewall Manager. Per le linee guida, consulta Gestione dei propri gruppi di regole. Per utilizzare una singola regola personalizzata, è necessario definire il proprio gruppo di regole, definire la regola all'interno del gruppo e quindi utilizzare il gruppo di regole nella policy.

Per informazioni sulle AWS WAF politiche di Firewall Manager, vedereUtilizzo AWS WAF delle politiche con Firewall Manager.

Per creare una policy Firewall Manager per AWS WAF (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Policy type (Tipo di policy), scegliere AWS WAF.

  5. Per Regione, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli Global.

    Per proteggere le risorse in più regioni (diverse dalle CloudFront distribuzioni), è necessario creare policy Firewall Manager separate per ogni regione.

  6. Scegli Next (Successivo).

  7. Per Nome della politica, inserire un nome descrittivo. Firewall Manager include il nome della policy nei nomi del Web ACLs che gestisce. I nomi degli ACL Web sono FMManagedWebACLV2- seguiti dal nome della policy immesso qui e dal timestamp di creazione dell'ACL Web-, in millisecondi UTC. Ad esempio FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

  8. Per l'ispezione del corpo su richiesta Web, è possibile modificare facoltativamente il limite di dimensione del corpo. Per informazioni sui limiti di dimensioni per l'ispezione delle carrozzerie, comprese le considerazioni relative ai prezzi, consultate la Gestione dei limiti di dimensione delle ispezioni corporee per AWS WAF Guida per gli AWS WAF sviluppatori.

  9. In Policy rules, aggiungi i gruppi di regole che desideri valutare AWS WAF per primi e per ultimi nell'ACL web. Per utilizzare il controllo delle versioni AWS WAF gestito dei gruppi di regole, attiva Abilita il controllo delle versioni. I singoli responsabili dell'account possono aggiungere regole e gruppi di regole tra i primi gruppi di regole e gli ultimi gruppi di regole. Per ulteriori informazioni sull'utilizzo dei gruppi di AWS WAF regole nelle politiche di Firewall Manager per AWS WAF, vedereUtilizzo AWS WAF delle politiche con Firewall Manager.

    (Facoltativo) Per personalizzare il modo in cui l'ACL Web utilizza il gruppo di regole, scegli Modifica. Di seguito sono riportate le impostazioni di personalizzazione più comuni:

    • Per i gruppi di regole gestiti, sostituisci le azioni delle regole per alcune o tutte le regole. Se non si definisce un'azione di sostituzione per una regola, la valutazione utilizza l'azione della regola definita all'interno del gruppo di regole. Per informazioni su questa opzione, consulta Sovrascrivere le azioni del gruppo di regole in AWS WAF la Guida per gli AWS WAF sviluppatori.

    • Alcuni gruppi di regole gestiti richiedono una configurazione aggiuntiva. Consulta la documentazione del tuo fornitore di gruppi di regole gestiti. Per informazioni specifiche sui gruppi di regole AWS Managed Rules, AWS Regole gestite per AWS WAF consulta la Guida per gli AWS WAF sviluppatori.

    Quando hai finito con le impostazioni, scegli Salva regola.

  10. Impostare l'operazione predefinita per l'ACL Web. Questa è l'azione che AWS WAF intraprende quando una richiesta web non corrisponde a nessuna delle regole dell'ACL web. Puoi aggiungere intestazioni personalizzate con l'azione Consenti o risposte personalizzate per l'azione Blocca. Per ulteriori informazioni sulle azioni ACL Web predefinite, consulta. Impostazione dell'azione predefinita dell'ACL Web in AWS WAF Per informazioni sull'impostazione di richieste e risposte Web personalizzate, vedereRichieste e risposte web personalizzate in AWS WAF.

  11. Per la configurazione della registrazione, scegli Abilita registrazione per attivare la registrazione. La registrazione fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. Scegli la destinazione di registrazione, quindi scegli la destinazione di registrazione che hai configurato. È necessario scegliere una destinazione di registrazione il cui nome inizi con. aws-waf-logs- Per informazioni sulla configurazione di una destinazione di AWS WAF registrazione, vedere. Utilizzo AWS WAF delle politiche con Firewall Manager

  12. (Facoltativo) Se non si desidera che determinati campi e i relativi valori vengano inclusi nei log, omettere tali campi. Scegliere il campo da omettere, quindi selezionare Add (Aggiungi). Se necessario, ripetere l'operazione per omettere i campi aggiuntivi. I campi omessi vengono visualizzati come REDACTED nei log. Ad esempio, se si oscura il campo URI, il campo URI nei registri sarà. REDACTED

  13. (Facoltativo) Se non desideri inviare tutte le richieste ai log, aggiungi i criteri e il comportamento di filtro. In Filtra log, per ogni filtro che desideri applicare, scegli Aggiungi filtro, quindi scegli i criteri di filtro e specifica se desideri conservare o eliminare le richieste che corrispondono ai criteri. Al termine dell'aggiunta dei filtri, se necessario, modifica il comportamento di registrazione predefinito. Per ulteriori informazioni, consulta la sezione Ricerca dei record ACL Web nella Guida per gli sviluppatori di AWS WAF .

  14. È possibile definire un elenco di domini Token per abilitare la condivisione dei token tra applicazioni protette. I token vengono utilizzati da CAPTCHA e Challenge azioni e dall'integrazione SDKs delle applicazioni implementate quando si utilizzano i gruppi di regole AWS Managed Rules for AWS WAF Fraud Control, Account Takeover Prevention (ATP) e AWS WAF Bot Control.

    I suffissi pubblici non sono consentiti. Ad esempio, non puoi usare gov.au or co.uk come dominio token.

    Per impostazione predefinita, AWS WAF accetta token solo per il dominio della risorsa protetta. Se aggiungi domini token in questo elenco, AWS WAF accetta token per tutti i domini dell'elenco e per il dominio della risorsa associata. Per ulteriori informazioni, consulta la sezione AWS WAF configurazione dell'elenco di domini con token ACL web nella Guida per gli sviluppatori di AWS WAF .

    È possibile modificare il CAPTCHA dell'ACL Web e contestare i tempi di immunità solo quando si modifica un ACL Web esistente. È possibile trovare queste impostazioni nella pagina dei dettagli della politica di Firewall Manager. Per informazioni su queste impostazioni, consulta Impostazione dei tempi di scadenza del timestamp e dell'immunità dei token in AWS WAF. Se aggiorni le impostazioni Association config, CAPTCHA, Challenge o Token domain list in una policy esistente, Firewall Manager sovrascriverà il Web locale ACLs con i nuovi valori. Tuttavia, se non aggiorni le impostazioni dell'elenco di domini Association Config, CAPTCHA, Challenge o Token della policy, i valori nel tuo sito web locale rimarranno invariati. ACLs Per informazioni su questa opzione, consulta CAPTCHA e Challenge nel AWS WAF la Guida per gli sviluppatori.AWS WAF

  15. In Gestione ACL Web, scegli in che modo Firewall Manager gestisce la creazione e la pulizia degli ACL Web.

    1. Per Gestisci Web non associato ACLs, scegli se Firewall Manager gestisce il Web non associato. ACLs Con questa opzione, Firewall Manager crea il Web ACLs per gli account inclusi nell'ambito delle policy solo se il Web ACLs verrà utilizzato da almeno una risorsa. Quando un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un ACL Web nell'account se almeno una risorsa lo utilizzerà.

      Quando abiliti questa opzione, Firewall Manager esegue una pulizia una tantum del Web non associato ACLs nel tuo account. Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager dissocia la risorsa dall'ACL Web, ma non ripulisce l'ACL Web non associato. Firewall Manager pulisce il Web non associato solo ACLs quando si abilita per la prima volta la gestione del Web non associato ACLs nella policy.

    2. Per l'origine Web ACL, specificate se creare un Web completamente nuovo ACLs per le risorse pertinenti o se modificare il Web esistente, ove possibile. ACLs Firewall Manager è in grado di aggiornare siti Web ACLs di proprietà di account pertinenti.

      Il comportamento predefinito prevede la creazione di siti Web completamente nuovi. ACLs Se si sceglie questa opzione, tutti i siti Web ACLs gestiti da Firewall Manager avranno nomi che iniziano conFMManagedWebACLV2. Se si sceglie di aggiornare un sito Web esistente ACLs, il Web adattato ACLs avrà i nomi originali e quelli creati da Firewall Manager avranno nomi che iniziano con. FMManagedWebACLV2

  16. Per Policy action, se desideri creare un ACL Web in ogni account applicabile all'interno dell'organizzazione, ma non applicare ancora l'ACL Web a nessuna risorsa, scegli Identifica le risorse che non rispettano le regole delle policy, ma non eseguono la riparazione automatica e non scegli Gestisci Web non associato. ACLs Puoi modificare queste opzioni in un secondo momento.

    Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi). Se l'opzione Gestisci il Web non associato ACLs è disattivata, l'opzione Riparazione automatica di qualsiasi risorsa non conforme crea un ACL Web in ogni account applicabile all'interno dell'organizzazione e lo associa alle risorse degli account. Se l'opzione Gestisci il Web non associato ACLs è abilitata, l'opzione Riparazione automatica di qualsiasi risorsa non conforme crea e associa un ACL Web solo negli account che dispongono di risorse idonee per l'associazione all'ACL Web.

    Quando scegli Riparazione automatica di qualsiasi risorsa non conforme, puoi anche scegliere di rimuovere le associazioni ACL Web esistenti dalle risorse relative all'ambito, per il Web ACLs che non sono gestite da un'altra policy attiva di Firewall Manager. Se si sceglie questa opzione, Firewall Manager associa innanzitutto l'ACL Web della policy alle risorse, quindi rimuove le associazioni precedenti. Se una risorsa ha un'associazione con un altro ACL Web gestito da una politica di Firewall Manager attiva diversa, questa scelta non influisce su tale associazione.

  17. Scegli Next (Successivo).

  18. Affinché Account AWS questa politica si applichi a, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.

  19. Per Resource type (Tipo di risorsa), scegliere i tipi di risorsa che si desidera proteggere.

  20. Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  21. Scegli Next (Successivo).

  22. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

  23. Scegli Next (Successivo).

  24. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Creazione di una politica per Classic AWS Firewall ManagerAWS WAF

Per creare una policy Firewall Manager per AWS WAF Classic (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Policy type (Tipo di policy), scegliere AWS WAF Classic.

  5. Se hai già creato il gruppo di regole AWS WAF Classic che desideri aggiungere alla policy, scegli Crea una AWS Firewall Manager policy e aggiungi gruppi di regole esistenti. Se desideri creare un nuovo gruppo di regole, scegli Crea una politica di Firewall Manager e aggiungi un nuovo gruppo di regole.

  6. Per Regione, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli Global.

    Per proteggere le risorse in più regioni (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.

  7. Scegli Next (Successivo).

  8. Se si crea un gruppo di regole, seguire le istruzioni in Creazione di un gruppo di regole AWS WAF classico. Una volta creato il gruppo di regole, procedere nel seguente modo.

  9. Inserire un nome per la policy.

  10. Se si aggiunge un gruppo di regole esistente, utilizzare il menu a discesa per selezionare un gruppo di regole da aggiungere, quindi scegliere Add rule group (Aggiungi gruppo di regole).

  11. È possibile eseguire due operazioni su una policy: Action set by rule group (Operazione impostata dal gruppo di regole) e Count (Contare). Se si desidera verificare la policy e il gruppo di regole, impostare l'operazione su Count (Contare). Questa operazione sostituisce tutte le operazioni di blocco specificate dalle regole nel gruppo di regole. In altre parole, se l'operazione della policy è impostata su Count (Contare), le relative richieste vengono solo contate, non bloccate. Al contrario, se l'operazione della policy è impostata su Action set by rule group (Operazione impostata dal gruppo di regole), vengono utilizzate le operazioni della regola nel gruppo di regole. Scegliere l'operazione appropriata.

  12. Scegli Next (Successivo).

  13. A cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.

  14. Scegliere il tipo di risorsa da proteggere.

  15. Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  16. Se si desidera applicare automaticamente la policy alle risorse esistenti, scegliere Create and apply this policy to existing and new resources (Crea e applica questa policy alle risorse esistenti e nuove).

    Questa opzione crea un'ACL Web in ogni account applicabile all'interno di un'organizzazione in AWS e associa l'ACL Web alle risorse specificate negli account. Inoltre, questa opzione applica la policy a tutte le nuove risorse che soddisfano i criteri precedenti (tipo di risorsa e tag). In alternativa, se si sceglie Create policy but do not apply the policy to existing or new resources (Crea policy ma non applicare la policy a risorse esistenti o nuove), Firewall Manager crea un'ACL Web in ogni account applicabile all'interno dell'organizzazione, ma non applica l'ACL Web ad alcuna risorsa. In seguito sarà necessario applicare la policy alle risorse. Scegliere l'opzione appropriata.

  17. Per Sostituisci il Web associato esistente ACLs, puoi scegliere di rimuovere tutte le associazioni ACL Web attualmente definite per le risorse pertinenti e quindi sostituirle con le associazioni al Web ACLs che stai creando con questa politica. Per impostazione predefinita, Firewall Manager non rimuove le associazioni ACL Web esistenti prima di aggiungere quelle nuove. Se si desidera rimuovere quelli esistenti, scegliere questa opzione.

  18. Scegli Next (Successivo).

  19. Rivedere la nuova policy. Per apportare una modifica, scegliere Edit (Modifica). Al termine, scegliere Create and apply policy (Crea e applica policy).

Creazione di una AWS Firewall Manager politica per AWS Shield Advanced

Per creare una policy Firewall Manager per Shield Advanced (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Tipo di policy, scegli Shield Advanced.

    Per creare una politica Shield Advanced, devi essere abbonato a Shield Advanced. Se non si è iscritti, viene richiesto di farlo. Per informazioni sul costo dell'abbonamento, consulta AWS Shield Advanced la sezione Prezzi.

  5. Per Regione, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli Global.

    Per le scelte regionali diverse da Global, per proteggere le risorse in più regioni, è necessario creare una politica Firewall Manager separata per ciascuna regione.

  6. Scegli Next (Successivo).

  7. Per Nome, inserisci un nome descrittivo.

  8. Solo per le politiche della regione globale, puoi scegliere se gestire la mitigazione automatica del livello di applicazione DDo S di Shield Advanced. Per informazioni su questa funzionalità Shield Advanced, vedereAutomatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced .

    Puoi scegliere di abilitare o disabilitare la mitigazione automatica oppure puoi scegliere di ignorarla. Se scegli di ignorarlo, Firewall Manager non gestisce affatto la mitigazione automatica per le protezioni Shield Advanced. Per ulteriori informazioni su queste opzioni di policy, consulta. Utilizzo della mitigazione automatica del livello di applicazione DDo S con le politiche di Firewall Manager Shield Advanced

  9. In Gestione Web ACL, se desideri che Firewall Manager gestisca il Web non associato ACLs, abilita Gestisci Web non associato. ACLs Con questa opzione, Firewall Manager crea il Web ACLs negli account inclusi nell'ambito della policy solo se il Web ACLs verrà utilizzato da almeno una risorsa. Se in qualsiasi momento un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un ACL Web nell'account se almeno una risorsa utilizzerà l'ACL Web. Dopo l'attivazione di questa opzione, Firewall Manager esegue una pulizia una tantum del sito Web non associato nell'account. ACLs Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager non dissocierà la risorsa dall'ACL Web. Per includere l'ACL Web nella pulizia unica, è necessario innanzitutto dissociare manualmente le risorse dall'ACL Web e quindi abilitare Gestisci Web non associato. ACLs

  10. Per quanto riguarda le azioni relative alle politiche, consigliamo di creare la policy con l'opzione che non corregga automaticamente le risorse non conformi. Quando si disabilita la riparazione automatica, è possibile valutare gli effetti della nuova politica prima di applicarla. Quando ritieni che le modifiche siano quelle che desideri, modifica la politica e modifica l'azione della politica per abilitare la correzione automatica.

    Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi). Questa opzione applica le protezioni Shield Advanced per ogni account applicabile all'interno AWS dell'organizzazione e ogni risorsa applicabile negli account.

    Solo per le politiche della regione globale, se si sceglie Riparazione automatica di eventuali risorse non conformi, è anche possibile scegliere di fare in modo ACLs che Firewall Manager sostituisca automaticamente tutte le associazioni ACL Web AWS WAF classiche esistenti con nuove associazioni al Web create utilizzando la versione più recente di (v2). AWS WAF Se si sceglie questa opzione, Firewall Manager rimuove le associazioni con la versione precedente del Web ACLs e crea nuove associazioni con la versione Web più recente ACLs, dopo aver creato un nuovo Web vuoto ACLs in tutti gli account interessati che non li hanno già per la policy. Per ulteriori informazioni su questa opzione, consulta Sostituisci il Web AWS WAF classico con l'ultima versione web ACLs ACLs.

  11. Scegli Next (Successivo).

  12. A cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, mantieni la selezione predefinita, Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.

  13. Scegliere il tipo di risorsa da proteggere.

    Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se è necessario utilizzare Shield Advanced per proteggere le risorse da questi servizi, non è possibile utilizzare una policy Firewall Manager. Segui invece la guida Shield Advanced all'indirizzoAggiungere AWS Shield Advanced protezione alle AWS risorse.

  14. Per quanto riguarda le risorse, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  15. Scegli Next (Successivo).

  16. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

  17. Scegli Next (Successivo).

  18. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Creazione di una policy di gruppo di sicurezza comune AWS Firewall Manager

Per informazioni sul funzionamento dei criteri comuni dei gruppi di protezione, vedere Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager.

Per creare una politica di gruppo di sicurezza comune, è necessario disporre di un gruppo di sicurezza già creato nell'account amministratore di Firewall Manager che si desidera utilizzare come principale per la politica. Puoi gestire i gruppi di sicurezza tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon). EC2 Per informazioni, consulta Working with Security Groups nella Amazon VPC User Guide.

Per creare un criterio di gruppo di protezione comune (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Tipo di criterio, scegliere Gruppo di protezione.

  5. Per Tipo di criteri di gruppo di protezione, scegliere Gruppi di protezione comuni.

  6. Per Regione, scegli un Regione AWS.

  7. Scegli Next (Successivo).

  8. Per Nome criterio, immettere un nome descrittivo.

  9. Per Regole criteri, eseguire le operazioni seguenti:

    1. Dall'opzione regole, scegli le restrizioni che desideri applicare alle regole del gruppo di sicurezza e alle risorse che rientrano nell'ambito della politica. Se scegli Distribuisci i tag dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica, devi anche selezionare Identifica e segnala quando i gruppi di sicurezza creati da questa politica diventano non conformi.

      Importante

      Firewall Manager non distribuirà i tag di sistema aggiunti dai AWS servizi nei gruppi di sicurezza delle repliche. I tag di sistema iniziano con il prefisso aws:. Inoltre, Firewall Manager non aggiornerà i tag dei gruppi di sicurezza esistenti né creerà nuovi gruppi di sicurezza se la policy contiene tag che sono in conflitto con la politica dei tag dell'organizzazione. Per informazioni sulle politiche relative ai tag, consulta le politiche relative ai tag nella Guida AWS Organizations per l'utente.

      Se scegli Distribuisci i riferimenti ai gruppi di sicurezza dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica, Firewall Manager distribuisce i riferimenti ai gruppi di sicurezza solo se dispongono di una connessione peering attiva in Amazon VPC. Per informazioni su questa opzione, consulta Policy rules settings.

    2. Per i gruppi di sicurezza primari, scegli Aggiungi gruppi di sicurezza, quindi scegli i gruppi di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager.

      Per impostazione predefinita, il numero massimo di gruppi di sicurezza primari per policy è 3. Per ulteriori informazioni su questa impostazione, consulta AWS Firewall Manager quote.

    3. Per azione criteri, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

  10. Scegli Next (Successivo).

  11. A cui si applica Account AWS questa politica, scegli l'opzione come segue:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.

  12. Per Resource type (Tipo di risorsa), scegliere i tipi di risorsa che si desidera proteggere.

    Per l'EC2 istanza del tipo di risorsa, puoi scegliere di correggere tutte le EC2 istanze Amazon o solo le istanze che dispongono solo dell'interfaccia di rete elastica (ENI) primaria predefinita. Per quest'ultima opzione, Firewall Manager non corregge le istanze con allegati ENI aggiuntivi. Invece, quando la riparazione automatica è abilitata, Firewall Manager contrassegna solo lo stato di conformità di queste EC2 istanze e non applica alcuna azione di riparazione. Consulta ulteriori avvertenze e limitazioni per il tipo di EC2 risorsa Amazon all'indirizzo. Avvertenze e limitazioni relative alla politica dei gruppi di sicurezza

  13. Per quanto riguarda le risorse, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  14. Per le risorse VPC condivise, se desideri applicare la policy alle risorse condivise VPCs, oltre a quelle di proprietà degli VPCs account, seleziona Includi risorse da condivise. VPCs

  15. Scegli Next (Successivo).

  16. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Firewall Manager crea una replica del gruppo di sicurezza primario in ogni istanza Amazon VPC contenuta negli account interessati fino alla quota massima supportata di Amazon VPC per account. Firewall Manager associa i gruppi di sicurezza delle repliche alle risorse che rientrano nell'ambito delle policy per ogni account compreso nell'ambito. Per ulteriori informazioni su come effettuare tale operazione, consulta Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager.

Creazione di una policy di gruppo di sicurezza di controllo del contenuto AWS Firewall Manager

Per informazioni sul funzionamento dei criteri dei gruppi di protezione del controllo del contenuto, vedere Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager.

Per alcune impostazioni dei criteri di controllo dei contenuti, è necessario fornire un gruppo di sicurezza di controllo per Firewall Manager da utilizzare come modello. Ad esempio, potresti avere un gruppo di sicurezza di controllo che contenga tutte le regole che non consentite in nessun gruppo di sicurezza. È necessario creare questi gruppi di sicurezza di controllo utilizzando l'account amministratore di Firewall Manager, prima di poterli utilizzare nella politica. Puoi gestire i gruppi di sicurezza tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon). EC2 Per informazioni, consulta Working with Security Groups nella Amazon VPC User Guide.

Per creare un criterio di gruppo di protezione del controllo del contenuto (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Tipo di criterio, scegliere Gruppo di protezione.

  5. Per Tipo di criteri di gruppo di protezione, scegliere Controllo e applicazione delle regole dei gruppi di protezione.

  6. Per Regione, scegli un Regione AWS.

  7. Scegli Next (Successivo).

  8. Per Nome criterio, immettere un nome descrittivo.

  9. Per le regole delle politiche, scegli l'opzione relativa alle regole politiche gestite o personalizzate che desideri utilizzare.

    1. Per Configura le regole delle politiche di controllo gestite, procedi come segue:

      1. In Configura le regole del gruppo di sicurezza da controllare, seleziona il tipo di regole del gruppo di sicurezza a cui desideri applicare la politica di controllo.

      2. Se desideri eseguire operazioni come regole di controllo basate sui protocolli, sulle porte e sulle impostazioni dell'intervallo CIDR presenti nei tuoi gruppi di sicurezza, scegli Controlla le regole del gruppo di sicurezza eccessivamente permissive e seleziona le opzioni che desideri.

        Per la selezione La regola consente tutto il traffico, puoi fornire un elenco di applicazioni personalizzato per designare le applicazioni che desideri controllare. Per informazioni sugli elenchi di applicazioni personalizzati e su come utilizzarli nella politica, consulta Utilizzo di elenchi gestiti eUtilizzo di elenchi gestiti.

        Per le selezioni che utilizzano elenchi di protocolli, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di protocolli e su come utilizzarli nella politica, vedere Utilizzo di elenchi gestiti eUtilizzo di elenchi gestiti.

      3. Se desideri controllare le applicazioni ad alto rischio in base al loro accesso a intervalli CIDR riservati o non riservati, scegli Controlla le applicazioni ad alto rischio e seleziona le opzioni desiderate.

        Le seguenti selezioni si escludono a vicenda: Applicazioni che possono accedere solo a intervalli CIDR riservati e Applicazioni autorizzate ad accedere a intervalli CIDR non riservati. È possibile selezionarne al massimo uno in qualsiasi politica.

        Per le selezioni che utilizzano elenchi di applicazioni, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di applicazioni e su come utilizzarli nella politica, vedere Utilizzo di elenchi gestiti eUtilizzo di elenchi gestiti.

      4. Utilizza le impostazioni Overrides per sovrascrivere in modo esplicito le altre impostazioni della politica. Puoi scegliere di consentire o negare sempre regole specifiche del gruppo di sicurezza, indipendentemente dal fatto che siano conformi alle altre opzioni che hai impostato per la policy.

        Per questa opzione, fornisci un gruppo di sicurezza di controllo come modello di regole consentite o negate. Per i gruppi di sicurezza di controllo, scegli Aggiungi gruppi di sicurezza di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare AWS Firewall Manager quote.

    2. Per Configurare le regole delle policy personalizzate, procedi come segue:

      1. Dalle opzioni regole scegliere se consentire solo le regole definite nei gruppi di sicurezza di controllo o negare tutte le regole. Per informazioni su questa scelta, vedere Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager.

      2. Per i gruppi di sicurezza di controllo, scegli Aggiungi gruppi di sicurezza di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare AWS Firewall Manager quote.

      3. Per azione criteri, è necessario creare il criterio con l'opzione che non si aggiorna automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

  10. Scegli Next (Successivo).

  11. A cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.

  12. Per Tipo di risorsa, scegliere i tipi di risorsa che si desidera proteggere.

  13. Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  14. Scegli Next (Successivo).

  15. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Firewall Manager confronta il gruppo di sicurezza di controllo con i gruppi di sicurezza pertinenti all'interno AWS dell'organizzazione, in base alle impostazioni delle regole dei criteri. È possibile verificare lo stato delle politiche nella console delle AWS Firewall Manager politiche. Dopo aver creato il criterio, è possibile modificarlo e abilitare la correzione automatica per rendere effettivi i criteri del gruppo di protezione del controllo. Per ulteriori informazioni su come effettuare tale operazione, consulta Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager.

Creazione di una policy di gruppo di sicurezza di controllo dell'utilizzo AWS Firewall Manager

Per informazioni sul funzionamento dei criteri dei gruppi di protezione del controllo dell'utilizzo, vedere Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager.

Per creare un criterio di gruppo di protezione controllo dell'utilizzo (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Tipo di criterio, scegliere Gruppo di protezione.

  5. Per il tipo di policy del gruppo di sicurezza, scegli Controllo e pulizia dei gruppi di sicurezza non associati e ridondanti.

  6. Per Regione, scegli un. Regione AWS

  7. Scegli Next (Successivo).

  8. Per Nome criterio, immettere un nome descrittivo.

  9. Per Regole dei criteri, scegliere una o entrambe le opzioni disponibili.

    • Se si sceglie che i gruppi di sicurezza all'interno di questo ambito di policy devono essere utilizzati da almeno una risorsa, Firewall Manager rimuove tutti i gruppi di sicurezza che ritiene non utilizzati. Quando questa regola è abilitata, Firewall Manager la esegue per ultimo quando si salva la policy.

      Per informazioni dettagliate su come Firewall Manager determina l'utilizzo e la tempistica della riparazione, vedere. Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager

      Nota

      Quando utilizzate questo tipo di policy del gruppo di sicurezza per il controllo dell'utilizzo, evitate di apportare più modifiche allo stato di associazione dei gruppi di sicurezza interessati in un breve lasso di tempo. In questo modo, Firewall Manager potrebbe perdere gli eventi corrispondenti.

      Per impostazione predefinita, Firewall Manager considera i gruppi di sicurezza non conformi a questa regola politica non appena non vengono utilizzati. Facoltativamente, è possibile specificare il numero di minuti in cui un gruppo di sicurezza può rimanere inutilizzato prima che venga considerato non conforme, fino a 525.600 minuti (365 giorni). Puoi utilizzare questa impostazione per concederti il tempo necessario per associare nuovi gruppi di sicurezza alle risorse.

      Importante

      Se si specifica un numero di minuti diverso dal valore predefinito zero, è necessario abilitare le relazioni indirette in AWS Config. In caso contrario, le politiche del gruppo di sicurezza per il controllo dell'utilizzo non funzioneranno come previsto. Per informazioni sulle relazioni indirette in AWS Config, vedere Relazioni indirette AWS Config nella Guida per gli AWS Config sviluppatori.

    • Se si sceglie che i gruppi di sicurezza all'interno di questo ambito di policy devono essere univoci, Firewall Manager consolida i gruppi di sicurezza ridondanti, in modo che solo uno sia associato a qualsiasi risorsa. Se si sceglie questa opzione, Firewall Manager la esegue per primo quando si salva la policy.

  10. Per azione criteri, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

  11. Scegli Next (Successivo).

  12. A cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.

  13. Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  14. Scegli Next (Successivo).

  15. Se non è stato escluso l'account amministratore di Firewall Manager dall'ambito delle politiche, Firewall Manager richiede di eseguire questa operazione. In questo modo, i gruppi di sicurezza nell'account amministratore di Firewall Manager, utilizzato per le politiche comuni e di controllo dei gruppi di sicurezza, sono sotto il controllo manuale. Scegli l'opzione desiderata in questa finestra di dialogo.

  16. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Se hai scelto di richiedere gruppi di sicurezza unici, Firewall Manager esegue la scansione alla ricerca di gruppi di sicurezza ridondanti in ogni istanza Amazon VPC pertinente. Quindi, se si sceglie di richiedere che ogni gruppo di sicurezza venga utilizzato da almeno una risorsa, Firewall Manager esegue la scansione dei gruppi di sicurezza che sono rimasti inutilizzati per i minuti specificati nella regola. È possibile verificare lo stato della policy nella console delle AWS Firewall Manager policy. Per ulteriori informazioni su come effettuare tale operazione, consulta Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager.

Creazione di una AWS Firewall Manager politica ACL di rete

Per informazioni sul funzionamento delle politiche ACL di rete, vedere. Politiche ACL di rete

Per creare una policy ACL di rete, devi sapere come definire un ACL di rete da utilizzare con le tue sottoreti Amazon VPC. Per informazioni, consulta Controllare il traffico verso le sottoreti utilizzando la rete ACLs e Lavorare con la rete ACLs nella Amazon VPC User Guide.

Per creare una policy ACL di rete (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Tipo di policy, scegli Network ACL.

  5. Per Regione, scegli un Regione AWS.

  6. Scegli Next (Successivo).

  7. Per Nome della politica, inserisci un nome descrittivo.

  8. Per le regole di policy, definisci le regole che desideri vengano sempre eseguite nella rete ACLs gestita da Firewall Manager per te. La rete ACLs monitora e gestisce il traffico in entrata e in uscita, quindi nella politica definisci le regole per entrambe le direzioni.

    In entrambe le direzioni, definisci le regole che desideri eseguire sempre per prime e le regole che desideri eseguire sempre per ultime. Nella rete ACLs gestita da Firewall Manager, i proprietari degli account possono definire regole personalizzate da eseguire tra la prima e l'ultima regola.

  9. Per Azione relativa alle politiche, se desideri identificare le sottoreti e le reti non conformi ACLs, ma non intraprendere ancora alcuna azione correttiva, scegli Identifica le risorse che non rispettano le regole delle policy, ma che non eseguono la correzione automatica. Puoi modificare queste opzioni in un secondo momento.

    Se invece desideri applicare automaticamente la policy alle sottoreti esistenti nell'ambito, scegli Riparazione automatica di eventuali risorse non conformi. Con questa opzione, puoi anche specificare se forzare la riparazione quando il comportamento di gestione del traffico delle regole delle policy è in conflitto con le regole personalizzate presenti nell'ACL di rete. Indipendentemente dal fatto che si imponga o meno la riparazione, Firewall Manager segnala regole contrastanti nelle sue violazioni di conformità.

  10. Scegli Next (Successivo).

  11. A cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun account nuovo e diverso. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.

  12. Per il tipo di risorsa, l'impostazione è fissa in Subnet.

  13. Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  14. Scegli Next (Successivo).

  15. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Firewall Manager crea la policy e inizia a monitorare e gestire la rete nell'ambito in ACLs base alle impostazioni dell'utente. Per ulteriori informazioni su come effettuare tale operazione, consulta Politiche ACL di rete.

Creazione di una AWS Firewall Manager politica per AWS Network Firewall

In una politica Firewall Network Firewall di Firewall Manager, si utilizzano i gruppi di regole in cui è possibile gestire AWS Network Firewall. Per informazioni sulla gestione dei gruppi di regole, consulta i gruppi di AWS Network Firewall regole nella Network Firewall Developer Guide.

Per informazioni sulle politiche del firewall di rete di Firewall Manager, vedereUtilizzo AWS Network Firewall delle politiche in Firewall Manager.

Per creare una policy Firewall Manager per AWS Network Firewall (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Policy type (Tipo di policy), scegliere AWS Network Firewall.

  5. In Tipo di gestione del firewall, scegli come desideri che Firewall Manager gestisca i firewall della policy. Seleziona una delle opzioni seguenti:

    • Distribuito: Firewall Manager crea e gestisce gli endpoint firewall in ogni VPC che rientra nell'ambito della policy.

    • Centralizzato: Firewall Manager crea e gestisce gli endpoint in un unico VPC di ispezione.

    • Importa firewall esistenti - Firewall Manager importa i firewall esistenti da Network Firewall utilizzando set di risorse. Per informazioni sui set di risorse, vedere. Raggruppamento delle risorse in Firewall Manager

  6. Per Regione, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

  7. Scegli Next (Successivo).

  8. Per Nome della politica, inserisci un nome descrittivo. Firewall Manager include il nome della policy nei nomi dei firewall Network Firewall e nelle policy firewall che crea.

  9. Nella configurazione della AWS Network Firewall politica, configura la politica del firewall come faresti in Network Firewall. Aggiungi i tuoi gruppi di regole stateless e stateful e specifica le azioni predefinite della policy. Facoltativamente, puoi impostare l'ordine di valutazione delle regole stateful e le azioni predefinite della policy, nonché la configurazione della registrazione. Per informazioni sulla gestione delle policy firewall di Network Firewall, consulta le policy del AWS Network Firewall firewall nella AWS Network Firewall Developer Guide.

    Quando si crea la politica Firewall Manager Network Firewall, Firewall Manager crea politiche firewall per gli account che rientrano nell'ambito. I singoli account manager possono aggiungere gruppi di regole alle politiche del firewall, ma non possono modificare la configurazione fornita qui.

  10. Scegli Next (Successivo).

  11. Effettua una delle seguenti operazioni, a seconda del tipo di gestione del firewall selezionato nel passaggio precedente:

    • Se utilizzi un tipo di gestione del firewall distribuito, nella configurazione dell'AWS Firewall Manager endpoint in Posizione dell'endpoint Firewall, scegli una delle seguenti opzioni:

      • Configurazione personalizzata degli endpoint: Firewall Manager crea firewall per ogni VPC nell'ambito della policy, nelle zone di disponibilità specificate. Ogni firewall contiene almeno un endpoint firewall.

        • In Zone di disponibilità, seleziona le zone di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

        • Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs

          Nota

          La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.

      • Configurazione automatica degli endpoint: Firewall Manager crea automaticamente endpoint firewall nelle zone di disponibilità con sottoreti pubbliche nel tuo VPC.

        • Per la configurazione degli endpoint del firewall, specificare come si desidera che gli endpoint del firewall vengano gestiti da Firewall Manager. Si consiglia di utilizzare più endpoint per un'elevata disponibilità.

    • Se utilizzi un tipo di gestione del firewall centralizzato, nella configurazione degli AWS Firewall Manager endpoint in configurazione Inspection VPC, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.

      • In Zone di disponibilità, seleziona le zone di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

      • Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs

        Nota

        La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.

    • Se utilizzi un tipo di gestione del firewall per l'importazione di firewall esistenti, in Set di risorse aggiungi uno o più set di risorse. Un set di risorse definisce i firewall Network Firewall esistenti di proprietà dell'account dell'organizzazione che desideri gestire centralmente in questa politica. Per aggiungere un set di risorse alla policy, devi prima creare un set di risorse utilizzando la console o l'PutResourceSetAPI. Per informazioni sui set di risorse, vedereRaggruppamento delle risorse in Firewall Manager. Per ulteriori informazioni sull'importazione di firewall esistenti da Network Firewall, vedere importare firewall esistenti.

  12. Scegli Next (Successivo).

  13. Se la tua politica utilizza un tipo di gestione del firewall distribuito, in Gestione del percorso, scegli se Firewall Manager monitorerà e avviserà il traffico che deve essere instradato attraverso i rispettivi endpoint del firewall.

    Nota

    Se scegli Monitor, non puoi modificare l'impostazione su Off in un secondo momento. Il monitoraggio continua finché non elimini la politica.

  14. Per Tipo di traffico, aggiungi facoltativamente gli endpoint di traffico attraverso i quali desideri indirizzare il traffico per l'ispezione del firewall.

  15. Per Consenti il traffico Cross-AZ richiesto, se si abilita questa opzione, Firewall Manager considera un routing conforme che invia il traffico fuori da una zona di disponibilità per l'ispezione, per le zone di disponibilità che non dispongono di un proprio endpoint firewall. Le zone di disponibilità con endpoint devono sempre ispezionare il proprio traffico.

  16. Scegli Next (Successivo).

  17. Per l'ambito della policy, ai sensi di Account AWS questa policy, scegliete l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

  18. Il tipo di risorsa per le politiche del Network Firewall è VPC.

  19. Per quanto riguarda le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  20. Scegli Next (Successivo).

  21. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

  22. Scegli Next (Successivo).

  23. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Creazione di una AWS Firewall Manager policy per Amazon Route 53 Resolver DNS Firewall

In una policy Firewall DNS Firewall Manager, usi i gruppi di regole che gestisci in Amazon Route 53 Resolver DNS Firewall. Per informazioni sulla gestione dei gruppi di regole, consulta Managing rule groups and rules in DNS Firewall nella Amazon Route 53 Developer Guide.

Per informazioni sulle politiche del firewall DNS di Firewall Manager, vedereUtilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager.

Per creare una policy Firewall Manager per Amazon Route 53 Resolver DNS Firewall (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Tipo di policy, scegli Amazon Route 53 Resolver DNS Firewall.

  5. Per Regione, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

  6. Scegli Next (Successivo).

  7. Per Nome della politica, inserisci un nome descrittivo.

  8. Nella configurazione delle politiche, aggiungi i gruppi di regole che desideri che DNS Firewall valuti per primi e per ultimi tra le tue VPCs «associazioni di gruppi di regole». È possibile aggiungere fino a due gruppi di regole alla policy.

    Quando crei la policy Firewall DNS di Firewall Manager, Firewall Manager crea le associazioni dei gruppi di regole, con le priorità di associazione che hai fornito, per VPCs gli account che rientrano nell'ambito. I singoli account manager possono aggiungere associazioni di gruppi di regole tra la prima e l'ultima associazione, ma non possono modificare le associazioni qui definite. Per ulteriori informazioni, consulta Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager.

  9. Scegli Next (Successivo).

  10. A cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

  11. Il tipo di risorsa per le politiche del firewall DNS è VPC.

  12. Per quanto riguarda le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  13. Scegli Next (Successivo).

  14. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

  15. Scegli Next (Successivo).

  16. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Creazione di una AWS Firewall Manager policy per Palo Alto Networks Cloud NGFW

Con una policy Firewall Manager per Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), utilizzi Firewall Manager per distribuire le risorse Palo Alto Networks Cloud NGFW e gestire gli stack di regole NGFW centralmente su tutti i tuoi account. AWS

Per informazioni sulle politiche NGFW di Firewall Manager Palo Alto Networks Cloud, vedere. Utilizzo delle policy NGFW di Palo Alto Networks Cloud per Firewall Manager Per informazioni su come configurare e gestire Palo Alto Networks Cloud NGFW for Firewall Manager, vedere Palo Alto Networks Palo Alto Networks Cloud NGFW sulla documentazione. AWS

Prerequisiti

Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo AWS Firewall Manager prerequisiti. Completa tutti i prerequisiti prima di procedere al passaggio successivo.

Per creare una policy Firewall Manager per Palo Alto Networks Cloud NGFW (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per il tipo di policy, scegli Palo Alto Networks Cloud NGFW. Se non ti sei ancora abbonato al servizio Palo Alto Networks Cloud NGFW nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

  5. Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.

  6. Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

  7. Scegli Next (Successivo).

  8. Per Nome della politica, inserisci un nome descrittivo.

  9. Nella configurazione della policy, scegli la policy firewall NGFW di Palo Alto Networks Cloud da associare a questa policy. L'elenco delle politiche firewall NGFW di Palo Alto Networks Cloud contiene tutte le politiche firewall Palo Alto Networks Cloud NGFW associate al tenant Palo Alto Networks Cloud NGFW. Per informazioni sulla creazione e la gestione delle policy firewall Palo Alto Networks Cloud NGFW, consulta la sezione Deploy Palo Alto Networks Cloud NGFW per l'argomento della guida all'implementazione di Palo Alto Networks Cloud NGFW. AWS AWS Firewall Manager AWS

  10. Per la registrazione NGFW di Palo Alto Networks Cloud: opzionale, scegli facoltativamente quali tipi di log Palo Alto Networks Cloud NGFW registrare per la tua politica. Per informazioni sui tipi di log NGFW di Palo Alto Networks Cloud, consulta Configura la registrazione per Palo Alto Networks Cloud NGFW nella guida all'implementazione di Palo Alto Networks Cloud NGFW. AWS AWS

    Per la destinazione dei log, specificare in che momento Firewall Manager deve scrivere i log.

  11. Scegli Next (Successivo).

  12. In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

    • Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di disponibilità, seleziona in quali zone di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

    • Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli AWS Firewall Manager endpoint in configurazione Inspection VPC, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.

      • In Zone di disponibilità, seleziona le zone di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

  13. Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs

    Nota

    La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.

  14. Scegli Next (Successivo).

  15. Nell'ambito della policy, ai sensi di Account AWS questa policy si applica a, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

  16. Il tipo di risorsa per le politiche del Network Firewall è VPC.

  17. Per quanto riguarda le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  18. Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse NGFW di Palo Alto Networks Cloud. Per informazioni sugli stack, consulta Working with stacks nella Guida per l'utente.AWS CloudFormation

  19. Scegli Next (Successivo).

  20. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

  21. Scegli Next (Successivo).

  22. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Creazione di una AWS Firewall Manager policy per Fortigate Cloud Native Firewall (CNF) as a Service

Con una policy Firewall Manager per Fortigate CNF, puoi utilizzare Firewall Manager per distribuire e gestire le risorse Fortigate CNF su tutti i tuoi account. AWS

Per informazioni sulle politiche CNF di Firewall Manager Fortigate, vedere. Utilizzo delle politiche di Fortigate Cloud Native Firewall (CNF) as a Service per Firewall Manager Per informazioni su come configurare Fortigate CNF per l'uso con Firewall Manager, consulta la documentazione di Fortinet.

Prerequisiti

Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo AWS Firewall Manager prerequisiti. Completa tutti i prerequisiti prima di procedere al passaggio successivo.

Per creare una policy Firewall Manager per Fortigate CNF (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per il tipo di policy, scegli Fortigate Cloud Native Firewall (CNF) as a Service. Se non ti sei ancora abbonato al servizio Fortigate CNF nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

  5. Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.

  6. Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

  7. Scegli Next (Successivo).

  8. Per Nome della politica, inserisci un nome descrittivo.

  9. Nella configurazione della policy, scegli la policy firewall Fortigate CNF da associare a questa policy. L'elenco delle politiche firewall di Fortigate CNF contiene tutte le politiche firewall Fortigate CNF associate al tenant di Fortigate CNF. Per informazioni sulla creazione e la gestione dei tenant CNF di Fortigate, consulta la documentazione di Fortinet.

  10. Scegli Next (Successivo).

  11. In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che tu stia utilizzando il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

    • Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di disponibilità, seleziona in quali zone di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

    • Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli AWS Firewall Manager endpoint in configurazione Inspection VPC, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.

      • In Zone di disponibilità, seleziona le zone di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

  12. Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs

    Nota

    La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.

  13. Scegli Next (Successivo).

  14. Nell'ambito della policy, ai sensi di Account AWS questa policy si applica a, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

  15. Il tipo di risorsa per le politiche del Network Firewall è VPC.

  16. Per quanto riguarda le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  17. Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse Fortigate CNF. Per informazioni sugli stack, consulta Working with stacks nella Guida per l'utente.AWS CloudFormation Per creare uno stack, è necessario l'ID dell'account dal portale Fortigate CNF.

  18. Scegli Next (Successivo).

  19. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

  20. Scegli Next (Successivo).

  21. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica