Creazione di una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Policy type (Tipo di policy), scegliere AWS WAF.

Per Regione, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli Global.

Per proteggere le risorse in più regioni (diverse dalle CloudFront distribuzioni), è necessario creare policy Firewall Manager separate per ogni regione.

Scegli Next (Successivo).

Per Nome della politica, inserire un nome descrittivo. Firewall Manager include il nome della policy nei nomi del Web ACLs che gestisce. I ACL nomi Web sono FMManagedWebACLV2- seguiti dal nome della policy che inserisci qui e dal timestamp di ACL creazione del Web, in UTC millisecondi. - Ad esempio FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Per l'ispezione del corpo su richiesta via Web, è possibile modificare facoltativamente il limite di dimensione corporea. Per informazioni sui limiti di dimensioni per l'ispezione delle carrozzerie, comprese le considerazioni sui prezzi, consultate la Gestione dei limiti di dimensione delle ispezioni corporee per AWS WAF Guida per gli AWS WAF sviluppatori.

In Policy rules, aggiungi i gruppi di regole che desideri valutare AWS WAF per primi e per ultimi sul WebACL. Per utilizzare il controllo delle versioni AWS WAF gestito dei gruppi di regole, attiva Abilita il controllo delle versioni. I singoli responsabili dell'account possono aggiungere regole e gruppi di regole tra i primi gruppi di regole e gli ultimi gruppi di regole. Per ulteriori informazioni sull'utilizzo dei gruppi di AWS WAF regole nelle politiche di Firewall Manager per AWS WAF, vedereUtilizzo AWS WAF delle politiche con Firewall Manager.

(Facoltativo) Per personalizzare il modo in cui il Web ACL utilizza il gruppo di regole, scegli Modifica. Di seguito sono riportate le impostazioni di personalizzazione più comuni:

Quando hai finito con le impostazioni, scegli Salva regola.

Imposta l'azione predefinita per il WebACL. Questa è l'azione che AWS WAF viene eseguita quando una richiesta Web non corrisponde a nessuna delle regole del WebACL. Puoi aggiungere intestazioni personalizzate con l'azione Consenti o risposte personalizzate per l'azione Blocca. Per ulteriori informazioni sulle ACL azioni web predefinite, consultaImpostazione dell'azione web ACL predefinita in AWS WAF. Per informazioni sull'impostazione di richieste e risposte Web personalizzate, vedereAggiungere richieste e risposte Web personalizzate in AWS WAF.

Per la configurazione della registrazione, scegli Abilita registrazione per attivare la registrazione. La registrazione fornisce informazioni dettagliate sul traffico analizzato dal tuo web. ACL Scegli la destinazione di registrazione, quindi scegli la destinazione di registrazione che hai configurato. È necessario scegliere una destinazione di registrazione il cui nome inizi con. aws-waf-logs- Per informazioni sulla configurazione di una destinazione di AWS WAF registrazione, vedere. Utilizzo AWS WAF delle politiche con Firewall Manager

(Facoltativo) Se non si desidera che determinati campi e i relativi valori vengano inclusi nei log, omettere tali campi. Scegliere il campo da omettere, quindi selezionare Add (Aggiungi). Se necessario, ripetere l'operazione per omettere i campi aggiuntivi. I campi omessi vengono visualizzati come REDACTED nei log. Ad esempio, se si oscura il URIcampo, il URIcampo nei registri sarà. REDACTED

(Facoltativo) Se non desideri inviare tutte le richieste ai log, aggiungi i criteri e il comportamento di filtro. In Filtra log, per ogni filtro che desideri applicare, scegli Aggiungi filtro, quindi scegli i criteri di filtro e specifica se desideri conservare o eliminare le richieste che corrispondono ai criteri. Al termine dell'aggiunta dei filtri, se necessario, modifica il comportamento di registrazione predefinito. Per ulteriori informazioni, consulta la sezione Ricerca dei tuoi ACL record web nella Guida per gli sviluppatori di AWS WAF .

È possibile definire un elenco di domini Token per abilitare la condivisione dei token tra applicazioni protette. I token vengono utilizzati da CAPTCHA e Challenge azioni e dall'integrazione SDKs delle applicazioni implementate quando si utilizzano i gruppi di regole AWS Managed Rules for AWS WAF Fraud Control account takeover prevention (ATP) e AWS WAF Bot Control.

I suffissi pubblici non sono consentiti. Ad esempio, non puoi usare gov.au or co.uk come dominio token.

Per impostazione predefinita, AWS WAF accetta token solo per il dominio della risorsa protetta. Se aggiungi domini token in questo elenco, AWS WAF accetta token per tutti i domini dell'elenco e per il dominio della risorsa associata. Per ulteriori informazioni, consulta la sezione AWS WAF configurazione dell'elenco di domini con ACL token web nella Guida per gli sviluppatori di AWS WAF .

Puoi modificare i tempi di immunità ACL del Web CAPTCHA e sfidare i tempi di immunità solo quando modifichi un Web esistente. ACL È possibile trovare queste impostazioni nella pagina dei dettagli della politica di Firewall Manager. Per informazioni su queste impostazioni, consulta Impostazione dei tempi di scadenza del timestamp e dell'immunità dei token in AWS WAF. Se aggiorni le impostazioni dell'elenco di domini Association Config CAPTCHA, Challenge o Token in un criterio esistente, Firewall Manager sovrascriverà il Web locale ACLs con i nuovi valori. Tuttavia, se non aggiorni le impostazioni dell'elenco di domini Association CAPTCHA, Challenge o Token della policy, i valori nel tuo sito web locale ACLs rimarranno invariati. Per informazioni su questa opzione, consulta la Guida per Utilizzo CAPTCHA e Challenge in AWS WAF gli AWS WAF sviluppatori.

In ACLGestione Web, se desideri che Firewall Manager gestisca il Web non associatoACLs, abilita Gestisci Web non associato. ACLs Con questa opzione, Firewall Manager crea il Web ACLs negli account inclusi nell'ambito della policy solo se il Web ACLs verrà utilizzato da almeno una risorsa. Se in qualsiasi momento un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un Web ACL nell'account se almeno una risorsa utilizzerà il WebACL. Dopo l'attivazione di questa opzione, Firewall Manager esegue una pulizia una tantum del sito Web non associato nell'account. ACLs Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un WebACL, Firewall Manager dissocia la risorsa dal WebACL, ma non ripulisce il Web non associato. ACL Firewall Manager pulisce il Web non associato solo ACLs quando si abilita per la prima volta la gestione del Web non associato ACLs in una policy.

Per l'azione relativa alle politiche, se desideri creare un Web ACL in ogni account applicabile all'interno dell'organizzazione, ma non applicare ancora il Web ACL a nessuna risorsa, scegli Identifica le risorse che non rispettano le regole delle policy, ma non correggono automaticamente e non scegli Gestisci Web non associato. ACLs Puoi modificare queste opzioni in un secondo momento.

Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi). Se l'opzione Gestisci il Web non associato ACLs è disattivata, l'opzione Riparazione automatica di qualsiasi risorsa non conforme crea un sito Web ACL in ogni account applicabile all'interno dell'organizzazione e associa il Web ACL alle risorse degli account. Se l'opzione Gestisci il Web non associato ACLs è abilitata, l'opzione Riparazione automatica di qualsiasi risorsa non conforme crea e associa un Web solo negli account che dispongono di risorse idonee per l'associazione al WebACL. ACL

Quando scegli Riparazione automatica di qualsiasi risorsa non conforme, puoi anche scegliere di rimuovere le ACL associazioni Web esistenti dalle risorse relative all'ambito, per il Web ACLs che non sono gestite da un'altra policy attiva di Firewall Manager. Se si sceglie questa opzione, Firewall Manager associa innanzitutto il Web ACL della policy alle risorse, quindi rimuove le associazioni precedenti. Se una risorsa ha un'associazione con un altro Web ACL gestito da una politica di Firewall Manager attiva diversa, questa scelta non influisce su tale associazione.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Per Resource type (Tipo di risorsa), scegliere i tipi di risorsa che si desidera proteggere.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Scegli Next (Successivo).

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Scegli Next (Successivo).

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Policy type (Tipo di policy), scegliere AWS WAF Classic.

Se hai già creato il gruppo di regole AWS WAF Classic che desideri aggiungere alla policy, scegli Crea una AWS Firewall Manager policy e aggiungi gruppi di regole esistenti. Se desideri creare un nuovo gruppo di regole, scegli Crea una politica di Firewall Manager e aggiungi un nuovo gruppo di regole.

Per Regione, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli Global.

Per proteggere le risorse in più regioni (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.

Scegli Next (Successivo).

Se si crea un gruppo di regole, seguire le istruzioni in Creazione di un gruppo di regole AWS WAF classico. Una volta creato il gruppo di regole, procedere nel seguente modo.

Inserire un nome per la policy.

Se si aggiunge un gruppo di regole esistente, utilizzare il menu a discesa per selezionare un gruppo di regole da aggiungere, quindi scegliere Add rule group (Aggiungi gruppo di regole).

È possibile eseguire due operazioni su una policy: Action set by rule group (Operazione impostata dal gruppo di regole) e Count (Contare). Se si desidera verificare la policy e il gruppo di regole, impostare l'operazione su Count (Contare). Questa operazione sostituisce tutte le operazioni di blocco specificate dalle regole nel gruppo di regole. In altre parole, se l'operazione della policy è impostata su Count (Contare), le relative richieste vengono solo contate, non bloccate. Al contrario, se l'operazione della policy è impostata su Action set by rule group (Operazione impostata dal gruppo di regole), vengono utilizzate le operazioni della regola nel gruppo di regole. Scegliere l'operazione appropriata.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Scegliere il tipo di risorsa da proteggere.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Se si desidera applicare automaticamente la policy alle risorse esistenti, scegliere Create and apply this policy to existing and new resources (Crea e applica questa policy alle risorse esistenti e nuove).

Questa opzione crea un Web ACL in ogni account applicabile all'interno di un' AWS organizzazione e associa il Web ACL alle risorse degli account. Inoltre, questa opzione applica la policy a tutte le nuove risorse che soddisfano i criteri precedenti (tipo di risorsa e tag). In alternativa, se si sceglie Crea policy ma non si applica la policy a risorse esistenti o nuove, Firewall Manager crea un Web ACL in ogni account applicabile all'interno dell'organizzazione, ma non applica il Web ACL a nessuna risorsa. In seguito sarà necessario applicare la policy alle risorse. Scegliere l'opzione appropriata.

Per Sostituisci il Web associato esistente ACLs, è possibile scegliere di rimuovere tutte ACL le associazioni Web attualmente definite per le risorse pertinenti e quindi sostituirle con le associazioni al Web ACLs create con questa politica. Per impostazione predefinita, Firewall Manager non rimuove ACL le associazioni Web esistenti prima di aggiungere quelle nuove. Se si desidera rimuovere quelli esistenti, scegliere questa opzione.

Scegli Next (Successivo).

Rivedere la nuova policy. Per apportare una modifica, scegliere Edit (Modifica). Al termine, scegliere Create and apply policy (Crea e applica policy).

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Tipo di policy, scegli Shield Advanced.

Per creare una politica Shield Advanced, devi essere abbonato a Shield Advanced. Se non si è iscritti, viene richiesto di farlo. Per informazioni sul costo dell'abbonamento, consulta AWS Shield Advanced la sezione Prezzi.

Per Regione, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli Global.

Per le scelte regionali diverse da Global, per proteggere le risorse in più regioni, è necessario creare una politica Firewall Manager separata per ciascuna regione.

Scegli Next (Successivo).

Per Nome, inserisci un nome descrittivo.

Solo per le politiche della regione globale, puoi scegliere se gestire la DDoS mitigazione automatica del livello di applicazione Shield Advanced. Per informazioni su questa funzionalità Shield Advanced, vedereAutomatizzazione della DDoS mitigazione a livello di applicazione con Shield Advanced .

Puoi scegliere di abilitare o disabilitare la mitigazione automatica oppure puoi scegliere di ignorarla. Se scegli di ignorarlo, Firewall Manager non gestisce affatto la mitigazione automatica per le protezioni Shield Advanced. Per ulteriori informazioni su queste opzioni di policy, consulta. Utilizzo della DDoS mitigazione automatica a livello di applicazione con le politiche di Firewall Manager Shield Advanced

In ACLGestione Web, se desideri che Firewall Manager gestisca il Web non associatoACLs, abilita Gestisci Web non associato. ACLs Con questa opzione, Firewall Manager crea il Web ACLs negli account inclusi nell'ambito della policy solo se il Web ACLs verrà utilizzato da almeno una risorsa. Se in qualsiasi momento un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un Web ACL nell'account se almeno una risorsa utilizzerà il WebACL. Dopo l'attivazione di questa opzione, Firewall Manager esegue una pulizia una tantum del sito Web non associato nell'account. ACLs Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un WebACL, Firewall Manager non dissocierà la risorsa dal WebACL. Per includere il Web ACL nella pulizia una tantum, è necessario innanzitutto dissociare manualmente le risorse dal Web ACL e quindi abilitare Gestisci il Web non associato. ACLs

Per quanto riguarda l'azione relativa alle politiche, consigliamo di creare la policy con l'opzione che non corregge automaticamente le risorse non conformi. Quando si disabilita la riparazione automatica, è possibile valutare gli effetti della nuova politica prima di applicarla. Quando ritieni che le modifiche siano quelle che desideri, modifica la politica e modifica l'azione della politica per abilitare la correzione automatica.

Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi). Questa opzione applica le protezioni Shield Advanced per ogni account applicabile all'interno AWS dell'organizzazione e ogni risorsa applicabile negli account.

Solo per le politiche regionali globali, se si sceglie Riparazione automatica di eventuali risorse non conformi, è anche possibile scegliere di fare in modo ACLs che Firewall Manager sostituisca automaticamente tutte ACL le associazioni Web AWS WAF classiche esistenti con nuove associazioni al Web create utilizzando l'ultima versione di AWS WAF (v2). Se si sceglie questa opzione, Firewall Manager rimuove le associazioni con la versione precedente del Web ACLs e ne crea di nuove con la versione Web più recenteACLs, dopo aver creato un nuovo sito Web vuoto ACLs in tutti gli account interessati che non li hanno già per la policy. Per ulteriori informazioni su questa opzione, consulta Sostituisci AWS WAF Classic Web con l'ultima versione web ACLs ACLs.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Scegliere il tipo di risorsa da proteggere.

Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se è necessario utilizzare Shield Advanced per proteggere le risorse da questi servizi, non è possibile utilizzare una policy Firewall Manager. Segui invece la guida Shield Advanced all'indirizzoAggiungere AWS Shield Advanced protezione alle AWS risorse.

Per quanto riguarda le risorse, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Scegli Next (Successivo).

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Scegli Next (Successivo).

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Tipo di criterio, scegliere Gruppo di protezione.

Per Tipo di criteri di gruppo di protezione, scegliere Gruppi di protezione comuni.

Per Regione, scegli un Regione AWS.

Scegli Next (Successivo).

Per Nome criterio, immettere un nome descrittivo.

Per Regole criteri, eseguire le operazioni seguenti:

1. Dall'opzione regole, scegli le restrizioni che desideri applicare alle regole del gruppo di sicurezza e alle risorse che rientrano nell'ambito della politica. Se scegli Distribuisci i tag dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica, devi anche selezionare Identifica e segnala quando i gruppi di sicurezza creati da questa politica diventano non conformi.

   Importante

   Firewall Manager non distribuirà i tag di sistema aggiunti dai AWS servizi nei gruppi di sicurezza delle repliche. I tag di sistema iniziano con il prefisso aws:. Inoltre, Firewall Manager non aggiornerà i tag dei gruppi di sicurezza esistenti né creerà nuovi gruppi di sicurezza se la policy contiene tag che sono in conflitto con la politica dei tag dell'organizzazione. Per informazioni sulle politiche relative ai tag, consulta le politiche relative ai tag nella Guida AWS Organizations per l'utente.

   Se scegli Distribuisci i riferimenti ai gruppi di sicurezza dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica, Firewall Manager distribuisce i riferimenti ai gruppi di sicurezza solo se dispongono di una connessione peering attiva in Amazon. VPC Per informazioni su questa opzione, consulta Impostazioni delle regole di policy.

2. Per i gruppi di sicurezza primari, scegli Aggiungi gruppi di sicurezza, quindi scegli i gruppi di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di tutte le VPC istanze Amazon nell'account amministratore di Firewall Manager.

   Per impostazione predefinita, il numero massimo di gruppi di sicurezza primari per policy è 3. Per ulteriori informazioni su questa impostazione, consulta AWS Firewall Manager quote.

3. Per azione criteri, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione come segue:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Per Resource type (Tipo di risorsa), scegliere i tipi di risorsa che si desidera proteggere.

Per l'EC2istanza del tipo di risorsa, puoi scegliere di rimediare a tutte le EC2 istanze Amazon o solo alle istanze che hanno solo l'elastic network interface primaria predefinita (). ENI Per quest'ultima opzione, Firewall Manager non corregge le istanze con allegati aggiuntiviENI. Invece, quando la riparazione automatica è abilitata, Firewall Manager contrassegna solo lo stato di conformità di queste EC2 istanze e non applica alcuna azione di riparazione. Consulta ulteriori avvertenze e limitazioni per il tipo di EC2 risorsa Amazon all'indirizzo. Avvertenze e limitazioni relative alla politica dei gruppi di sicurezza

Per quanto riguarda le risorse, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Per VPCRisorse condivise, se desideri applicare la politica alle risorse condiviseVPCs, oltre a quelle di proprietà degli account, seleziona Includi risorse condivise VPCs. VPCs

Scegli Next (Successivo).

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Tipo di criterio, scegliere Gruppo di protezione.

Per Tipo di criteri di gruppo di protezione, scegliere Controllo e applicazione delle regole dei gruppi di protezione.

Per Regione, scegli un Regione AWS.

Scegli Next (Successivo).

Per Nome criterio, immettere un nome descrittivo.

Per le regole delle politiche, scegli l'opzione relativa alle regole politiche gestite o personalizzate che desideri utilizzare.

1. Per Configura le regole delle politiche di controllo gestite, procedi come segue:

   1. In Configura le regole del gruppo di sicurezza da controllare, seleziona il tipo di regole del gruppo di sicurezza a cui desideri applicare la politica di controllo.

   2. Se vuoi fare cose come regole di controllo basate sui protocolli, sulle porte e sulle impostazioni degli CIDR intervalli presenti nei tuoi gruppi di sicurezza, scegli Controlla le regole del gruppo di sicurezza eccessivamente permissive e seleziona le opzioni che desideri.

      Per la selezione La regola consente tutto il traffico, puoi fornire un elenco di applicazioni personalizzato per designare le applicazioni che desideri controllare. Per informazioni sugli elenchi di applicazioni personalizzati e su come utilizzarli nella politica, consulta Utilizzo di elenchi gestiti eUtilizzo di elenchi gestiti.

      Per le selezioni che utilizzano elenchi di protocolli, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di protocolli e su come utilizzarli nella politica, vedere Utilizzo di elenchi gestiti eUtilizzo di elenchi gestiti.

   3. Se desideri controllare le applicazioni ad alto rischio in base al loro accesso a CIDR intervalli riservati o non riservati, scegli Controlla le applicazioni ad alto rischio e seleziona le opzioni desiderate.

      Le seguenti selezioni si escludono a vicenda: Applicazioni che possono accedere solo a intervalli riservati e Applicazioni autorizzate ad accedere a CIDR intervalli non riservati. CIDR È possibile selezionarne al massimo uno in qualsiasi politica.

      Per le selezioni che utilizzano elenchi di applicazioni, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di applicazioni e su come utilizzarli nella politica, vedere Utilizzo di elenchi gestiti eUtilizzo di elenchi gestiti.

   4. Utilizza le impostazioni Overrides per sovrascrivere in modo esplicito le altre impostazioni della politica. Puoi scegliere di consentire o negare sempre regole specifiche del gruppo di sicurezza, indipendentemente dal fatto che siano conformi alle altre opzioni che hai impostato per la policy.

      Per questa opzione, fornisci un gruppo di sicurezza di controllo come modello di regole consentite o negate. Per i gruppi di sicurezza di controllo, scegli Aggiungi gruppi di sicurezza di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le VPC istanze Amazon nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare AWS Firewall Manager quote.

2. Per Configurare le regole delle policy personalizzate, procedi come segue:

   1. Dalle opzioni regole scegliere se consentire solo le regole definite nei gruppi di sicurezza di controllo o negare tutte le regole. Per informazioni su questa scelta, vedere Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager.

   2. Per i gruppi di sicurezza di controllo, scegli Aggiungi gruppi di sicurezza di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le VPC istanze Amazon nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare AWS Firewall Manager quote.

   3. Per azione criteri, è necessario creare il criterio con l'opzione che non si aggiorna automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Per Tipo di risorsa, scegliere i tipi di risorsa che si desidera proteggere.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Scegli Next (Successivo).

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Tipo di criterio, scegliere Gruppo di protezione.

Per il tipo di policy del gruppo di sicurezza, scegli Controllo e pulizia dei gruppi di sicurezza non associati e ridondanti.

Per Regione, scegli un. Regione AWS

Scegli Next (Successivo).

Per Nome criterio, immettere un nome descrittivo.

Per Regole dei criteri, scegliere una o entrambe le opzioni disponibili.

Per azione criteri, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Scegli Next (Successivo).

Se non è stato escluso l'account amministratore di Firewall Manager dall'ambito delle politiche, Firewall Manager richiede di eseguire questa operazione. In questo modo, i gruppi di sicurezza nell'account amministratore di Firewall Manager, utilizzato per le politiche comuni e di controllo dei gruppi di sicurezza, sono sotto il controllo manuale. Scegli l'opzione desiderata in questa finestra di dialogo.

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Tipo di policy, scegli Rete ACL.

Per Regione, scegli un Regione AWS.

Scegli Next (Successivo).

Per Nome della politica, inserisci un nome descrittivo.

Per le regole di policy, definisci le regole che desideri vengano sempre eseguite nella rete ACLs gestita da Firewall Manager per te. La rete ACLs monitora e gestisce il traffico in entrata e in uscita, quindi nella politica definisci le regole per entrambe le direzioni.

In entrambe le direzioni, definisci le regole che desideri eseguire sempre per prime e le regole che desideri eseguire sempre per ultime. Nella rete ACLs gestita da Firewall Manager, i proprietari degli account possono definire regole personalizzate da eseguire tra la prima e l'ultima regola.

Per Azione politica, se desideri identificare le sottoreti e la rete non conformiACLs, ma non intraprendere ancora alcuna azione correttiva, scegli Identifica le risorse che non sono conformi alle regole delle policy, ma che non eseguono la riparazione automatica. Puoi modificare queste opzioni in un secondo momento.

Se invece desideri applicare automaticamente la policy alle sottoreti esistenti nell'ambito, scegli Riparazione automatica di eventuali risorse non conformi. Con questa opzione, puoi anche specificare se forzare la riparazione quando il comportamento di gestione del traffico delle regole delle policy è in conflitto con le regole personalizzate presenti nella rete. ACL Indipendentemente dal fatto che si imponga o meno la riparazione, Firewall Manager segnala regole contrastanti nelle sue violazioni di conformità.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun account nuovo e diverso. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Per il tipo di risorsa, l'impostazione è fissa in Subnet.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Scegli Next (Successivo).

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Policy type (Tipo di policy), scegliere AWS Network Firewall.

In Tipo di gestione del firewall, scegli come desideri che Firewall Manager gestisca i firewall della policy. Seleziona una delle opzioni seguenti:

Per Regione, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Scegli Next (Successivo).

Per Nome della politica, inserisci un nome descrittivo. Firewall Manager include il nome della policy nei nomi dei firewall Network Firewall e nelle policy firewall che crea.

Nella configurazione della AWS Network Firewall politica, configura la politica del firewall come faresti in Network Firewall. Aggiungi i tuoi gruppi di regole stateless e stateful e specifica le azioni predefinite della policy. Facoltativamente, puoi impostare l'ordine di valutazione delle regole stateful e le azioni predefinite della policy, nonché la configurazione della registrazione. Per informazioni sulla gestione delle policy firewall di Network Firewall, consulta le policy del AWS Network Firewall firewall nella AWS Network Firewall Developer Guide.

Quando si crea la politica Firewall Manager Network Firewall, Firewall Manager crea politiche firewall per gli account che rientrano nell'ambito. I singoli account manager possono aggiungere gruppi di regole alle politiche del firewall, ma non possono modificare la configurazione fornita qui.

Scegli Next (Successivo).

Effettua una delle seguenti operazioni, a seconda del tipo di gestione del firewall selezionato nel passaggio precedente:

Scegli Next (Successivo).

Se la tua politica utilizza un tipo di gestione del firewall distribuito, in Gestione del percorso, scegli se Firewall Manager monitorerà e avviserà il traffico che deve essere instradato attraverso i rispettivi endpoint del firewall.

Per Tipo di traffico, aggiungi facoltativamente gli endpoint di traffico attraverso i quali desideri indirizzare il traffico per l'ispezione del firewall.

Per Consenti il traffico Cross-AZ richiesto, se si abilita questa opzione, Firewall Manager considera un routing conforme che invia il traffico fuori da una zona di disponibilità per l'ispezione, per le zone di disponibilità che non dispongono di un proprio endpoint firewall. Le zone di disponibilità con endpoint devono sempre ispezionare il proprio traffico.

Scegli Next (Successivo).

Per l'ambito della policy, ai sensi di Account AWS questa policy, scegliete l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche del Network Firewall è VPC.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Scegli Next (Successivo).

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Scegli Next (Successivo).

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per Tipo di policy, scegli Amazon Route 53 Resolver DNSFirewall.

Per Regione, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Scegli Next (Successivo).

Per Nome della politica, inserisci un nome descrittivo.

Nella configurazione delle politiche, aggiungi i gruppi di regole che desideri che DNS Firewall valuti per primi e ultimi tra le tue VPCs «associazioni di gruppi di regole». È possibile aggiungere fino a due gruppi di regole alla policy.

Quando crei la policy Firewall di DNS Firewall Manager, Firewall Manager crea le associazioni dei gruppi di regole, con le priorità di associazione che hai fornito, per VPCs gli account che rientrano nell'ambito. I singoli account manager possono aggiungere associazioni di gruppi di regole tra la prima e l'ultima associazione, ma non possono modificare le associazioni qui definite. Per ulteriori informazioni, consulta Utilizzo delle policy DNS Firewall di Amazon Route 53 Resolver in Firewall Manager.

Scegli Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche DNS del firewall è VPC.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Scegli Next (Successivo).

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Scegli Next (Successivo).

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per il tipo di policy, scegli Palo Alto Networks Cloud NGFW. Se non ti sei ancora abbonato al NGFW servizio Palo Alto Networks Cloud nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in tutti gli endpoint VPC che rientrano nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint durante l'ispezione. VPC

Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Scegli Next (Successivo).

Per Nome della politica, inserisci un nome descrittivo.

Nella configurazione della policy, scegli la policy NGFW firewall di Palo Alto Networks Cloud da associare a questa policy. L'elenco delle policy NGFW firewall di Palo Alto Networks Cloud contiene tutte le policy firewall di Palo Alto Networks Cloud NGFW associate al tenant Palo Alto Networks Cloud. NGFW Per informazioni sulla creazione e la gestione delle policy NGFW firewall di Palo Alto Networks Cloud, consulta la guida Deploy Palo Alto Networks Cloud NGFW for AWS con l' AWS Firewall Managerargomento contenuto nella guida Palo Alto Networks Cloud for deployment. NGFW AWS

Per la NGFWregistrazione su Palo Alto Networks Cloud: facoltativamente, scegli opzionalmente quali tipi di NGFW log di Palo Alto Networks Cloud registrare per la tua policy. Per informazioni sui tipi di NGFW log di Palo Alto Networks Cloud, consulta Configure Logging for Palo Alto Networks Cloud NGFW on AWS nella guida Palo Alto Networks Cloud for deployment. NGFW AWS

Per la destinazione dei log, specificare in che momento Firewall Manager deve scrivere i log.

Scegli Next (Successivo).

In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

Se desideri fornire i CIDR blocchi che Firewall Manager può utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti CIDR /28 blocchi. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs

Scegli Next (Successivo).

Nell'ambito della policy, ai sensi di Account AWS questa policy si applica a, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche del Network Firewall è VPC.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse di Palo Alto Networks Cloud. NGFW Per informazioni sugli stack, consulta Working with stacks nella Guida per l'utente.AWS CloudFormation

Scegli Next (Successivo).

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Scegli Next (Successivo).

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Create Policy (Crea policy).

Per il tipo di policy, scegli Fortigate Cloud Native Firewall (CNF) as a Service. Se non ti sei ancora abbonato al CNFservizio Fortigate nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in tutti gli endpoint VPC che rientrano nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint durante l'ispezione. VPC

Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Scegli Next (Successivo).

Per Nome della politica, inserisci un nome descrittivo.

Nella configurazione della policy, scegli la policy CNF firewall di Fortigate da associare a questa policy. L'elenco delle politiche firewall di Fortigate contiene tutte le politiche CNF firewall di Fortigate associate al CNF tenant Fortigate. CNF Per informazioni sulla creazione e la gestione dei tenant Fortigate, consulta la documentazione di FortinetCNF.

Scegli Next (Successivo).

In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che tu stia utilizzando il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

Se desideri fornire i CIDR blocchi che Firewall Manager può utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti CIDR /28 blocchi. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs

Scegli Next (Successivo).

Nell'ambito della policy, ai sensi di Account AWS questa policy si applica a, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche del Network Firewall è VPC.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse Fortigate. CNF Per informazioni sugli stack, consulta Lavorare con gli stack nella Guida per l'utente.AWS CloudFormation Per creare uno stack, avrai bisogno dell'ID dell'account dal portale Fortigate. CNF

Scegli Next (Successivo).

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Scegli Next (Successivo).

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica