Creazione di una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Policy type (Tipo di policy), scegliere AWS WAF.

Per Regione, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli Global.

Per proteggere le risorse in più regioni (diverse dalle CloudFront distribuzioni), è necessario creare policy Firewall Manager separate per ogni regione.

Seleziona Successivo.

Per Nome della politica, inserire un nome descrittivo. Firewall Manager include il nome della policy nei nomi degli ACL Web che gestisce. I nomi degli ACL Web sono FMManagedWebACLV2- seguiti dal nome della policy immesso qui e dal timestamp di creazione degli ACL Web-, in millisecondi UTC. Ad esempio, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Per l'ispezione del corpo su richiesta Web, è possibile modificare facoltativamente il limite di dimensione del corpo. Per informazioni sui limiti di dimensioni per l'ispezione delle carrozzerie, comprese le considerazioni relative ai prezzi, consultate la Gestione dei limiti di dimensione delle ispezioni corporee Guida per gli AWS WAF sviluppatori.

In Policy rules, aggiungi i gruppi di regole che desideri valutare AWS WAF per primi e per ultimi nell'ACL web. Per utilizzare il controllo delle versioni AWS WAF gestito dei gruppi di regole, attiva Abilita il controllo delle versioni. I singoli responsabili dell'account possono aggiungere regole e gruppi di regole tra i primi gruppi di regole e gli ultimi gruppi di regole. Per ulteriori informazioni sull'utilizzo dei gruppi di AWS WAF regole nelle politiche di Firewall Manager per AWS WAF, vedereAWS WAF politiche.

(Facoltativo) Per personalizzare il modo in cui l'ACL Web utilizza il gruppo di regole, scegli Modifica. Di seguito sono riportate le impostazioni di personalizzazione più comuni:

Quando hai finito con le impostazioni, scegli Salva regola.

Impostare l'operazione predefinita per l'ACL Web. Questa è l'azione che AWS WAF intraprende quando una richiesta web non corrisponde a nessuna delle regole dell'ACL web. Puoi aggiungere intestazioni personalizzate con l'azione Consenti o risposte personalizzate per l'azione Blocca. Per ulteriori informazioni sulle azioni ACL Web predefinite, consulta. L'azione predefinita dell'ACL Web Per informazioni sull'impostazione di richieste e risposte Web personalizzate, vedereRichieste e risposte web personalizzate in AWS WAF.

Per la configurazione della registrazione, scegli Abilita registrazione per attivare la registrazione. La registrazione fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. Scegli la destinazione di registrazione, quindi scegli la destinazione di registrazione che hai configurato. È necessario scegliere una destinazione di registrazione il cui nome inizi con. aws-waf-logs- Per informazioni sulla configurazione di una destinazione di AWS WAF registrazione, vedere. Configurazione della registrazione per una policy AWS WAF

(Facoltativo) Se non si desidera che determinati campi e i relativi valori vengano inclusi nei log, omettere tali campi. Scegliere il campo da omettere, quindi selezionare Add (Aggiungi). Se necessario, ripetere l'operazione per omettere i campi aggiuntivi. I campi omessi vengono visualizzati come REDACTED nei log. Ad esempio, se si oscura il campo URI, il campo URI nei registri sarà. REDACTED

(Facoltativo) Se non desideri inviare tutte le richieste ai log, aggiungi i criteri e il comportamento di filtro. In Filtra log, per ogni filtro che desideri applicare, scegli Aggiungi filtro, quindi scegli i criteri di filtro e specifica se desideri conservare o eliminare le richieste che corrispondono ai criteri. Al termine dell'aggiunta dei filtri, se necessario, modifica il comportamento di registrazione predefinito. Per ulteriori informazioni, consulta la sezione Configurazione della registrazione ACL Web nella Guida per gli sviluppatori di AWS WAF .

È possibile definire un elenco di domini Token per abilitare la condivisione dei token tra applicazioni protette. I token vengono utilizzati dalle Challenge azioni CAPTCHA e e dagli SDK di integrazione delle applicazioni implementati quando si utilizzano i gruppi di regole AWS Managed Rules for AWS WAF Fraud Control, Account Takeover Prevention (ATP) e Bot Control. AWS WAF

I suffissi pubblici non sono consentiti. Ad esempio, non puoi usare gov.au or co.uk come dominio token.

Per impostazione predefinita, AWS WAF accetta token solo per il dominio della risorsa protetta. Se aggiungi domini token in questo elenco, AWS WAF accetta token per tutti i domini dell'elenco e per il dominio della risorsa associata. Per ulteriori informazioni, consulta la sezione AWS WAF configurazione dell'elenco di domini con token ACL web nella Guida per gli sviluppatori di AWS WAF .

È possibile modificare il CAPTCHA dell'ACL Web e contestare i tempi di immunità solo quando si modifica un ACL Web esistente. È possibile trovare queste impostazioni nella pagina dei dettagli della politica di Firewall Manager. Per informazioni su queste impostazioni, consulta Scadenza del timestamp: tempi di immunità AWS WAF dei token. Se aggiorni le impostazioni Association config, CAPTCHA, Challenge o Token domain list in una policy esistente, Firewall Manager sovrascriverà gli ACL web locali con i nuovi valori. Tuttavia, se non aggiorni le impostazioni dell'elenco di domini Association Config, CAPTCHA, Challenge o Token della policy, i valori negli ACL web locali rimarranno invariati. Per informazioni su questa opzione, consulta la Guida per gli sviluppatoriCAPTCHAe Challenge in AWS WAF.AWS WAF

In Gestione ACL Web, se desideri che Firewall Manager gestisca gli ACL Web non associati, abilita Gestisci ACL Web non associati. Con questa opzione, Firewall Manager crea ACL Web negli account inclusi nell'ambito delle policy solo se gli ACL Web verranno utilizzati da almeno una risorsa. Se in qualsiasi momento un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un ACL Web nell'account se almeno una risorsa utilizzerà l'ACL Web. Dopo l'attivazione di questa opzione, Firewall Manager esegue una pulizia una tantum degli ACL Web non associati nell'account. Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager dissocia la risorsa dall'ACL Web, ma non ripulisce l'ACL Web non associato. Firewall Manager pulisce gli ACL Web non associati solo quando si abilita per la prima volta la gestione degli ACL Web non associati in una policy.

Per l'azione relativa alle politiche, se desideri creare un ACL Web in ogni account applicabile all'interno dell'organizzazione, ma non applicare ancora l'ACL Web a nessuna risorsa, scegli Identifica le risorse che non rispettano le regole delle policy, ma non correggono automaticamente e non scegli Gestisci ACL Web non associati. Puoi modificare queste opzioni in un secondo momento.

Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi). Se l'opzione Gestisci ACL Web non associati è disabilitata, l'opzione Riparazione automatica di qualsiasi risorsa non conforme crea un ACL Web in ogni account applicabile all'interno dell'organizzazione e associa l'ACL Web alle risorse degli account. Se l'opzione Gestisci ACL Web non associati è abilitata, l'opzione Riparazione automatica di qualsiasi risorsa non conforme crea e associa un ACL Web solo negli account che dispongono di risorse idonee per l'associazione all'ACL Web.

Quando scegli Riparazione automatica di qualsiasi risorsa non conforme, puoi anche scegliere di rimuovere le associazioni ACL Web esistenti dalle risorse relative all'ambito, per le ACL Web che non sono gestite da un'altra politica attiva di Firewall Manager. Se si sceglie questa opzione, Firewall Manager associa innanzitutto l'ACL Web della policy alle risorse, quindi rimuove le associazioni precedenti. Se una risorsa ha un'associazione con un altro ACL Web gestito da una politica di Firewall Manager attiva diversa, questa scelta non influisce su tale associazione.

Seleziona Successivo.

Affinché Account AWS questa politica si applichi a, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Per Resource type (Tipo di risorsa), scegliere i tipi di risorsa che si desidera proteggere.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Seleziona Successivo.

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Seleziona Successivo.

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Policy type (Tipo di policy), scegliere AWS WAF Classic.

Se hai già creato il gruppo di regole AWS WAF Classic che desideri aggiungere alla policy, scegli Crea una AWS Firewall Manager policy e aggiungi gruppi di regole esistenti. Se desideri creare un nuovo gruppo di regole, scegli Crea una politica di Firewall Manager e aggiungi un nuovo gruppo di regole.

Per Regione, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli Global.

Per proteggere le risorse in più regioni (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.

Seleziona Successivo.

Se si crea un gruppo di regole, seguire le istruzioni in Creazione di un gruppo di regole AWS WAF classico. Una volta creato il gruppo di regole, procedere nel seguente modo.

Inserire un nome per la policy.

Se si aggiunge un gruppo di regole esistente, utilizzare il menu a discesa per selezionare un gruppo di regole da aggiungere, quindi scegliere Add rule group (Aggiungi gruppo di regole).

È possibile eseguire due operazioni su una policy: Action set by rule group (Operazione impostata dal gruppo di regole) e Count (Contare). Se si desidera verificare la policy e il gruppo di regole, impostare l'operazione su Count (Contare). Questa operazione sostituisce tutte le operazioni di blocco specificate dalle regole nel gruppo di regole. In altre parole, se l'operazione della policy è impostata su Count (Contare), le relative richieste vengono solo contate, non bloccate. Al contrario, se l'operazione della policy è impostata su Action set by rule group (Operazione impostata dal gruppo di regole), vengono utilizzate le operazioni della regola nel gruppo di regole. Scegliere l'operazione appropriata.

Seleziona Successivo.

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Scegliere il tipo di risorsa da proteggere.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Se si desidera applicare automaticamente la policy alle risorse esistenti, scegliere Create and apply this policy to existing and new resources (Crea e applica questa policy alle risorse esistenti e nuove).

Questa opzione crea un'ACL Web in ogni account applicabile all'interno di un'organizzazione in AWS e associa l'ACL Web alle risorse specificate negli account. Inoltre, questa opzione applica la policy a tutte le nuove risorse che soddisfano i criteri precedenti (tipo di risorsa e tag). In alternativa, se si sceglie Create policy but do not apply the policy to existing or new resources (Crea policy ma non applicare la policy a risorse esistenti o nuove), Firewall Manager crea un'ACL Web in ogni account applicabile all'interno dell'organizzazione, ma non applica l'ACL Web ad alcuna risorsa. In seguito sarà necessario applicare la policy alle risorse. Scegliere l'opzione appropriata.

Per Replace existing associated web ACLs (Sostituisci gli ACL Web associati esistenti), è possibile scegliere di rimuovere tutte le associazioni di ACL Web attualmente definite per le risorse nell'ambito e quindi sostituirle con associazioni agli ACL Web che si sta creando con questa policy. Per impostazione predefinita, Firewall Manager non rimuove le associazioni ACL Web esistenti prima di aggiungere quelle nuove. Se si desidera rimuovere quelli esistenti, scegliere questa opzione.

Seleziona Successivo.

Rivedere la nuova policy. Per apportare una modifica, scegliere Edit (Modifica). Al termine, scegliere Create and apply policy (Crea e applica policy).

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Tipo di policy, scegli Shield Advanced.

Per creare una politica Shield Advanced, devi essere abbonato a Shield Advanced. Se non si è iscritti, viene richiesto di farlo. Per informazioni sul costo dell'abbonamento, consulta AWS Shield Advanced la sezione Prezzi.

Per Regione, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli Global.

Per le scelte regionali diverse da Global, per proteggere le risorse in più regioni, è necessario creare una politica Firewall Manager separata per ciascuna regione.

Seleziona Successivo.

Per Nome, inserisci un nome descrittivo.

Solo per le politiche della regione globale, puoi scegliere se gestire la mitigazione automatica degli attacchi DDoS a livello di applicazione Shield Advanced. Per informazioni su questa funzionalità Shield Advanced, vedereMitigazione DDoS automatica a livello di applicazione Shield Advanced.

Puoi scegliere di abilitare o disabilitare la mitigazione automatica oppure puoi scegliere di ignorarla. Se scegli di ignorarlo, Firewall Manager non gestisce affatto la mitigazione automatica per le protezioni Shield Advanced. Per ulteriori informazioni su queste opzioni di policy, consulta. Mitigazione automatica degli attacchi DDoS a livello di applicazione

In Gestione ACL Web, se desideri che Firewall Manager gestisca gli ACL Web non associati, abilita Gestisci ACL Web non associati. Con questa opzione, Firewall Manager crea ACL Web negli account inclusi nell'ambito delle policy solo se gli ACL Web verranno utilizzati da almeno una risorsa. Se in qualsiasi momento un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un ACL Web nell'account se almeno una risorsa utilizzerà l'ACL Web. Dopo l'attivazione di questa opzione, Firewall Manager esegue una pulizia una tantum degli ACL Web non associati nell'account. Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager non dissocierà la risorsa dall'ACL Web. Per includere l'ACL Web nella pulizia unica, è necessario innanzitutto dissociare manualmente le risorse dall'ACL Web e quindi abilitare Gestisci ACL Web non associati.

Per quanto riguarda le azioni relative alle politiche, consigliamo di creare la policy con l'opzione che non corregga automaticamente le risorse non conformi. Quando si disabilita la riparazione automatica, è possibile valutare gli effetti della nuova politica prima di applicarla. Quando ritieni che le modifiche siano quelle che desideri, modifica la politica e modifica l'azione della politica per abilitare la correzione automatica.

Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi). Questa opzione applica le protezioni Shield Advanced per ogni account applicabile all'interno AWS dell'organizzazione e ogni risorsa applicabile negli account.

Solo per le politiche della regione globale, se si sceglie Riparazione automatica di eventuali risorse non conformi, è anche possibile scegliere di fare in modo che Firewall Manager sostituisca automaticamente tutte le associazioni ACL Web AWS WAF classiche esistenti con nuove associazioni agli ACL Web creati utilizzando l'ultima versione di (v2). AWS WAF Se si sceglie questa opzione, Firewall Manager rimuove le associazioni con gli ACL Web della versione precedente e crea nuove associazioni con gli ACL Web della versione più recente, dopo aver creato nuovi ACL Web vuoti in tutti gli account interessati che non li hanno già per la policy. Per ulteriori informazioni su questa opzione, consulta Sostituisci gli ACL web AWS WAF classici con gli ACL web della versione più recente.

Seleziona Successivo.

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Scegliere il tipo di risorsa da proteggere.

Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se è necessario utilizzare Shield Advanced per proteggere le risorse da questi servizi, non è possibile utilizzare una policy Firewall Manager. Segui invece la guida Shield Advanced all'indirizzoAggiungere AWS Shield Advanced protezione alle risorse AWS.

Per quanto riguarda le risorse, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Seleziona Successivo.

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Seleziona Successivo.

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Tipo di criterio, scegliere Gruppo di protezione.

Per Tipo di criteri di gruppo di protezione, scegliere Gruppi di protezione comuni.

Per Regione, scegli un Regione AWS.

Seleziona Successivo.

Per Nome criterio, immettere un nome descrittivo.

Per Regole criteri, eseguire le operazioni seguenti:

1. Dall'opzione regole, scegli le restrizioni che desideri applicare alle regole del gruppo di sicurezza e alle risorse che rientrano nell'ambito della politica. Se scegli Distribuisci i tag dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica, devi anche selezionare Identifica e segnala quando i gruppi di sicurezza creati da questa politica diventano non conformi.

   Importante

   Firewall Manager non distribuirà i tag di sistema aggiunti dai AWS servizi nei gruppi di sicurezza delle repliche. I tag di sistema iniziano con il prefisso aws:. Inoltre, Firewall Manager non aggiornerà i tag dei gruppi di sicurezza esistenti né creerà nuovi gruppi di sicurezza se la policy contiene tag che sono in conflitto con la politica dei tag dell'organizzazione. Per informazioni sulle politiche relative ai tag, consulta le politiche relative ai tag nella Guida AWS Organizations per l'utente.

   Se scegli Distribuisci i riferimenti ai gruppi di sicurezza dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica, Firewall Manager distribuisce i riferimenti ai gruppi di sicurezza solo se dispongono di una connessione peering attiva in Amazon VPC. Per informazioni su questa opzione, consulta le impostazioni delle regole di policy.

2. Per i gruppi di sicurezza primari, scegli Aggiungi gruppi di sicurezza, quindi scegli i gruppi di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager.

   Per impostazione predefinita, il numero massimo di gruppi di sicurezza primari per policy è 3. Per ulteriori informazioni su questa impostazione, consulta AWS Firewall Manager quote.

3. Per azione criteri, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

Seleziona Successivo.

A cui si applica Account AWS questa politica, scegli l'opzione come segue:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Per Resource type (Tipo di risorsa), scegliere i tipi di risorsa che si desidera proteggere.

Se scegli un'istanza EC2, puoi scegliere di includere tutte le interfacce di rete elastiche in ogni istanza Amazon EC2 o solo l'interfaccia predefinita in ogni istanza. Se disponi di più di un'interfaccia di rete elastica in qualsiasi istanza Amazon EC2 pertinente, la scelta dell'opzione per includere tutte le interfacce consente a Firewall Manager di applicare la policy a tutte. Quando abiliti la riparazione automatica, se Firewall Manager non è in grado di applicare la policy a tutte le interfacce di rete elastiche in un'istanza Amazon EC2, contrassegna l'istanza come non conforme.

Per quanto riguarda le risorse, puoi restringere l'ambito della policy utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Per Shared VPC resources (Risorse VPC condivisi), se si desidera applicare la policy alle risorse in VPC condivisi, oltre ai VPC proprietari degli account, selezionare Include resources from shared VPCs (Includi risorse da VPC condivisi).

Seleziona Successivo.

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Tipo di criterio, scegliere Gruppo di protezione.

Per Tipo di criteri di gruppo di protezione, scegliere Controllo e applicazione delle regole dei gruppi di protezione.

Per Regione, scegli un Regione AWS.

Seleziona Successivo.

Per Nome criterio, immettere un nome descrittivo.

Per le regole delle politiche, scegli l'opzione relativa alle regole politiche gestite o personalizzate che desideri utilizzare.

1. Per Configura le regole delle politiche di controllo gestite, procedi come segue:

   1. In Configura le regole del gruppo di sicurezza da controllare, seleziona il tipo di regole del gruppo di sicurezza a cui desideri applicare la politica di controllo.

   2. Se desideri eseguire operazioni come regole di controllo basate sui protocolli, sulle porte e sulle impostazioni dell'intervallo CIDR presenti nei tuoi gruppi di sicurezza, scegli Controlla le regole del gruppo di sicurezza eccessivamente permissive e seleziona le opzioni che desideri.

      Per la selezione La regola consente tutto il traffico, puoi fornire un elenco di applicazioni personalizzato per designare le applicazioni che desideri controllare. Per informazioni sugli elenchi di applicazioni personalizzati e su come utilizzarli nella politica, consulta Elenchi gestiti eUtilizzo di elenchi gestiti.

      Per le selezioni che utilizzano elenchi di protocolli, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di protocolli e su come utilizzarli nella politica, vedere Elenchi gestiti eUtilizzo di elenchi gestiti.

   3. Se desideri controllare le applicazioni ad alto rischio in base al loro accesso a intervalli CIDR riservati o non riservati, scegli Controlla le applicazioni ad alto rischio e seleziona le opzioni desiderate.

      Le seguenti selezioni si escludono a vicenda: Applicazioni che possono accedere solo a intervalli CIDR riservati e Applicazioni autorizzate ad accedere a intervalli CIDR non riservati. È possibile selezionarne al massimo uno in qualsiasi politica.

      Per le selezioni che utilizzano elenchi di applicazioni, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di applicazioni e su come utilizzarli nella politica, vedere Elenchi gestiti eUtilizzo di elenchi gestiti.

   4. Utilizza le impostazioni Overrides per sovrascrivere in modo esplicito le altre impostazioni della politica. Puoi scegliere di consentire o negare sempre regole specifiche del gruppo di sicurezza, indipendentemente dal fatto che siano conformi alle altre opzioni che hai impostato per la policy.

      Per questa opzione, fornisci un gruppo di sicurezza di controllo come modello di regole consentite o negate. Per i gruppi di sicurezza di controllo, scegli Aggiungi gruppi di sicurezza di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare AWS Firewall Manager quote.

2. Per Configurare le regole delle policy personalizzate, procedi come segue:

   1. Dalle opzioni regole scegliere se consentire solo le regole definite nei gruppi di sicurezza di controllo o negare tutte le regole. Per informazioni su questa scelta, vedere Policy di gruppo di sicurezza del controllo dei contenuti.

   2. Per i gruppi di sicurezza di controllo, scegli Aggiungi gruppi di sicurezza di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare AWS Firewall Manager quote.

   3. Per azione criteri, è necessario creare il criterio con l'opzione che non si aggiorna automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

Seleziona Successivo.

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Per Tipo di risorsa, scegliere i tipi di risorsa che si desidera proteggere.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Seleziona Successivo.

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Tipo di criterio, scegliere Gruppo di protezione.

Per il tipo di policy del gruppo di sicurezza, scegli Controllo e pulizia dei gruppi di sicurezza non associati e ridondanti.

Per Regione, scegli un. Regione AWS

Seleziona Successivo.

Per Nome criterio, immettere un nome descrittivo.

Per Regole dei criteri, scegliere una o entrambe le opzioni disponibili.

Per azione criteri, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.

Seleziona Successivo.

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Seleziona Successivo.

Se non è stato escluso l'account amministratore di Firewall Manager dall'ambito delle politiche, Firewall Manager richiede di eseguire questa operazione. In questo modo, i gruppi di sicurezza nell'account amministratore di Firewall Manager, utilizzato per le politiche comuni e di controllo dei gruppi di sicurezza, sono sotto il controllo manuale. Scegli l'opzione desiderata in questa finestra di dialogo.

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Tipo di policy, scegli Network ACL.

Per Regione, scegli un Regione AWS.

Seleziona Successivo.

Per Nome della politica, inserisci un nome descrittivo.

Per le regole di policy, definisci le regole che desideri vengano sempre eseguite negli ACL di rete gestiti da Firewall Manager per te. Gli ACL di rete monitorano e gestiscono il traffico in entrata e in uscita, quindi nella politica definisci le regole per entrambe le direzioni.

In entrambe le direzioni, definisci le regole che desideri eseguire sempre per prime e le regole che desideri eseguire sempre per ultime. Negli ACL di rete gestiti da Firewall Manager, i proprietari degli account possono definire regole personalizzate da eseguire tra la prima e l'ultima regola.

Per Azione politica, se desideri identificare le sottoreti e gli ACL di rete non conformi, ma non intraprendere ancora alcuna azione correttiva, scegli Identifica le risorse che non rispettano le regole delle policy, ma non eseguono la correzione automatica. Puoi modificare queste opzioni in un secondo momento.

Se invece desideri applicare automaticamente la policy alle sottoreti esistenti nell'ambito, scegli Riparazione automatica di eventuali risorse non conformi. Con questa opzione, puoi anche specificare se forzare la riparazione quando il comportamento di gestione del traffico delle regole delle politiche è in conflitto con le regole personalizzate presenti nell'ACL di rete. Indipendentemente dal fatto che si imponga o meno la riparazione, Firewall Manager segnala regole contrastanti nelle sue violazioni di conformità.

Seleziona Successivo.

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun account nuovo e diverso. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Per il tipo di risorsa, l'impostazione è fissa in Subnet.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Seleziona Successivo.

Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere Crea criterio.

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Policy type (Tipo di policy), scegliere AWS Network Firewall.

In Tipo di gestione del firewall, scegli come desideri che Firewall Manager gestisca i firewall della policy. Seleziona una delle opzioni seguenti:

Per Regione, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Seleziona Successivo.

Per Nome della politica, inserisci un nome descrittivo. Firewall Manager include il nome della policy nei nomi dei firewall Network Firewall e nelle policy firewall che crea.

Nella configurazione della AWS Network Firewall politica, configura la politica del firewall come faresti in Network Firewall. Aggiungi i tuoi gruppi di regole stateless e stateful e specifica le azioni predefinite della policy. Facoltativamente, puoi impostare l'ordine di valutazione delle regole stateful e le azioni predefinite della policy, nonché la configurazione della registrazione. Per informazioni sulla gestione delle policy firewall di Network Firewall, consulta le policy AWS Network Firewall firewall nella AWS Network Firewall Developer Guide.

Quando si crea la politica Firewall Manager Network Firewall, Firewall Manager crea politiche firewall per gli account che rientrano nell'ambito. I singoli account manager possono aggiungere gruppi di regole alle politiche del firewall, ma non possono modificare la configurazione fornita qui.

Seleziona Successivo.

Effettua una delle seguenti operazioni, a seconda del tipo di gestione del firewall selezionato nel passaggio precedente:

Seleziona Successivo.

Se la tua politica utilizza un tipo di gestione del firewall distribuito, in Gestione del percorso, scegli se Firewall Manager monitorerà e avviserà il traffico che deve essere instradato attraverso i rispettivi endpoint del firewall.

Per Tipo di traffico, aggiungi facoltativamente gli endpoint di traffico attraverso i quali desideri indirizzare il traffico per l'ispezione del firewall.

Per Consenti il traffico Cross-AZ richiesto, se si abilita questa opzione, Firewall Manager considera un routing conforme che invia il traffico fuori da una zona di disponibilità per l'ispezione, per le zone di disponibilità che non dispongono di un proprio endpoint firewall. Le zone di disponibilità con endpoint devono sempre ispezionare il proprio traffico.

Seleziona Successivo.

Per l'ambito della policy, ai sensi di Account AWS questa policy, scegliete l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche del Network Firewall è VPC.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Seleziona Successivo.

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Seleziona Successivo.

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per Tipo di policy, scegli Amazon Route 53 Resolver DNS Firewall.

Per Regione, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Seleziona Successivo.

Per Nome della politica, inserisci un nome descrittivo.

Nella configurazione delle policy, aggiungi i gruppi di regole che desideri che DNS Firewall valuti per primi e ultimi tra le associazioni dei gruppi di regole dei tuoi VPC. Puoi aggiungere fino a due gruppi di regole alla policy.

Quando crei la policy Firewall DNS di Firewall Manager, Firewall Manager crea le associazioni dei gruppi di regole, con le priorità di associazione che hai fornito, per i VPC e gli account che rientrano nell'ambito. I singoli account manager possono aggiungere associazioni di gruppi di regole tra la prima e l'ultima associazione, ma non possono modificare le associazioni qui definite. Per ulteriori informazioni, consulta la pagina Politiche del firewall DNS di Amazon Route 53 Resolver.

Seleziona Next (Successivo).

A cui si applica Account AWS questa politica, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche del firewall DNS è VPC.

Per quanto riguarda le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Seleziona Successivo.

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Seleziona Successivo.

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per il tipo di policy, scegli Palo Alto Networks Cloud NGFW. Se non ti sei ancora abbonato al servizio Palo Alto Networks Cloud NGFW nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.

Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Seleziona Successivo.

Per Nome della politica, inserisci un nome descrittivo.

Nella configurazione della policy, scegli la policy firewall NGFW di Palo Alto Networks Cloud da associare a questa policy. L'elenco delle politiche firewall NGFW di Palo Alto Networks Cloud contiene tutte le politiche firewall Palo Alto Networks Cloud NGFW associate al tenant Palo Alto Networks Cloud NGFW. Per informazioni sulla creazione e la gestione delle policy firewall Palo Alto Networks Cloud NGFW, consulta la sezione Deploy Palo Alto Networks Cloud NGFW per l'argomento della guida all'implementazione di Palo Alto Networks Cloud NGFW. AWS AWS Firewall Manager AWS

Per la registrazione NGFW di Palo Alto Networks Cloud: opzionale, scegli facoltativamente quali tipi di log Palo Alto Networks Cloud NGFW registrare per la tua politica. Per informazioni sui tipi di log NGFW di Palo Alto Networks Cloud, consulta Configura la registrazione per Palo Alto Networks Cloud NGFW nella guida all'implementazione di Palo Alto Networks Cloud NGFW. AWS AWS

Per la destinazione dei log, specificare in che momento Firewall Manager deve scrivere i log.

Seleziona Successivo.

In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall nei tuoi VPC, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili nei VPC.

Seleziona Successivo.

Nell'ambito della policy, ai sensi di Account AWS questa policy si applica a, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche del Network Firewall è VPC.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse NGFW di Palo Alto Networks Cloud. Per informazioni sugli stack, consulta Working with stacks nella Guida per l'utente.AWS CloudFormation

Seleziona Successivo.

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Seleziona Successivo.

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

Scegli Crea policy.

Per il tipo di policy, scegli Fortigate Cloud Native Firewall (CNF) as a Service. Se non ti sei ancora abbonato al servizio Fortigate CNF nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.

Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

Seleziona Successivo.

Per Nome della politica, inserisci un nome descrittivo.

Nella configurazione della policy, scegli la policy firewall Fortigate CNF da associare a questa policy. L'elenco delle politiche firewall di Fortigate CNF contiene tutte le politiche firewall Fortigate CNF associate al tenant di Fortigate CNF. Per informazioni sulla creazione e la gestione dei tenant CNF di Fortigate, consulta la documentazione di Fortinet.

Seleziona Successivo.

In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che tu stia utilizzando il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall nei tuoi VPC, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili nei VPC.

Seleziona Successivo.

Nell'ambito della policy, ai sensi di Account AWS questa policy si applica a, scegli l'opzione seguente:

È possibile scegliere solo una delle opzioni.

Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

Il tipo di risorsa per le politiche del Network Firewall è VPC.

Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse Fortigate CNF. Per informazioni sugli stack, consulta Working with stacks nella Guida per l'utente.AWS CloudFormation Per creare uno stack, è necessario l'ID dell'account dal portale Fortigate CNF.

Seleziona Successivo.

Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

Seleziona Successivo.

Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

Al termine, scegliere Create policy (Crea policy). Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica