Configurazione delle policy di AWS Firewall Manager Palo Alto Networks Cloud Next Generation Firewall

Per creare una policy Firewall Manager per Palo Alto Networks Cloud NGFW (console)

1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

   Nota

   Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

3. Scegli Create Policy (Crea policy).

4. Per il tipo di policy, scegli Palo Alto Networks Cloud NGFW. Se non ti sei ancora abbonato al servizio Palo Alto Networks Cloud NGFW nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

5. Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.

6. Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

7. Scegli Next (Successivo).

8. Per Nome della politica, inserisci un nome descrittivo.

9. Nella configurazione della policy, scegli la policy firewall NGFW di Palo Alto Networks Cloud da associare a questa policy. L'elenco delle politiche firewall NGFW di Palo Alto Networks Cloud contiene tutte le politiche firewall Palo Alto Networks Cloud NGFW associate al tenant Palo Alto Networks Cloud NGFW. Per informazioni sulla creazione e la gestione delle policy firewall Palo Alto Networks Cloud NGFW, consulta la sezione Deploy Palo Alto Networks Cloud NGFW per l'argomento della guida all'implementazione di Palo Alto Networks Cloud NGFW. AWS AWS Firewall Manager AWS

10. Per la registrazione NGFW di Palo Alto Networks Cloud: opzionale, scegli facoltativamente quali tipi di log Palo Alto Networks Cloud NGFW registrare per la tua politica. Per informazioni sui tipi di log NGFW di Palo Alto Networks Cloud, consulta Configura la registrazione per Palo Alto Networks Cloud NGFW nella guida all'implementazione di Palo Alto Networks Cloud NGFW. AWS AWS

    Per la destinazione dei log, specificare in che momento Firewall Manager deve scrivere i log.

11. Scegli Next (Successivo).

12. In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

    • Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di disponibilità, seleziona in quali zone di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

    • Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli AWS Firewall Manager endpoint in configurazione Inspection VPC, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.

      • In Zone di disponibilità, seleziona le zone di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

13. Scegli Next (Successivo).

14. Per l'ambito della politica, in base a cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli Includi solo i conti e le unità organizzative specificati, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli Escludi i conti e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.

    Il tipo di risorsa per le politiche del Network Firewall è VPC.

15. Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedereUtilizzo dell'ambito AWS Firewall Manager della politica.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

16. Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse NGFW di Palo Alto Networks Cloud. Per informazioni sugli stack, consulta Working with stacks nella Guida per l'utente.AWS CloudFormation

17. Scegli Next (Successivo).

18. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

19. Scegli Next (Successivo).

20. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Verificare che le azioni dei criteri siano impostate su Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente. Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.

21. Al termine, scegliere Create policy (Crea policy).

    Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica