Impostazione AWS Firewall ManagerAWS Shield Advanced delle politiche - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Fase 1: Completamento dei prerequisitiFase 2: Creazione e applicazione di una policy Shield AdvancedFase 3: (Facoltativo) Autorizzazione dello Shield Response Team () SRTFase 4: Configurazione delle SNS notifiche Amazon e degli allarmi Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione AWS Firewall ManagerAWS Shield Advanced delle politiche

Puoi utilizzarlo AWS Firewall Manager per abilitare AWS Shield Advanced le protezioni in tutta l'organizzazione.

Importante

Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in Aggiungere AWS Shield Advanced protezione alle AWS risorse.

Per utilizzare Firewall Manager per abilitare la protezione Shield Advanced, esegui i seguenti passaggi in sequenza.

Fase 1: Completamento dei prerequisiti

Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo AWS Firewall Manager prerequisiti. Completare tutti i prerequisiti prima di passare a Fase 2: Creazione e applicazione di una policy Shield Advanced.

Fase 2: Creazione e applicazione di una policy Shield Advanced

Dopo aver completato i prerequisiti, crei una politica AWS Firewall Manager Shield Advanced. Una policy Firewall Manager Shield Advanced contiene gli account e le risorse che desideri proteggere con Shield Advanced.

Importante

Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in Aggiungere AWS Shield Advanced protezione alle AWS risorse.

Per creare una policy Firewall Manager Shield Advanced (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegli Create Policy (Crea policy).

  4. Per Tipo di policy, scegli Shield Advanced.

    Per creare una policy Shield Advanced, l'account amministratore di Firewall Manager deve essere abbonato a Shield Advanced. Se non si è iscritti, viene richiesto di farlo. Per informazioni sul costo dell'abbonamento, consulta AWS Shield Advanced Prezzi.

    Nota

    Non è necessario sottoscrivere manualmente ogni account membro a Shield Advanced. Firewall Manager esegue questa operazione automaticamente al momento della creazione della policy. Ogni account deve rimanere abbonato a Firewall Manager e Shield Advanced per continuare a proteggere le risorse dell'account.

  5. Per Regione, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli Global.

    Per proteggere le risorse in più regioni (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.

  6. Scegli Next (Successivo).

  7. Per Nome, inserisci un nome descrittivo.

  8. (Solo regione globale) Per le politiche regionali globali, puoi scegliere se gestire la DDoS mitigazione automatica del livello di applicazione Shield Advanced. Per questo tutorial, lascia questa scelta all'impostazione predefinita di Ignora.

  9. Per l'azione politica, scegli l'opzione che non corregge automaticamente.

  10. Scegli Next (Successivo).

  11. Account AWS questa politica si applica e consente di restringere l'ambito della politica specificando gli account da includere o escludere. Per questa esercitazione, scegliere Includi tutti gli account nell'organizzazione.

  12. Scegliere i tipi di risorse da proteggere.

    Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Segui invece la guida Shield Advanced all'indirizzoAggiungere AWS Shield Advanced protezione alle AWS risorse.

  13. Per quanto riguarda le risorse, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

    Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

  14. Scegli Next (Successivo).

  15. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

  16. Scegli Next (Successivo).

  17. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Verificare che le azioni dei criteri siano impostate su Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente. Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.

  18. Al termine, scegliere Create policy (Crea policy).

    Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Continua su Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team () SRT.

Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team () SRT

Uno dei vantaggi di AWS Shield Advanced è il supporto dello Shield Response Team (SRT). Quando subisci un potenziale DDoS attacco, puoi contattare il AWS Support Centro. Se necessario, il Support Center inoltra il problema a. SRT Ti SRT aiuta ad analizzare le attività sospette e ti aiuta a mitigare il problema. Questa mitigazione spesso comporta la creazione o l'aggiornamento di AWS WAF regole e web ACLs nel tuo account. SRTPossono controllare la tua AWS WAF configurazione e creare o aggiornare AWS WAF regole e web ACLs per te, ma il team ha bisogno della tua autorizzazione per farlo. Come parte della configurazione AWS Shield Advanced, ti consigliamo di fornire in modo proattivo SRT l'autorizzazione necessaria. Concedere in anticipo l'autorizzazione consente di evitare ritardi relativi alla mitigazione in caso di attacco imminente.

Li autorizzi e li contatti SRT a livello di account. In altre parole, il proprietario dell'account, non l'amministratore di Firewall Manager, deve eseguire le seguenti operazioni per autorizzarlo SRT a mitigare i potenziali attacchi. L'amministratore di Firewall Manager può autorizzare SRT solo gli account di sua proprietà. Allo stesso modo, solo il proprietario dell'account può contattarli SRT per ricevere assistenza.

Nota

Per utilizzare i servizi diSRT, è necessario essere abbonati al piano Business Support o al piano Enterprise Support.

Per autorizzarlo SRT a mitigare i potenziali attacchi per tuo conto, segui le istruzioni riportate in. Risposta agli DDoS eventi gestita con supporto Shield Response Team (SRT) Puoi modificare SRT l'accesso e le autorizzazioni in qualsiasi momento seguendo la stessa procedura.

Continua su Fase 4: Configurazione delle SNS notifiche Amazon e degli allarmi Amazon CloudWatch .

Fase 4: Configurazione delle SNS notifiche Amazon e degli allarmi Amazon CloudWatch

Puoi continuare da questo passaggio senza configurare SNS le notifiche o gli CloudWatch allarmi di Amazon. Tuttavia, la configurazione di questi allarmi e notifiche aumenta in modo significativo la visibilità sui possibili eventi. DDoS

Puoi monitorare le tue risorse protette per individuare potenziali DDoS attività utilizzando AmazonSNS. Per ricevere notifiche di possibili attacchi, crea un SNS argomento Amazon per ogni regione.

Importante

SNSLe notifiche di Amazon relative a potenziali DDoS attività non vengono inviate in tempo reale e possono subire ritardi. Per abilitare le notifiche in tempo reale di potenziali DDoS attività, puoi utilizzare un CloudWatch allarme. L'allarme deve essere basato sulla DDoSDetected metrica dell'account in cui esiste la risorsa protetta.

Per creare un SNS argomento Amazon in Firewall Manager (console)

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, sotto AWS FMS, scegli Impostazioni.

  3. Scegli Create new topic (Crea nuovo argomento).

  4. Inserisci un nome dell'argomento.

  5. Inserisci un indirizzo e-mail a cui verranno inviati SNS i messaggi Amazon, quindi scegli Aggiungi indirizzo e-mail.

  6. Scegli Aggiorna SNS configurazione.

Configurazione degli allarmi Amazon CloudWatch

Shield Advanced consente il rilevamento, la mitigazione e le metriche dei principali contributori in modo CloudWatch che sia possibile monitorare. Per ulteriori informazioni, consulta. AWS Shield Advanced metriche CloudWatch comporta costi aggiuntivi. Per CloudWatch i prezzi, consulta la pagina CloudWatch dei prezzi di Amazon.

Per creare un CloudWatch allarme, segui le istruzioni in Uso di Amazon CloudWatch Alarms. Per impostazione predefinita, Shield Advanced si configura CloudWatch per avvisare l'utente dopo un solo indicatore di un potenziale DDoS evento. Se necessario, puoi utilizzare la CloudWatch console per modificare questa impostazione in modo da avvisarti solo dopo il rilevamento di più indicatori.

Nota

Oltre agli allarmi, puoi anche utilizzare una CloudWatch dashboard per monitorare le potenziali DDoS attività. La dashboard raccoglie ed elabora i dati grezzi di Shield Advanced in metriche leggibili e quasi in tempo reale. Puoi utilizzare le statistiche in Amazon CloudWatch per avere una prospettiva sulle prestazioni della tua applicazione o del tuo servizio web. Per ulteriori informazioni, consulta Cosa c'è CloudWatch nella Amazon CloudWatch User Guide.

Per istruzioni sulla creazione di una CloudWatch dashboard, consultaMonitoraggio con Amazon CloudWatch. Per informazioni su metriche specifiche di Shield Advanced che puoi aggiungere alla dashboard, consultaAWS Shield Advanced metriche.

Una volta completata la configurazione di Shield Advanced, acquisisci familiarità con le opzioni disponibili per la visualizzazione degli eventi su. Visibilità sugli DDoS eventi con Shield Advanced