AWS Network Firewall politiche - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Configurazione della registrazione per una politica Network Firewall

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Network Firewall politiche

Puoi utilizzare le policy AWS Firewall Manager Network Firewall per gestire i AWS Network Firewall firewall per i tuoi VPC Amazon Virtual Private Cloud in tutta l'organizzazione in. AWS Organizations Puoi applicare firewall controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato di account e VPC.

Network Firewall fornisce protezioni di filtraggio del traffico di rete per le sottoreti pubbliche nei tuoi VPC. Firewall Manager crea e gestisce i firewall in base al tipo di gestione del firewall definito dalla policy. Firewall Manager fornisce i seguenti modelli di gestione del firewall:

  • Distribuito: per ogni account e VPC che rientra nell'ambito delle policy, Firewall Manager crea un firewall Network Firewall e distribuisce gli endpoint del firewall nelle sottoreti VPC, per filtrare il traffico di rete.

  • Centralizzato: Firewall Manager crea un unico firewall Network Firewall in un unico Amazon VPC.

  • Importa firewall esistenti: Firewall Manager importa i firewall esistenti per la gestione in un'unica politica di Firewall Manager. Puoi applicare regole aggiuntive ai firewall importati gestiti dalla tua politica per garantire che i firewall soddisfino gli standard di sicurezza.

Nota

Le politiche Firewall di rete di Firewall Manager sono politiche di Firewall Manager che utilizzi per gestire le protezioni dei firewall di rete per i tuoi VPC all'interno dell'organizzazione.

Le protezioni Network Firewall sono specificate nelle risorse del servizio Network Firewall denominate politiche firewall.

Per informazioni sull'utilizzo di Network Firewall, consulta la Guida per AWS Network Firewall gli sviluppatori.

Le sezioni seguenti illustrano i requisiti per l'utilizzo delle politiche Firewall di Firewall Manager Network e ne descrivono il funzionamento. Per la procedura di creazione della policy, vedereCreazione di una AWS Firewall Manager politica per AWS Network Firewall.

È necessario abilitare la condivisione delle risorse

Una policy Network Firewall condivide i gruppi di regole del Network Firewall tra gli account dell'organizzazione. Affinché funzioni, è necessario che la condivisione delle risorse sia abilitata per AWS Organizations. Per informazioni su come abilitare la condivisione delle risorse, vedereCondivisione delle risorse per le politiche Network Firewall e DNS Firewall.

È necessario che i gruppi di regole del Network Firewall siano definiti

Quando si specifica una nuova policy Network Firewall, la si definisce nello stesso modo in cui si definisce quando si utilizza AWS Network Firewall direttamente. È possibile specificare i gruppi di regole stateless da aggiungere, le azioni stateless predefinite e i gruppi di regole stateless. I gruppi di regole devono già esistere nell'account amministratore di Firewall Manager per poterli includere nella policy. Per informazioni sulla creazione di gruppi di regole Network Firewall, vedere gruppi di AWS Network Firewall regole.

Come Firewall Manager crea endpoint firewall

Il tipo di gestione del firewall nella politica determina il modo in cui Firewall Manager crea i firewall. La tua policy può creare firewall distribuiti, un firewall centralizzato oppure puoi importare firewall esistenti:

  • Distribuito: con il modello di distribuzione distribuito, Firewall Manager crea endpoint per ogni VPC che rientra nell'ambito delle policy. È possibile personalizzare la posizione degli endpoint specificando in quali zone di disponibilità creare gli endpoint firewall oppure Firewall Manager può creare automaticamente gli endpoint nelle zone di disponibilità con sottoreti pubbliche. Se si scelgono manualmente le zone di disponibilità, è possibile limitare l'insieme di CIDR consentiti per zona di disponibilità. Se decidi di consentire a Firewall Manager di creare automaticamente gli endpoint, devi anche specificare se il servizio creerà un singolo endpoint o più endpoint firewall all'interno dei tuoi VPC.

    • Per più endpoint firewall, Firewall Manager implementa un endpoint firewall in ogni zona di disponibilità in cui è presente una sottorete con un gateway Internet o una route di endpoint firewall creata da Firewall Manager nella tabella di routing. Questa è l'opzione predefinita per una politica Network Firewall.

    • Per un singolo endpoint firewall, Firewall Manager implementa un endpoint firewall in una singola zona di disponibilità in qualsiasi sottorete dotata di un percorso gateway Internet. Con questa opzione, il traffico in altre zone deve attraversare i confini delle zone per essere filtrato dal firewall.

      Nota

      Per entrambe queste opzioni, deve esserci una sottorete associata a una tabella di route contenente una route IPv4/PrefixList. Firewall Manager non verifica la presenza di altre risorse.

  • Centralizzato: con il modello di distribuzione centralizzato, Firewall Manager crea uno o più endpoint firewall all'interno di un VPC di ispezione. Un VPC di ispezione è un VPC centrale in cui Firewall Manager avvia gli endpoint. Quando si utilizza il modello di distribuzione centralizzato, si specifica anche in quali zone di disponibilità creare gli endpoint del firewall. Non puoi modificare il VPC di ispezione dopo aver creato la tua politica. Per utilizzare un VPC di ispezione diverso, è necessario creare una nuova politica.

  • Importa firewall esistenti: quando importi firewall esistenti, scegli i firewall da gestire nella tua politica aggiungendo uno o più set di risorse alla tua politica. Un set di risorse è una raccolta di risorse, in questo caso firewall esistenti in Network Firewall, gestite da un account dell'organizzazione. Prima di utilizzare i set di risorse nella politica, è necessario innanzitutto creare un set di risorse. Per informazioni sui set di risorse di Firewall Manager, vedereUtilizzo dei set di risorse in Firewall Manager.

    Tieni presente le seguenti considerazioni quando lavori con firewall importati:

    • Se un firewall importato diventa non conforme, Firewall Manager tenterà di risolvere automaticamente la violazione, tranne nelle seguenti circostanze:

      • Se c'è una discrepanza tra le azioni predefinite stateful o stateless della policy Firewall Manager e Network Firewall.

      • Se un gruppo di regole nella politica firewall di un firewall importato ha la stessa priorità di un gruppo di regole nella politica di Firewall Manager.

      • Se un firewall importato utilizza una politica firewall associata a un firewall che non fa parte del set di risorse della policy. Ciò può accadere perché un firewall può avere esattamente una politica firewall, ma una singola politica firewall può essere associata a più firewall.

      • Se a un gruppo di regole preesistente appartenente alla politica firewall di un firewall importato, specificata anche nella politica di Firewall Manager, viene assegnata una priorità diversa.

    • Se si abilita la pulizia delle risorse nella politica, Firewall Manager rimuove i gruppi di regole inclusi nella politica di importazione FMS dai firewall nell'ambito del set di risorse.

    • I firewall gestiti da Firewall Manager che importano un tipo di gestione firewall esistente possono essere gestiti solo da una policy alla volta. Se lo stesso set di risorse viene aggiunto a più policy firewall di rete di importazione, i firewall del set di risorse verranno gestiti in base alla prima policy a cui è stato aggiunto il set di risorse e ignorati dalla seconda politica.

    • Firewall Manager attualmente non trasmette in streaming le configurazioni dei criteri di eccezione. Per informazioni sulle politiche relative alle eccezioni di flusso, consulta la sezione Politica delle eccezioni di flusso nella Guida per gli AWS Network Firewall sviluppatori.

Se si modifica l'elenco delle zone di disponibilità per le politiche che utilizzano la gestione distribuita o centralizzata del firewall, Firewall Manager tenterà di ripulire tutti gli endpoint creati in passato, ma che attualmente non rientrano nell'ambito delle policy. Firewall Manager rimuoverà l'endpoint solo se non ci sono route della tabella di routing che fanno riferimento all'endpoint fuori ambito. Se Firewall Manager rileva di non essere in grado di eliminare questi endpoint, contrassegnerà la sottorete del firewall come non conforme e continuerà a tentare di rimuovere l'endpoint fino a quando l'eliminazione non sarà sicura.

In che modo Firewall Manager gestisce le sottoreti del firewall

Le sottoreti firewall sono le sottoreti VPC create da Firewall Manager per gli endpoint firewall che filtrano il traffico di rete. Ogni endpoint firewall deve essere distribuito in una sottorete VPC dedicata. Firewall Manager crea almeno una sottorete firewall in ogni VPC che rientra nell'ambito della policy.

Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione automatica degli endpoint, Firewall Manager crea solo sottoreti firewall nelle zone di disponibilità che dispongono di una sottorete con un percorso gateway Internet o una sottorete con un percorso verso gli endpoint firewall creati da Firewall Manager per la loro politica. Per ulteriori informazioni, consulta VPC e sottoreti nella Guida per l'utente di Amazon VPC.

Per le policy che utilizzano il modello distribuito o centralizzato in cui si specifica in quali zone di disponibilità Firewall Manager crea gli endpoint del firewall, Firewall Manager crea un endpoint in quelle zone di disponibilità specifiche indipendentemente dalla presenza di altre risorse nella zona di disponibilità.

Quando si definisce per la prima volta una politica di Network Firewall, si specifica in che modo Firewall Manager gestisce le sottoreti firewall in ciascuno dei VPC inclusi nell'ambito. Non è possibile modificare questa scelta in un secondo momento.

Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione automatica degli endpoint, puoi scegliere tra le seguenti opzioni:

  • Implementa una sottorete firewall per ogni zona di disponibilità con sottoreti pubbliche. Questo è il comportamento che segue di default. Ciò garantisce un'elevata disponibilità delle protezioni di filtraggio del traffico.

  • Implementa una singola sottorete del firewall in un'unica zona di disponibilità. Con questa scelta, Firewall Manager identifica una zona del VPC con il maggior numero di sottoreti pubbliche e vi crea la sottorete firewall. L'endpoint firewall singolo filtra tutto il traffico di rete per il VPC. Ciò può ridurre i costi del firewall, ma non è altamente disponibile e richiede che il traffico proveniente da altre zone attraversi i confini delle zone per poter essere filtrato.

Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione personalizzata degli endpoint o il modello di distribuzione centralizzato, Firewall Manager crea le sottoreti nelle zone di disponibilità specificate che rientrano nell'ambito della policy.

È possibile fornire blocchi VPC CIDR a Firewall Manager da utilizzare per le sottoreti del firewall oppure lasciare la scelta degli indirizzi degli endpoint del firewall a Firewall Manager.

  • Se non fornisci blocchi CIDR, Firewall Manager richiede ai tuoi VPC gli indirizzi IP disponibili da utilizzare.

  • Se fornisci un elenco di blocchi CIDR, Firewall Manager cerca nuove sottoreti solo nei blocchi CIDR che fornisci. È necessario utilizzare blocchi CIDR /28. Per ogni sottorete firewall creata da Firewall Manager, analizza l'elenco di blocchi CIDR e utilizza la prima che ritiene applicabile alla zona di disponibilità e al VPC e che presenta indirizzi disponibili. Se Firewall Manager non è in grado di trovare spazio aperto nel VPC (con o senza la restrizione), il servizio non creerà un firewall nel VPC.

Se Firewall Manager non è in grado di creare una sottorete firewall richiesta in una zona di disponibilità, contrassegna la sottorete come non conforme alla policy. Mentre la zona si trova in questo stato, il traffico destinato alla zona deve attraversare i confini della zona per essere filtrato da un endpoint in un'altra zona. Questo è simile allo scenario di sottorete a firewall singolo.

Come Firewall Manager gestisce le risorse del Network Firewall

Quando si definisce la politica in Firewall Manager, si fornisce il comportamento di filtraggio del traffico di rete di una politica AWS Network Firewall firewall standard. Si aggiungono gruppi di regole di Network Firewall stateless e stateful e si specificano azioni predefinite per i pacchetti che non soddisfano alcuna regola stateless. Per informazioni sull'utilizzo delle politiche del firewall in AWS Network Firewall, consulta le politiche del firewall.AWS Network Firewall

Per le policy distribuite e centralizzate, quando si salva la policy Network Firewall, Firewall Manager crea una policy firewall e firewall in ogni VPC che rientra nell'ambito della policy. Firewall Manager assegna un nome a queste risorse Network Firewall concatenando i seguenti valori:

  • Una stringa fissa, FMManagedNetworkFirewall oppureFMManagedNetworkFirewallPolicy, a seconda del tipo di risorsa.

  • Nome della policy di Firewall Manager. Questo è il nome che si assegna quando si crea la policy.

  • ID della politica di Firewall Manager. Questo è l'ID della AWS risorsa per la policy Firewall Manager.

  • ID Amazon VPC. Questo è l'ID di AWS risorsa per il VPC in cui Firewall Manager crea il firewall e la policy del firewall.

Di seguito viene illustrato un esempio di nome per un firewall gestito da Firewall Manager:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Di seguito viene illustrato un esempio di nome della politica del firewall:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Dopo aver creato la policy, gli account dei membri nei VPC non possono sovrascrivere le impostazioni delle policy firewall o i gruppi di regole, ma possono aggiungere gruppi di regole alla policy firewall creata da Firewall Manager.

In che modo Firewall Manager gestisce e monitora le tabelle di routing VPC per la tua policy

Nota

La gestione delle tabelle di routing non è attualmente supportata per le policy che utilizzano il modello di distribuzione centralizzato.

Quando Firewall Manager crea gli endpoint firewall, crea anche le relative tabelle di routing VPC. Tuttavia, Firewall Manager non gestisce le tabelle di routing VPC. È necessario configurare le tabelle di routing VPC per indirizzare il traffico di rete verso gli endpoint firewall creati da Firewall Manager. Utilizzando i miglioramenti del routing di ingresso di Amazon VPC, modifica le tabelle di routing per instradare il traffico attraverso i nuovi endpoint del firewall. Le modifiche devono inserire gli endpoint del firewall tra le sottoreti che desideri proteggere e le ubicazioni esterne. L'esatto routing da eseguire dipende dall'architettura e dai suoi componenti.

Attualmente, Firewall Manager consente il monitoraggio dei percorsi della tabella di routing VPC per qualsiasi traffico destinato al gateway Internet, ovvero aggirando il firewall. Firewall Manager non supporta altri gateway di destinazione come i gateway NAT.

Per informazioni sulla gestione delle tabelle di routing per il tuo VPC, consulta Managing route tables for your VPC nella Amazon Virtual Private Cloud User Guide. Per informazioni sulla gestione delle tabelle di routing per Network Firewall, consulta la sezione Configurazioni delle tabelle di routing AWS Network Firewall nella AWS Network Firewall Developer Guide.

Quando abiliti il monitoraggio di una policy, Firewall Manager monitora continuamente le configurazioni degli instradamenti VPC e ti avvisa del traffico che aggira l'ispezione del firewall per quel VPC. Se una sottorete ha una route degli endpoint firewall, Firewall Manager cerca le seguenti route:

  • Percorsi per inviare traffico all'endpoint Network Firewall.

  • Percorsi per inoltrare il traffico dall'endpoint Network Firewall al gateway Internet.

  • Percorsi in entrata dal gateway Internet all'endpoint Network Firewall.

  • Percorsi dalla sottorete del firewall.

Se una sottorete ha una route Network Firewall ma il routing è asimmetrico in Network Firewall e nella tabella di routing del gateway Internet, Firewall Manager segnala la sottorete come non conforme. Firewall Manager rileva anche le route verso il gateway Internet nella tabella di routing del firewall creata da Firewall Manager, nonché nella tabella di routing per la sottorete, e le segnala come non conformi. Anche le route aggiuntive nella tabella di routing della sottorete Network Firewall e nella tabella di routing del gateway Internet vengono segnalate come non conformi. A seconda del tipo di violazione, Firewall Manager suggerisce azioni correttive per rendere conforme la configurazione del percorso. Firewall Manager non offre suggerimenti in tutti i casi. Ad esempio, se la sottorete del cliente ha un endpoint firewall creato all'esterno di Firewall Manager, Firewall Manager non suggerisce azioni correttive.

Per impostazione predefinita, Firewall Manager contrassegna come non conforme tutto il traffico che attraversa il confine della zona di disponibilità per l'ispezione. Tuttavia, se scegli di creare automaticamente un singolo endpoint nel tuo VPC, Firewall Manager non contrassegnerà il traffico che attraversa il confine della zona di disponibilità come non conforme.

Per le policy che utilizzano modelli di distribuzione distribuiti con configurazione personalizzata degli endpoint, è possibile scegliere se il traffico che attraversa il confine della zona di disponibilità da una zona di disponibilità senza un endpoint firewall sia contrassegnato come conforme o non conforme.

Nota

  • Firewall Manager non suggerisce azioni correttive per route non IPv4, come IPv6 e route con elenco di prefissi.

  • Il rilevamento delle chiamate effettuate utilizzando la chiamata DisassociateRouteTable API può richiedere fino a 12 ore.

  • Firewall Manager crea una tabella di routing del Network Firewall per una sottorete che contiene gli endpoint del firewall. Firewall Manager presuppone che questa tabella di routing contenga solo gateway Internet validi e route predefinite VPC. Tutte le route aggiuntive o non valide in questa tabella di routing sono considerate non conformi.

Quando si configura la politica di Firewall Manager, se si sceglie la modalità Monitor, Firewall Manager fornisce dettagli sulla violazione delle risorse e sulla correzione delle risorse. È possibile utilizzare queste azioni correttive suggerite per risolvere i problemi di routing nelle tabelle di routing. Se scegli la modalità Off, Firewall Manager non monitora per te il contenuto della tabella di routing. Con questa opzione, gestisci da solo le tabelle di routing in VPC. Per ulteriori informazioni su queste violazioni delle risorse, consultaVisualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica.

avvertimento

Se scegli Monitor nella configurazione del AWS Network Firewall percorso durante la creazione della tua policy, non puoi disattivarla per quella policy. Tuttavia, se scegli Off, puoi abilitarla in un secondo momento.

Configurazione della registrazione per una politica AWS Network Firewall

È possibile abilitare la registrazione centralizzata per le politiche del Network Firewall per ottenere informazioni dettagliate sul traffico all'interno dell'organizzazione. È possibile selezionare la registrazione del flusso per acquisire il flusso di traffico di rete o la registrazione degli avvisi per segnalare il traffico che corrisponde a una regola con l'azione impostata su o. DROP ALERT Per ulteriori informazioni sulla AWS Network Firewall registrazione, consulta la sezione Registrazione del traffico di rete dalla AWS Network Firewall Guida per gli sviluppatori.AWS Network Firewall

Invii i log dai firewall Network Firewall della tua politica a un bucket Amazon S3. Dopo aver abilitato la registrazione, AWS Network Firewall fornisce i log per ogni Network Firewall configurato aggiornando le impostazioni del firewall per inviare i log ai bucket Amazon S3 selezionati con il prefisso riservato,. AWS Firewall Manager <policy-name>-<policy-id>

Nota

Questo prefisso viene utilizzato da Firewall Manager per determinare se una configurazione di registrazione è stata aggiunta da Firewall Manager o se è stata aggiunta dal proprietario dell'account. Se il proprietario dell'account tenta di utilizzare il prefisso riservato per la propria registrazione personalizzata, questo viene sovrascritto dalla configurazione di registrazione nella politica di Firewall Manager.

Per ulteriori informazioni su come creare un bucket Amazon S3 e rivedere i log archiviati, consulta Cos'è Amazon S3? nella Guida per l'utente di Amazon Simple Storage Service.

Per abilitare la registrazione devi soddisfare i seguenti requisiti:

  • L'Amazon S3 specificato nella policy di Firewall Manager deve esistere.

  • Bisogna possedere le seguenti autorizzazioni:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Se il bucket Amazon S3 che è la tua destinazione di registrazione utilizza la crittografia lato server con chiavi archiviate in AWS Key Management Service, devi aggiungere la seguente policy alla tua chiave AWS KMS gestita dal cliente per consentire a Firewall Manager di accedere al tuo gruppo di log Logs: CloudWatch 

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Tieni presente che solo i bucket nell'account amministratore di Firewall Manager possono essere utilizzati per la registrazione AWS Network Firewall centralizzata.

Quando si abilita la registrazione centralizzata su una politica Network Firewall, Firewall Manager esegue le seguenti azioni sull'account:

  • Firewall Manager aggiorna le autorizzazioni su bucket S3 selezionati per consentire la consegna dei log.

  • Firewall Manager crea directory nel bucket S3 per ogni account membro nell'ambito della policy. I log di ogni account sono disponibili all'indirizzo. <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>

Per abilitare la registrazione per una politica Network Firewall

  1. Crea un bucket Amazon S3 utilizzando il tuo account amministratore di Firewall Manager. Per ulteriori informazioni, consulta Creare un bucket nella Guida per l'utente di Amazon Simple Storage Service.

  2. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  3. Nel riquadro di navigazione, scegli Politiche di sicurezza.

  4. Scegli la politica Network Firewall per la quale desideri abilitare la registrazione. Per ulteriori informazioni sulla AWS Network Firewall registrazione, consulta la sezione Registrazione del traffico di rete dalla Guida per AWS Network Firewall gli AWS Network Firewall sviluppatori.

  5. Nella scheda Dettagli della politica, nella sezione Regole della politica, scegli Modifica.

  6. Per abilitare e aggregare i log, scegli una o più opzioni in Configurazione della registrazione:

    • Abilita e aggrega i log di flusso

    • Abilita e aggrega i registri degli avvisi

  7. Scegli il bucket Amazon S3 in cui desideri che vengano consegnati i log. Devi scegliere un bucket per ogni tipo di log che abiliti. Puoi usare lo stesso bucket per entrambi i tipi di log.

  8. (Facoltativo) Se desideri che la registrazione personalizzata creata dall'account membro venga sostituita con la configurazione di registrazione della politica, scegli Sostituisci la configurazione di registrazione esistente.

  9. Seleziona Successivo.

  10. Controlla le impostazioni, quindi scegli Salva per salvare le modifiche alla politica.

Per disabilitare la registrazione per una politica Network Firewall

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegli Politiche di sicurezza.

  3. Scegli la politica Network Firewall per la quale desideri disabilitare la registrazione.

  4. Nella scheda Dettagli della politica, nella sezione Regole della politica, scegli Modifica.

  5. In Registrazione dello stato di configurazione, deseleziona Abilita e aggrega i log di flusso e Abilita e aggrega i log degli avvisi, se selezionati.

  6. Seleziona Successivo.

  7. Controlla le impostazioni, quindi scegli Salva per salvare le modifiche alla politica.