Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager

Questa pagina spiega come funzionano le policy dei gruppi di sicurezza per il controllo dei contenuti di Firewall Manager.

Utilizza le policy dei gruppi di sicurezza di AWS Firewall Manager Content Audit per controllare e applicare le relative azioni alle regole in uso nei gruppi di sicurezza dell'organizzazione. Le politiche dei gruppi di sicurezza per il controllo dei contenuti si applicano a tutti i gruppi di sicurezza creati dai clienti e utilizzati nell' AWS organizzazione, in base all'ambito definito nella politica.

Per indicazioni sulla creazione di una policy di gruppo di sicurezza per il controllo dei contenuti tramite la console, consulta. Creazione di una policy di gruppo di sicurezza di controllo del contenuto

Tipo di risorsa ambito criteri

È possibile applicare le policy di gruppo di Content Audit Security ai seguenti tipi di risorse:

  • Istanza Amazon Elastic Compute Cloud (AmazonEC2)

  • Interfaccia di rete elastica

  • Gruppo VPC di sicurezza Amazon

I gruppi di protezione vengono considerati nell'ambito del criterio se sono esplicitamente nell'ambito o se sono associati a risorse nell'ambito.

Opzioni relative alle regole politiche

È possibile utilizzare regole di policy gestite o regole di policy personalizzate per ogni policy di controllo dei contenuti, ma non entrambe.

  • Regole di policy gestite: in una policy con regole gestite, è possibile utilizzare elenchi di applicazioni e protocolli per controllare le regole che Firewall Manager controlla e contrassegna come conformi o non conformi. È possibile utilizzare elenchi gestiti da Firewall Manager. È inoltre possibile creare e utilizzare elenchi di applicazioni e protocolli personalizzati. Per informazioni su questi tipi di elenchi e sulle opzioni di gestione degli elenchi personalizzati, vedereUtilizzo degli elenchi gestiti di Firewall Manager.

  • Regole di policy personalizzate: in una policy con regole di policy personalizzate, si specifica un gruppo di sicurezza esistente come gruppo di sicurezza di controllo per la policy. È possibile utilizzare le regole del gruppo di sicurezza di controllo come modello che definisce le regole che Firewall Manager controlla e contrassegna come conformi o non conformi.

Controlla i gruppi di sicurezza

È necessario creare gruppi di sicurezza di controllo utilizzando l'account amministratore di Firewall Manager, prima di poterli utilizzare nella politica. Puoi gestire i gruppi di sicurezza tramite Amazon Virtual Private Cloud (AmazonVPC) o Amazon Elastic Compute Cloud (AmazonEC2). Per informazioni, consulta Working with Security Groups nella Amazon VPC User Guide.

Un gruppo di sicurezza utilizzato per una politica di gruppo di sicurezza di controllo dei contenuti viene utilizzato da Firewall Manager solo come riferimento di confronto per i gruppi di sicurezza che rientrano nell'ambito della politica. Firewall Manager non lo associa ad alcuna risorsa dell'organizzazione.

Il modo in cui si definiscono le regole nel gruppo di sicurezza di controllo dipende dalle scelte effettuate nelle impostazioni delle regole dei criteri:

  • Regole dei criteri gestiti: per le impostazioni delle regole dei criteri gestiti, si utilizza un gruppo di sicurezza di controllo per sovrascrivere le altre impostazioni della politica, per consentire o negare esplicitamente regole che altrimenti potrebbero avere un altro risultato di conformità.

    • Se si sceglie di consentire sempre le regole definite nel gruppo di sicurezza di controllo, qualsiasi regola che corrisponde a quella definita nel gruppo di sicurezza di controllo viene considerata conforme alla politica, indipendentemente dalle altre impostazioni della politica.

    • Se si sceglie di negare sempre le regole definite nel gruppo di sicurezza di controllo, qualsiasi regola che corrisponde a quella definita nel gruppo di sicurezza di controllo viene considerata non conforme alla politica, indipendentemente dalle altre impostazioni della politica.

  • Regole dei criteri personalizzate: per le impostazioni delle regole dei criteri personalizzate, il gruppo di sicurezza di controllo fornisce l'esempio di ciò che è accettabile o non accettabile nelle regole del gruppo di sicurezza pertinenti:

    • Se si sceglie di consentire l'uso delle regole, tutti i gruppi di sicurezza che rientrano nell'ambito di applicazione devono disporre solo di regole che rientrano nell'intervallo consentito delle regole del gruppo di sicurezza di controllo della policy. In questo caso, le regole del gruppo di sicurezza della policy forniscono l'esempio di cosa è accettabile fare.

    • Se si sceglie di negare l'uso delle regole, tutti i gruppi di sicurezza interessati devono disporre solo di regole che non rientrano nell'intervallo consentito delle regole del gruppo di sicurezza di controllo della policy. In questo caso, il gruppo di sicurezza della policy fornisce l'esempio di cosa non è accettabile fare.

Creazione e gestione delle politiche

Quando si crea un criterio di gruppo di sicurezza di controllo, è necessario disattivare la correzione automatica. La prassi consigliata consiste nell'esaminare gli effetti della creazione dei criteri prima di abilitare la correzione automatica. Dopo aver esaminato gli effetti previsti, è possibile modificare il criterio e abilitare la correzione automatica. Quando la riparazione automatica è abilitata, Firewall Manager aggiorna o rimuove le regole non conformi nei gruppi di sicurezza pertinenti.

Gruppi di protezione interessati da un criterio di gruppo di sicurezza di controllo

Tutti i gruppi di sicurezza dell'organizzazione creati dal cliente sono idonei all'ambito di un criterio di gruppo di sicurezza di controllo.

I gruppi di protezione della replica non vengono creati dal cliente e pertanto non sono idonei a rientrare direttamente nell'ambito di un criterio di gruppo di sicurezza di controllo. Tuttavia, possono essere aggiornati a seguito delle attività di correzione automatica dei criteri. Il gruppo di protezione principale di un criterio di gruppo di protezione comune è creato dal cliente e può rientrare nell'ambito di un criterio di gruppo di sicurezza di controllo. Se una politica di controllo del gruppo di sicurezza apporta modifiche a un gruppo di sicurezza primario, Firewall Manager propaga automaticamente tali modifiche alle repliche.