Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager

Questa pagina spiega come funzionano le politiche comuni dei gruppi di sicurezza di Firewall Manager.

Con una politica comune per i gruppi di sicurezza, Firewall Manager fornisce un'associazione controllata centralmente dei gruppi di sicurezza agli account e alle risorse dell'organizzazione. Specificare dove e come applicare le policy nell'organizzazione.

È possibile applicare politiche comuni per i gruppi di sicurezza ai seguenti tipi di risorse:

  • Istanza Amazon Elastic Compute Cloud (AmazonEC2)

  • Interfaccia di rete elastica

  • Application Load Balancer

  • Classic Load Balancer

Per indicazioni sulla creazione di una politica comune per i gruppi di sicurezza tramite la console, consultaCreazione di una policy di gruppo di sicurezza comune.

Condiviso VPCs

Nelle impostazioni dell'ambito dei criteri per una politica di gruppo di sicurezza comune, è possibile scegliere di includere la politica condivisaVPCs. Questa scelta include VPCs quelli di proprietà di un altro account e condivisi con un account pertinente. VPCsgli account che rientrano nell'ambito di applicazione sono sempre inclusi. Per informazioni sulla condivisioneVPCs, consulta Working with shared VPCs nella Amazon VPC User Guide.

Le seguenti avvertenze si applicano all'inclusione della condivisione. VPCs Queste si aggiungono alle avvertenze generali relative alle politiche dei gruppi di sicurezza riportate all'indirizzo. Avvertenze e limitazioni relative alle politiche dei gruppi di sicurezza

  • Firewall Manager replica il gruppo di sicurezza primario VPCs in ogni account interessato. In caso di condivisioneVPC, Firewall Manager replica il gruppo di sicurezza primario una volta per ogni account nell'ambito con cui VPC è condiviso. Ciò può comportare la creazione di più repliche in un'unica unità condivisa. VPC

  • Quando crei una nuova condivisioneVPC, non la vedrai rappresentata nei dettagli della policy del gruppo di sicurezza Firewall Manager fino a quando non avrai creato almeno una risorsa VPC che rientra nell'ambito della policy.

  • Quando si disabilita la condivisione VPCs in una politica che aveva VPCs abilitato la condivisione, nella politica VPCs condivisa Firewall Manager elimina i gruppi di sicurezza delle repliche che non sono associati ad alcuna risorsa. Firewall Manager lascia attivi i restanti gruppi di sicurezza delle repliche, ma smette di gestirli. La rimozione di questi gruppi di sicurezza rimanenti richiede la gestione manuale in ogni VPC istanza condivisa.

Gruppi di sicurezza primari

Per ogni politica di gruppo di sicurezza comune, fornisci AWS Firewall Manager uno o più gruppi di sicurezza primari:

  • I gruppi di sicurezza primari devono essere creati dall'account amministratore di Firewall Manager e possono risiedere in qualsiasi VPC istanza Amazon dell'account.

  • Gestisci i tuoi gruppi di sicurezza principali tramite Amazon Virtual Private Cloud (AmazonVPC) o Amazon Elastic Compute Cloud (AmazonEC2). Per informazioni, consulta Working with Security Groups nella Amazon VPC User Guide.

  • È possibile nominare uno o più gruppi di sicurezza come primari per una politica di gruppo di sicurezza di Firewall Manager. Per impostazione predefinita, il numero di gruppi di sicurezza consentiti in una policy è uno, ma è possibile inviare una richiesta per aumentarlo. Per informazioni, consultare AWS Firewall Manager quote.

Impostazioni delle regole dei criteri

È possibile scegliere uno o più dei seguenti comportamenti di controllo delle modifiche per i gruppi di sicurezza e le risorse della politica comune dei gruppi di sicurezza:

  • Identifica e segnala eventuali modifiche apportate dagli utenti locali alla replica dei gruppi di sicurezza.

  • Dissocia gli altri gruppi di sicurezza dalle AWS risorse che rientrano nell'ambito della policy.

  • Distribuisci i tag dal gruppo primario ai gruppi di sicurezza di replica.

    Importante

    Firewall Manager non distribuirà i tag di sistema aggiunti dai AWS servizi nei gruppi di sicurezza delle repliche. I tag di sistema iniziano con il prefisso aws:. Inoltre, Firewall Manager non aggiornerà i tag dei gruppi di sicurezza esistenti né creerà nuovi gruppi di sicurezza se la policy contiene tag che sono in conflitto con la politica dei tag dell'organizzazione. Per informazioni sulle politiche relative ai tag, consulta le politiche relative ai tag nella Guida AWS Organizations per l'utente.

  • Distribuisci i riferimenti ai gruppi di sicurezza dal gruppo primario ai gruppi di sicurezza di replica.

    Ciò consente di stabilire facilmente regole comuni di riferimento ai gruppi di sicurezza tra tutte le risorse pertinenti alle istanze associate ai gruppi di sicurezza specificati. VPC Quando abiliti questa opzione, Firewall Manager propaga i riferimenti ai gruppi di sicurezza solo se i gruppi di sicurezza fanno riferimento a gruppi di sicurezza peer in Amazon Virtual Private Cloud. Se i gruppi di sicurezza di replica non fanno correttamente riferimento al gruppo di sicurezza peer, Firewall Manager contrassegna questi gruppi di sicurezza replicati come non conformi. Per informazioni su come fare riferimento ai gruppi di sicurezza peer in AmazonVPC, consulta Aggiorna i tuoi gruppi di sicurezza per fare riferimento ai gruppi di sicurezza peer nella Amazon VPC Peering Guide.

    Se non si abilita questa opzione, Firewall Manager non propaga i riferimenti ai gruppi di sicurezza di replica ai gruppi di sicurezza di replica. Per informazioni sul VPC peering in AmazonVPC, consulta la Amazon VPC Peering Guide.

Creazione e gestione delle politiche

Quando crei una policy comune per i gruppi di sicurezza, Firewall Manager replica i gruppi di sicurezza primari su ogni VPC istanza Amazon che rientra nell'ambito della policy e associa i gruppi di sicurezza replicati agli account e alle risorse che rientrano nell'ambito della policy. Quando si modifica un gruppo di sicurezza primario, Firewall Manager propaga la modifica alle repliche.

Quando si elimina un criterio di gruppo di protezione comune, è possibile scegliere se pulire le risorse create dal criterio. Per i gruppi di sicurezza comuni di Firewall Manager, queste risorse sono i gruppi di sicurezza delle repliche. Scegliere l'opzione di pulitura a meno che non si desideri gestire manualmente ogni singola replica dopo l'eliminazione del criterio. Per la maggior parte delle situazioni, scegliere l'opzione di pulizia è l'approccio più semplice.

Come vengono gestite le repliche

I gruppi di sicurezza di replica nelle VPC istanze Amazon sono gestiti come gli altri gruppi di VPC sicurezza Amazon. Per informazioni, consulta Security Groups for Your VPC nella Amazon VPC User Guide.