Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager

Questa pagina spiega come funzionano le policy dei gruppi di sicurezza per il controllo dell'utilizzo di Firewall Manager.

Utilizza le policy dei gruppi di sicurezza di controllo dell' AWS Firewall Manager utilizzo per monitorare l'organizzazione alla ricerca di gruppi di sicurezza inutilizzati e ridondanti e, facoltativamente, eseguire la pulizia. Quando si abilita la riparazione automatica per questa politica, Firewall Manager esegue le seguenti operazioni:

  1. Consolida i gruppi di sicurezza ridondanti, se è stata scelta questa opzione.

  2. Rimuove i gruppi di sicurezza inutilizzati, se è stata scelta questa opzione.

È possibile applicare le policy dei gruppi di sicurezza per il controllo dell'utilizzo ai seguenti tipi di risorse:

  • Gruppo VPC di sicurezza Amazon

Per indicazioni sulla creazione di una policy di gruppo di sicurezza per il controllo dell'utilizzo utilizzando la console, consultaCreazione di una policy di gruppo di sicurezza di controllo dell'utilizzo.

In che modo Firewall Manager rileva e corregge i gruppi di sicurezza ridondanti

Affinché i gruppi di sicurezza siano considerati ridondanti, devono avere esattamente le stesse regole impostate e trovarsi nella stessa istanza AmazonVPC.

Per correggere un set di gruppi di sicurezza ridondanti, Firewall Manager seleziona uno dei gruppi di sicurezza del set da conservare, quindi lo associa a tutte le risorse associate agli altri gruppi di sicurezza del set. Firewall Manager dissocia quindi gli altri gruppi di sicurezza dalle risorse a cui erano associati, rendendoli inutilizzati.

Nota

Se hai scelto di rimuovere anche i gruppi di sicurezza non utilizzati, Firewall Manager esegue questa operazione. Ciò può comportare la rimozione dei gruppi di sicurezza presenti nel set ridondante.

In che modo Firewall Manager rileva e corregge i gruppi di sicurezza inutilizzati

Firewall Manager considera un gruppo di sicurezza inutilizzato se entrambe le seguenti condizioni sono vere:

  • Il gruppo di sicurezza non viene utilizzato da alcuna EC2 istanza Amazon o Amazon EC2 elastic network interface.

  • Firewall Manager non ha ricevuto un elemento di configurazione relativo entro il numero di minuti specificato nel periodo di tempo della regola dei criteri.

Il periodo di tempo della regola di policy ha un'impostazione predefinita di zero minuti, ma è possibile aumentare il tempo fino a 365 giorni (525.600 minuti), per avere il tempo di associare nuovi gruppi di sicurezza alle risorse.

Importante

Se si specifica un numero di minuti diverso dal valore predefinito zero, è necessario abilitare le relazioni indirette in. AWS Config In caso contrario, le politiche del gruppo di sicurezza per il controllo dell'utilizzo non funzioneranno come previsto. Per informazioni sulle relazioni indirette in AWS Config, vedere Relazioni indirette AWS Config nella Guida per gli AWS Config sviluppatori.

Firewall Manager corregge i gruppi di sicurezza inutilizzati eliminandoli dall'account in base alle impostazioni delle regole, se possibile. Se Firewall Manager non è in grado di eliminare un gruppo di sicurezza, lo contrassegna come non conforme alla policy. Firewall Manager non può eliminare un gruppo di sicurezza a cui fa riferimento un altro gruppo di sicurezza.

La tempistica della riparazione varia a seconda che si utilizzi l'impostazione del periodo di tempo predefinita o un'impostazione personalizzata:

  • Periodo di tempo impostato su zero, l'impostazione predefinita: con questa impostazione, un gruppo di sicurezza viene considerato inutilizzato non appena non viene utilizzato da un'EC2istanza Amazon o da un'interfaccia di rete elastica.

    Per questa impostazione del periodo di tempo zero, Firewall Manager corregge immediatamente il gruppo di sicurezza.

  • Periodo di tempo maggiore di zero: con questa impostazione, un gruppo di sicurezza viene considerato inutilizzato quando non viene utilizzato da un'EC2istanza Amazon o da un'interfaccia di rete elastica e Firewall Manager non ha ricevuto un elemento di configurazione per esso entro il numero di minuti specificato.

    Per l'impostazione del periodo di tempo diverso da zero, Firewall Manager corregge il gruppo di sicurezza dopo che è rimasto nello stato inutilizzato per 24 ore.

Specificazioni account predefinite

Quando si crea una policy di gruppo di sicurezza per il controllo dell'utilizzo tramite la console, Firewall Manager sceglie automaticamente Escludi gli account specificati e includi tutti gli altri. Il servizio inserisce quindi l'account amministratore di Firewall Manager nell'elenco da escludere. Questo è l'approccio consigliato e consente di gestire manualmente i gruppi di sicurezza che appartengono all'account amministratore di Firewall Manager.