Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi VPC di sicurezza Amazon - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Procedure ottimali per le politiche dei gruppi di sicurezzaAvvertenze e limitazioni relative alle politiche dei gruppi di sicurezzaCasi d'uso delle policy di gruppo di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi VPC di sicurezza Amazon

Questa pagina spiega come utilizzare le policy dei gruppi di AWS Firewall Manager sicurezza per gestire i gruppi di sicurezza Amazon Virtual Private Cloud per la tua organizzazione in AWS Organizations. È possibile applicare criteri di gruppo di protezione controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato di account e risorse. È inoltre possibile monitorare e gestire i criteri dei gruppi di protezione in uso nell'organizzazione, con criteri di gruppo di protezione di controllo e utilizzo.

Firewall Manager mantiene continuamente le policy e le applica agli account e alle risorse man mano che vengono aggiunte o aggiornate all'interno dell'organizzazione. Per informazioni in merito AWS Organizations, consulta la Guida AWS Organizations per l'utente.

Per informazioni sui gruppi di sicurezza di Amazon Virtual Private Cloud, consulta Security Groups for Your VPC nella Amazon VPC User Guide.

È possibile utilizzare le politiche dei gruppi di sicurezza di Firewall Manager per eseguire le seguenti operazioni all'interno AWS dell'organizzazione:

  • Applica gruppi di sicurezza comuni agli account e alle risorse specificati.

  • Controlla le regole dei gruppi di sicurezza per individuare e correggere le regole non conformi.

  • Controlla l'utilizzo dei gruppi di sicurezza per ripulire i gruppi di sicurezza inutilizzati e ridondanti.

Questa sezione illustra come funzionano le policy dei gruppi di sicurezza di Firewall Manager e fornisce indicazioni per il loro utilizzo. Per le procedure per creare le politiche dei gruppi di sicurezza, vedereCreazione di una AWS Firewall Manager politica.

Procedure consigliate per policy di gruppo di sicurezza

In questa sezione sono elencati i suggerimenti per la gestione dei gruppi di sicurezza mediante AWS Firewall Manager:

Escludere l'account amministratore di Firewall Manager

Quando si imposta l'ambito della politica, si esclude l'account amministratore di Firewall Manager. Quando si crea un criterio di gruppo di protezione controllo dell'utilizzo tramite la console, questa è l'opzione predefinita.

Avvio con la correzione automatica disabilitata

Per i criteri del gruppo di protezione del controllo del contenuto o dell'utilizzo, iniziare con la correzione automatica disabilitata. Esaminare le informazioni dettagliate sui criteri per determinare gli effetti che la correzione automatica avrebbe avuto. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio per abilitare la correzione automatica.

Evitare conflitti se si utilizzano anche origini esterne per gestire i gruppi di sicurezza

Se si utilizza uno strumento o un servizio diverso da Firewall Manager per gestire i gruppi di sicurezza, fare attenzione a evitare conflitti tra le impostazioni in Firewall Manager e le impostazioni nella fonte esterna. Se si utilizzano la correzione automatica e il conflitto di impostazioni, è possibile creare un ciclo di correzione in conflitto che consuma risorse su entrambi i lati.

Ad esempio, supponiamo di configurare un altro servizio per gestire un gruppo di sicurezza per un set di AWS risorse e di configurare una politica di Firewall Manager per mantenere un gruppo di sicurezza diverso per alcune o tutte le stesse risorse. Se si configura uno dei due lati per non consentire l'associazione di altri gruppi di sicurezza alle risorse nell'ambito, tale lato rimuoverà l'associazione dei gruppi di sicurezza mantenuta dall'altro lato. Se entrambi i lati sono configurati in questo modo, si può finire con un ciclo di disassociazioni e associazioni in conflitto.

Inoltre, supponiamo di creare una politica di controllo di Firewall Manager per applicare una configurazione del gruppo di sicurezza che sia in conflitto con la configurazione del gruppo di sicurezza dell'altro servizio. La correzione applicata dalla politica di controllo di Firewall Manager può aggiornare o eliminare quel gruppo di sicurezza, rendendolo non conforme per l'altro servizio. Se l'altro servizio è configurato per monitorare e risolvere automaticamente eventuali problemi rilevati, ricreerà o aggiornerà il gruppo di sicurezza, rendendolo nuovamente non conforme alla politica di controllo di Firewall Manager. Se la politica di controllo di Firewall Manager è configurata con la riparazione automatica, aggiornerà o eliminerà nuovamente il gruppo di sicurezza esterno e così via.

Per evitare conflitti come questi, create configurazioni che si escludano a vicenda, tra Firewall Manager e qualsiasi fonte esterna.

È possibile utilizzare i tag per escludere i gruppi di sicurezza esterni dalla riparazione automatica mediante le politiche di Firewall Manager. A tale scopo, aggiungere uno o più tag ai gruppi di sicurezza o ad altre risorse gestite dall'origine esterna. Quindi, quando definisci l'ambito della policy di Firewall Manager, nelle specifiche delle risorse, escludi le risorse che hanno il tag o i tag che hai aggiunto.

Analogamente, nello strumento o servizio esterno, escludi i gruppi di sicurezza gestiti da Firewall Manager da qualsiasi attività di gestione o controllo. Non importate le risorse di Firewall Manager o utilizzate i tag specifici di Firewall Manager per escluderle dalla gestione esterna.

Procedure ottimali per l'utilizzo, il controllo delle politiche di sicurezza dei gruppi

Segui queste linee guida quando utilizzi le politiche dei gruppi di sicurezza per il controllo dell'utilizzo.

  • Evita di apportare più modifiche allo stato di associazione di un gruppo di sicurezza in un breve lasso di tempo, ad esempio entro una finestra di 15 minuti. In questo modo, Firewall Manager potrebbe perdere alcuni o tutti gli eventi corrispondenti. Ad esempio, non associare e dissociare rapidamente un gruppo di sicurezza da un'interfaccia di rete elastica.

Avvertenze e limitazioni relative alla politica dei gruppi di sicurezza

Questa sezione elenca le avvertenze e le limitazioni per l'utilizzo delle politiche dei gruppi di sicurezza di Firewall Manager.

Tipo di risorsa: EC2 istanza Amazon

Questa sezione elenca gli avvertimenti e le limitazioni per proteggere le EC2 istanze Amazon con le policy dei gruppi di sicurezza Firewall Manager.

  • Con i gruppi di sicurezza che proteggono le interfacce di rete EC2 elastiche di Amazon (ENIs), le modifiche a un gruppo di sicurezza non sono immediatamente visibili a Firewall Manager. Firewall Manager di solito rileva le modifiche entro diverse ore, ma il rilevamento può essere ritardato fino a sei ore.

  • Firewall Manager non supporta i gruppi di sicurezza per Amazon EC2 ENIs creati da Amazon Relational Database Service.

  • Firewall Manager non supporta l'aggiornamento dei gruppi di sicurezza per Amazon EC2 ENIs creati utilizzando il tipo di servizio Fargate. Tuttavia, puoi aggiornare i gruppi di sicurezza per Amazon ECS ENIs con il tipo di EC2 servizio Amazon.

  • Firewall Manager non supporta l'aggiornamento dei gruppi di sicurezza per Amazon gestiti dai richiedenti EC2ENIs, poiché Firewall Manager non è autorizzato a modificarli.

  • Per quanto riguarda le politiche comuni dei gruppi di sicurezza, queste avvertenze riguardano l'interazione tra il numero di interfacce di rete elastiche (ENIs) collegate all'EC2istanza e l'opzione di policy che specifica se correggere solo le istanze senza allegati aggiunti o correggere tutte EC2 le istanze. Ogni EC2 istanza ha un primario predefinito ed è possibile allegarne altri. ENI ENIs InAPI, l'impostazione dell'opzione politica per questa scelta èApplyToAllEC2InstanceENIs.

    Se un'EC2istanza ENIs pertinente all'ambito dispone di collegamenti aggiuntivi e la policy è configurata per includere solo EC2 le istanze con il primarioENI, Firewall Manager non tenterà alcuna correzione per l'istanza. EC2 Inoltre, se l'istanza non rientra nell'ambito delle policy, Firewall Manager non tenta di dissociare le associazioni dei gruppi di sicurezza che potrebbe aver stabilito per l'istanza.

    Nei seguenti casi limite, durante la pulizia delle risorse, Firewall Manager può lasciare intatte le associazioni dei gruppi di sicurezza replicati, indipendentemente dalle specifiche di pulizia delle risorse della policy:

    • Quando in precedenza si ENIs poneva rimedio a un'istanza con elementi aggiuntivi mediante una policy configurata per includere tutte le EC2 istanze, l'istanza usciva dall'ambito dei criteri o l'impostazione della politica veniva modificata per includere solo le istanze senza elementi aggiuntivi. ENIs

    • Quando un'istanza senza elementi aggiuntivi ENIs veniva risolta mediante una policy configurata per includere solo le istanze senza elementi aggiuntiviENIs, ne ENI veniva allegata un'altra e quindi l'istanza usciva dall'ambito della policy.

Altre avvertenze e limitazioni

Di seguito sono riportate varie avvertenze e limitazioni per le politiche dei gruppi di sicurezza di Firewall Manager.

  • L'aggiornamento di Amazon ECS ENIs è possibile solo per ECS i servizi Amazon che utilizzano il controller di distribuzione Rolling Update (AmazonECS). Per altri controller di ECS distribuzione Amazon come CODE _ DEPLOY o controller esterni, Firewall Manager al momento non è in grado di aggiornare il. ENIs

  • Firewall Manager non supporta l'aggiornamento dei gruppi di sicurezza in ENIs Network Load Balancer.

  • Nelle politiche comuni dei gruppi di sicurezza, se una condivisione VPC viene successivamente annullata con un account, Firewall Manager non eliminerà i gruppi di sicurezza di replica presenti nell'account.

  • Con le policy dei gruppi di sicurezza di usage audit, se si creano più criteri con un'impostazione personalizzata del tempo di ritardo che hanno tutti lo stesso ambito, la prima politica con i risultati di conformità sarà la politica che riporta i risultati.

Casi d'uso delle policy di gruppo di sicurezza

Puoi utilizzare politiche AWS Firewall Manager comuni dei gruppi di sicurezza per automatizzare la configurazione del firewall host per la comunicazione tra VPC istanze Amazon. Questa sezione elenca le VPC architetture standard di Amazon e descrive come proteggerle utilizzando le policy dei gruppi di sicurezza comuni di Firewall Manager. Queste policy dei gruppi di sicurezza possono aiutarti ad applicare un set unificato di regole per selezionare le risorse in diversi account ed evitare configurazioni per account in Amazon Elastic Compute Cloud e Amazon. VPC

Con le policy comuni dei gruppi di sicurezza di Firewall Manager, puoi etichettare solo le interfacce di rete EC2 elastiche necessarie per la comunicazione con le istanze di un altro Amazon. VPC Le altre istanze nello stesso Amazon VPC sono quindi più sicure e isolate.

Caso d'uso: monitoraggio e controllo delle richieste agli Application Load Balancer e ai Classic Load Balancer

È possibile utilizzare una politica di gruppo di sicurezza comune di Firewall Manager per definire le richieste che i sistemi di bilanciamento del carico interessati devono soddisfare. È possibile configurarlo tramite la console Firewall Manager. Solo le richieste conformi alle regole in entrata del gruppo di sicurezza possono raggiungere i sistemi di bilanciamento del carico, che distribuiranno solo le richieste che soddisfano le regole in uscita.

Caso d'uso: Amazon pubblico e accessibile da Internet VPC

Puoi utilizzare una policy di gruppo di sicurezza comune di Firewall Manager per proteggere un Amazon pubblicoVPC, ad esempio per consentire solo la porta in entrata 443. Ciò equivale a consentire solo il HTTPS traffico in entrata per un pubblico. VPC È possibile etichettare le risorse pubbliche all'interno di VPC (ad esempio, come VPC «Pubbliche») e quindi impostare l'ambito della politica di Firewall Manager solo sulle risorse con quel tag. Firewall Manager applica automaticamente la policy a tali risorse.

Caso d'uso: VPC istanze Amazon pubbliche e private

Puoi utilizzare la stessa politica comune dei gruppi di sicurezza per le risorse pubbliche consigliata nel caso d'uso precedente per le istanze Amazon pubbliche accessibili da Internet. VPC È possibile utilizzare un secondo criterio comune di gruppo di protezione per limitare la comunicazione tra le risorse pubbliche e quelle private. Etichetta le risorse nelle VPC istanze Amazon pubbliche e private con qualcosa come "PublicPrivate" per applicare loro la seconda policy. Puoi utilizzare una terza policy per definire la comunicazione consentita tra le risorse private e altre VPC istanze Amazon aziendali o private. Per questo criterio, è possibile utilizzare un altro tag identificativo sulle risorse private.

Caso d'uso: VPC istanze Amazon Hub and spoke

Puoi utilizzare una politica di gruppo di sicurezza comune per definire le comunicazioni tra l'VPCistanza Amazon hub e VPC le istanze Amazon spoke. Puoi utilizzare una seconda policy per definire la comunicazione da ogni VPC istanza Amazon spoke all'VPCistanza Amazon hub.

Caso d'uso: interfaccia di rete predefinita per le EC2 istanze Amazon

Puoi utilizzare una politica di gruppo di sicurezza comune per consentire solo comunicazioni standard, ad esempio servizi di aggiornamento interni SSH e patch/OS, e per impedire altre comunicazioni non sicure.

Caso d'uso: identifica le risorse con autorizzazioni aperte

È possibile utilizzare un criterio di gruppo di sicurezza di controllo per identificare tutte le risorse all'interno dell'organizzazione che dispongono dell'autorizzazione per comunicare con gli indirizzi IP pubblici o con indirizzi IP appartenenti a fornitori di terze parti.