CNF ポリシー AWS Firewall Managerの設定 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
ステップ 1: 一般的な前提条件を満たすステップ 2: Fortigate CNF ポリシーの前提条件を満たすステップ 3: Fortigate CNF ポリシーを作成して適用する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CNF ポリシー AWS Firewall Managerの設定

Fortigate Cloud Native Firewall (CNF) as a Service は、 AWS Firewall Manager ポリシーに使用できるサードパーティーのファイアウォールサービスです。Fortigate CNF for Firewall Manager を使用すると、Fortigate CNF リソースとポリシーセットを作成し、すべての AWS アカウントに一元的にデプロイできます。 AWS Firewall Manager を使用して Fortigate CNF ポリシーを有効にするには、次の手順を順番に実行します。Fortigate CNF ポリシーの詳細については、「Firewall Manager に Fortigate Cloud Native Firewall (CNF) as a Service ポリシーを使用する」を参照してください。

ステップ 1: 一般的な前提条件を満たす

AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager 前提条件 で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。

ステップ 2: Fortigate CNF ポリシーの前提条件を満たす

Fortigate CNF ポリシーを使用するには、追加の必須ステップを完了する必要があります。それらのステップは、Fortigate Cloud Native Firewall (CNF) as a Service ポリシーの前提条件 で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。

ステップ 3: Fortigate CNF ポリシーを作成して適用する

前提条件を完了したら、Fortigate AWS Firewall Manager CNF ポリシーを作成します。

Fortigate CNF の Firewall Manager ポリシーの詳細については、「Firewall Manager に Fortigate Cloud Native Firewall (CNF) as a Service ポリシーを使用する」を参照してください。

Fortigate CNF の Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] を選択します。

  4. [Policy type] (ポリシータイプ) には、Fortigate CNF を選択してください。 AWS Marketplace で Fortigate CNF サービスをまだサブスクライブしていない場合は、まずサブスクライブする必要があります。 AWS Marketplace でサブスクライブするには、 AWS Marketplace の詳細の表示を選択します。

  5. [Deployment model] (デプロイモデル) で、[Distributed model] (分散モデル) または [Centralized model] (集約型モデル) のいずれかを選択します。デプロイモデルによって、Firewall Manager がポリシーのエンドポイントを管理する方法が決まります。分散モデルでは、Firewall Manager は、ポリシーの範囲内の各 VPC にファイアウォールエンドポイントを維持します。集約型モデルでは、Firewall Manager は検査 VPC に単一のエンドポイントを維持します。

  6. リージョン で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  7. [Next (次へ)] を選択します。

  9. ポリシー設定で、このポリシーに関連付ける Fortigate CNF ファイアウォールポリシーを選択します。Fortigate CNF ファイアウォールポリシーのリストには、Fortigate CNF テナントに関連付けられているすべての CNF ファイアウォールポリシーが含まれています。Fortigate CNF ファイアウォールポリシーの作成と管理については、「Fortigate CNF documentation」(Fortigate CNF のドキュメント) を参照してください。

  10. [Next (次へ)] を選択します。

  11. [Configure third-party firewall endpoint] (サードパーティーのファイアウォールエンドポイントを設定) で、ファイアウォールエンドポイントの作成に分散デプロイモデルと集約型デプロイモデルのいずれを使用しているかに応じて、次のいずれかを実行します。

    • このポリシーに分散デプロイモデルを使用している場合は、[Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

    • このポリシーに集約型デプロイモデルを使用している場合は、[Inspection VPC configuration] (検査 VPC 設定) の [AWS Firewall Manager endpoint configuration] (エンドポイント設定) で、検査 VPC の所有者の AWS アカウント ID と検査 VPC の VPC ID を入力します。

      • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

  12. [Next] (次へ) を選択します。

  13. [Policy scope] (ポリシーの範囲) の [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織内のすべてのアカウントを含めます

    • ポリシーを特定のアカウントまたは特定の AWS Organizations 組織単位 (OUs) にあるアカウントにのみ適用する場合は、指定されたアカウントと組織単位のみを含めるを選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) のセットを除くすべての にポリシーを適用する場合は、指定したアカウントと組織単位を除外し、その他すべてを含めた後、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

    Fortigate CNF ポリシーの [リソースタイプ][VPC] です。

  14. [リソース] では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「」を参照してくださいAWS Firewall Manager ポリシースコープの使用

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

  15. [Grant cross-account access] (クロスアカウントアクセスを付与) で、[Download AWS CloudFormation template] (テンプレートをダウンロード) を選択します。これにより、 AWS CloudFormation スタックの作成に使用できる AWS CloudFormation テンプレートがダウンロードされます。このスタックは、Fortigate CNF リソースを管理するためのクロスアカウントアクセス許可を Firewall Manager に付与する AWS Identity and Access Management ロールを作成します。スタックの詳細については、「AWS CloudFormation ユーザーガイド」の「StackSets の操作」を参照してください。スタックを作成するには、Fortigate CNF ポータルのアカウント ID が必要です。

  16. [Next (次へ)] を選択します。

  17. [ポリシータグ] で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  18. [Next (次へ)] を選択します。

  19. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    [Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

  20. ポリシーが完成したら、[ポリシーの作成] を選択します。

    [AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に [保留中] と表示され、[自動修復] のステータスが示されます。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

Firewall Manager Fortigate CNF ポリシーの詳細については、「Firewall Manager に Fortigate Cloud Native Firewall (CNF) as a Service ポリシーを使用する」を参照してください。