Como configurar políticas do AWS Shield Advanced no AWS Firewall Manager - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Como configurar políticas do AWS Shield Advanced no AWS Firewall Manager

Você pode usar o AWS Firewall Manager para habilitar proteções do AWS Shield Advanced em toda a sua organização.

Importante

O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as instruções em Adicionar a proteção do AWS Shield Advanced aos recursos da AWS.

Para usar o Firewall Manager para habilitar a proteção do Shield Advanced, execute as seguintes etapas em sequência.

Etapa 1: preencher os pré-requisitos

Há várias etapas obrigatórias na preparação da conta para o AWS Firewall Manager. Essas etapas estão descritas em Pré-requisitos da AWS Firewall Manager. Conclua todos os pré-requisitos antes de prosseguir para Etapa 2: criar e aplicar uma política do Shield Advanced.

Etapa 2: criar e aplicar uma política do Shield Advanced

Depois de concluir os pré-requisitos, você cria uma política AWS Firewall Manager do Shield Advanced. Uma política do Firewall Manager Shield Advanced contém as contas e os recursos que você deseja proteger com o Shield Advanced.

Importante

O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as instruções em Adicionar a proteção do AWS Shield Advanced aos recursos da AWS.

Criar uma política do Firewall Manager para Shield Advanced (console)
  1. Faça login no AWS Management Console usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Shield Advanced.

    Para criar uma política do Shield Advanced, sua conta de administrador do Firewall Manager deve ser assinante do Shield Advanced. Se você não estiver inscrito, será solicitado a fazê-lo. Para obter mais informações sobre o custo, consulte Definição de preço do AWS Shield Advanced.

    nota

    Não é necessário inscrever manualmente cada conta de membro no Shield Advanced. O Firewall Manager faz isso por você quando cria a política. Cada conta deve permanecer inscrita no Firewall Manager e no Shield Advanced para continuar protegendo recursos na conta.

  5. Para Região, escolha uma Região da AWS. Para proteger os recursos do Amazon CloudFront, escolha Global.

    Para proteger recursos em várias regiões (que não sejam recursos do CloudFront), é necessário criar políticas do Firewall Manager separadas para cada região.

  6. Escolha Próximo.

  7. Em Nome, insira um nome descritivo.

  8. (Somente região global) Para políticas da região global, você pode escolher se deseja gerenciar a mitigação automática de DDoS da camada de aplicativo do Shield Advanced. Para este tutorial, deixe essa opção na configuração padrão de Ignorar.

  9. Em Ação de política, escolha a opção que não corrige automaticamente.

  10. Escolha Próximo.

  11. Contas da AWS esta política aplica-se a permite restringir o escopo da política especificando as contas a serem incluídas ou excluídas. Neste tutorial, selecione Incluir todas as contas na minha organização.

  12. Escolha os tipos de recurso que você deseja proteger.

    O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as orientações do Shield Advanced em Adicionar a proteção do AWS Shield Advanced aos recursos da AWS.

  13. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  14. Escolha Próximo.

  15. Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  16. Escolha Próximo.

  17. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Verifique se as Ações da política estão definidas como Identificar recursos que não estão em conformidade com as regras da política, mas não corrigir automaticamente. Isso permite que você revise as alterações que sua política faria antes de ativá-las.

  18. Quando estiver satisfeito com a política, escolha Criar política.

    No painel Políticas do AWS Firewall Manager, a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager

Avance para Etapa 3: (opcional) autorizar o Shield Response Team (SRT).

Etapa 3: (opcional) autorizar o Shield Response Team (SRT)

Um dos benefícios do AWS Shield Advanced é o suporte do Shield Response Team (SRT). Se ocorrer um ataque DDoS, você pode entrar em contato com a Central AWS Support. Se necessário, o Atendimento ao Cliente escalará seu problema para a SRT. A SRT ajuda você a analisar as atividades suspeitas e auxilia na atenuação do problema. Essa atenuação muitas vezes envolve a criação ou atualização das regras do AWS WAF e das web ACLs na sua conta. A SRT pode inspecionar sua configuração do AWS WAF e criar ou atualizar as regras do AWS WAF e web ACLs para você, mas a equipe precisa de sua autorização para tal. Recomendamos que, como parte da configuração do AWS Shield Advanced, você forneça proativamente a autorização necessária à SRT. Fornecer a autorização antecipadamente ajuda a evitar atrasos na atenuação no caso de um ataque real.

Você autoriza e entra em contato com o SRT no nível de conta. Ou seja, o proprietário da conta, não o administrador do Firewall Manager, deve executar as seguintes etapas para autorizar a SRT a atenuar ataques em potencial. O administrador do Firewall Manager poderá autorizar a SRT apenas para contas pertencentes a ele. Da mesma forma, somente o proprietário da conta pode entrar em contato com a SRT para obter suporte.

nota

Para usar os serviços da SRT, você deve ser assinante do plano Business Support ou Enterprise Support.

Para autorizar a SRT a atenuar ataques em potencial em seu nome, siga as instruções em Resposta gerenciada a eventos de DDoS com suporte do Shield Response Team (SRT). Você pode alterar o acesso e as permissões da SRT a qualquer momento usando as mesmas etapas.

Avance para Etapa 4: configurar as notificações do Amazon SNS e os alarmes do Amazon CloudWatch.

Etapa 4: configurar as notificações do Amazon SNS e os alarmes do Amazon CloudWatch

Você pode continuar a partir desta etapa sem configurar as notificações do Amazon SNS nem os alarmes do CloudWatch. No entanto, a configuração desses alarmes e notificações aumenta significativamente sua visibilidade sobre possíveis eventos de DDoS.

Você pode monitorar seus recursos protegidos quanto a possíveis atividades de DDoS usando o Amazon SNS. Para receber notificação de possíveis ataques, crie um tópico do Amazon SNS para cada região.

Importante

As notificações do Amazon SNS sobre possíveis atividades de DDoS não são enviadas em tempo real e podem ser adiadas. Para habilitar notificações em tempo real de possíveis atividades de DDoS, você pode usar um alarme do CloudWatch. Seu alarme deve ser baseado na métrica DDoSDetected da conta na qual o recurso protegido existe.

Para criar um tópico do Amazon SNS no Firewall Manager (console)
  1. Faça login no AWS Management Console usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

  2. No painel de navegação, em AWS FMS, selecione Configurações.

  3. Selecione Create new topic (Criar novo tópico).

  4. Insira o nome do tópico.

  5. Insira um endereço de e-mail de destino para as mensagens do Amazon SNS e, em seguida, escolha Adicionar endereço de e-mail.

  6. Selecione Update SNS configuration (Atualizar configuração do SNS).

Como configurar alarmes do Amazon CloudWatch

O Shield Advanced registra métricas de detecção, mitigação e principais colaboradores no CloudWatch que você pode monitorar. Para ter mais informações, consulte AWS Shield Advanced métricas. O CloudWatch incorre em custos adicionais. Para obter exemplos de preço do Cloudwatch, consulte Preços do Amazon CloudWatch.

Para criar um alarme do CloudWatch, siga as instruções em Usar alarmes do Amazon CloudWatch. Por padrão, o Shield Advanced configura o CloudWatch para alertá-lo com apenas um indício de possível evento de DDoS. Se necessário, você poderá usar o console do CloudWatch para alterar essa configuração para alertá-lo somente após a detecção de vários indícios.

nota

Além dos alarmes, você também pode usar um painel do CloudWatch para monitorar possíveis atividades de DDoS. O painel coleta e processa dados brutos do Shield Advanced como métricas legíveis, quase em tempo real. Você pode usar estatísticas no Amazon CloudWatch para ter uma perspectiva de como o aplicativo da web ou o serviço está se saindo. Para obter mais informações, consulte O que é o Amazon CloudWatch? no Guia do usuário do Amazon CloudWatch.

Para obter instruções sobre como criar um painel do CloudWatch, consulte Monitorar o com o Amazon CloudWatch. Para obter informações sobre as métricas específicas do Shield Advanced que você pode adicionar ao seu painel, consulte AWS Shield Advanced métricas.

Depois de concluir a configuração do Shield Advanced, familiarize-se com suas opções para visualizar eventos em Visibilidade de eventos de DDoS com o Shield Advanced.