Configurando AWS Firewall ManagerAWS Shield Advanced políticas - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Etapa 1: Concluir os pré-requisitosEtapa 2: Criando e aplicando uma política do Shield AdvancedEtapa 3: (Opcional) Autorizando a equipe de resposta do Shield () SRTEtapa 4: Configurando SNS notificações e alarmes da Amazon CloudWatch

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando AWS Firewall ManagerAWS Shield Advanced políticas

Você pode usar AWS Firewall Manager para habilitar AWS Shield Advanced proteções em toda a sua organização.

Importante

O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as instruções em Adicionando AWS Shield Advanced proteção aos AWS recursos.

Para usar o Firewall Manager para habilitar a proteção do Shield Advanced, execute as seguintes etapas em sequência.

Etapa 1: Concluir os pré-requisitos

Há várias etapas obrigatórias na preparação da conta para o AWS Firewall Manager. Essas etapas estão descritas em AWS Firewall Manager pré-requisitos. Conclua todos os pré-requisitos antes de prosseguir para Etapa 2: Criando e aplicando uma política do Shield Advanced.

Etapa 2: Criando e aplicando uma política do Shield Advanced

Depois de concluir os pré-requisitos, você cria uma política AWS Firewall Manager Shield Advanced. Uma política do Firewall Manager Shield Advanced contém as contas e os recursos que você deseja proteger com o Shield Advanced.

Importante

O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as instruções em Adicionando AWS Shield Advanced proteção aos AWS recursos.

Criar uma política do Firewall Manager para Shield Advanced (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Shield Advanced.

    Para criar uma política do Shield Advanced, sua conta de administrador do Firewall Manager deve ser assinante do Shield Advanced. Se você não estiver inscrito, será solicitado a fazê-lo. Para obter mais informações sobre o custo, consulte Definição de preço do AWS Shield Advanced.

    nota

    Não é necessário inscrever manualmente cada conta de membro no Shield Advanced. O Firewall Manager faz isso por você quando cria a política. Cada conta deve permanecer inscrita no Firewall Manager e no Shield Advanced para continuar protegendo recursos na conta.

  5. Para Região, escolha um Região da AWS. Para proteger os CloudFront recursos da Amazon, escolha Global.

    Para proteger recursos em várias regiões (exceto CloudFront recursos), você deve criar políticas separadas do Firewall Manager para cada região.

  6. Escolha Próximo.

  7. Em Nome, insira um nome descritivo.

  8. (Somente região global) Para políticas de região global, você pode escolher se deseja gerenciar a DDoS mitigação automática da camada de aplicação do Shield Advanced. Para este tutorial, deixe essa opção na configuração padrão de Ignorar.

  9. Em Ação de política, escolha a opção que não corrige automaticamente.

  10. Escolha Próximo.

  11. Contas da AWS essa política se aplica para permitir que você restrinja o escopo de sua política especificando contas a serem incluídas ou excluídas. Neste tutorial, selecione Incluir todas as contas na minha organização.

  12. Escolha os tipos de recurso que você deseja proteger.

    O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as orientações do Shield Advanced em Adicionando AWS Shield Advanced proteção aos AWS recursos.

  13. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  14. Escolha Próximo.

  15. Para tags de política, adicione todas as tags de identificação que você deseja adicionar ao recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  16. Escolha Próximo.

  17. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Verifique se as Ações da política estão definidas como Identificar recursos que não estão em conformidade com as regras da política, mas não corrigir automaticamente. Isso permite que você revise as alterações que sua política faria antes de ativá-las.

  18. Quando estiver satisfeito com a política, escolha Criar política.

    No painel Políticas do AWS Firewall Manager , a política deve estar listada. Provavelmente, indicará Pendente nos títulos das contas e indicará o status da configuração de remediação automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Avance para Etapa 3: (Opcional) Autorizando a equipe de resposta do Shield () SRT.

Etapa 3: (Opcional) Autorizando a equipe de resposta do Shield () SRT

Um dos benefícios do AWS Shield Advanced é o suporte da Shield Response Team (SRT). Ao enfrentar um possível DDoS ataque, você pode entrar em contato com o AWS Support Centro. Se necessário, o Support Center encaminha seu problema para o. SRT SRTIsso ajuda você a analisar a atividade suspeita e a mitigar o problema. Essa mitigação geralmente envolve a criação ou atualização de AWS WAF regras e da web ACLs em sua conta. Eles SRT podem inspecionar sua AWS WAF configuração e criar ou atualizar AWS WAF regras e a web ACLs para você, mas a equipe precisa de sua autorização para fazer isso. Recomendamos que, como parte da configuração AWS Shield Advanced, você forneça proativamente SRT a autorização necessária. Fornecer a autorização antecipadamente ajuda a evitar atrasos na atenuação no caso de um ataque real.

Você autoriza e entra em contato com eles SRT no nível da conta. Ou seja, o proprietário da conta, e não o administrador do Firewall Manager, deve executar as etapas a seguir para autorizá-lo SRT a mitigar possíveis ataques. O administrador do Firewall Manager SRT só pode autorizar as contas de sua propriedade. Da mesma forma, somente o proprietário da conta pode entrar em contato com o SRT para obter suporte.

nota

Para usar os serviços doSRT, você deve estar inscrito no plano Business Support ou no plano Enterprise Support.

Para autorizar o SRT a mitigar possíveis ataques em seu nome, siga as instruções em. Resposta gerenciada a DDoS eventos com suporte do Shield Response Team (SRT) Você pode alterar o SRT acesso e as permissões a qualquer momento usando as mesmas etapas.

Avance para Etapa 4: Configurando SNS notificações e alarmes da Amazon CloudWatch .

Etapa 4: Configurando SNS notificações e alarmes da Amazon CloudWatch

Você pode continuar a partir desta etapa sem configurar as SNS notificações ou CloudWatch alarmes da Amazon. No entanto, a configuração desses alarmes e notificações aumenta significativamente sua visibilidade sobre possíveis DDoS eventos.

Você pode monitorar seus recursos protegidos para possíveis DDoS atividades usando a AmazonSNS. Para receber notificações de possíveis ataques, crie um SNS tópico da Amazon para cada região.

Importante

SNSAs notificações da Amazon sobre possíveis DDoS atividades não são enviadas em tempo real e podem ser adiadas. Para ativar notificações em tempo real de possíveis DDoS atividades, você pode usar um CloudWatch alarme. Seu alarme deve ser baseado na DDoSDetected métrica da conta na qual o recurso protegido existe.

Para criar um SNS tópico da Amazon no Firewall Manager (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, em AWS FMS, escolha Configurações.

  3. Selecione Create new topic (Criar novo tópico).

  4. Insira o nome do tópico.

  5. Insira um endereço de e-mail para o qual SNS as mensagens da Amazon serão enviadas e escolha Adicionar endereço de e-mail.

  6. Escolha Atualizar SNS configuração.

Configurando alarmes da Amazon CloudWatch

O Shield Advanced registra as métricas de detecção, mitigação e principais colaboradores CloudWatch que você pode monitorar. Para obter mais informações, consulteAWS Shield Advanced métricas. CloudWatch incorre em custos adicionais. Para obter CloudWatch os preços, consulte Amazon CloudWatch Pricing.

Para criar um CloudWatch alarme, siga as instruções em Usando CloudWatch alarmes da Amazon. Por padrão, o Shield Advanced é configurado CloudWatch para alertá-lo após apenas um indicador de um possível DDoS evento. Se necessário, você pode usar o CloudWatch console para alterar essa configuração e alertá-lo somente após a detecção de vários indicadores.

nota

Além dos alarmes, você também pode usar um CloudWatch painel para monitorar possíveis DDoS atividades. O painel coleta e processa dados brutos do Shield Advanced como métricas legíveis, quase em tempo real. Você pode usar estatísticas na Amazon CloudWatch para ter uma perspectiva sobre o desempenho do seu aplicativo ou serviço web. Para obter mais informações, consulte O que está CloudWatch no Guia CloudWatch do usuário da Amazon.

Para obter instruções sobre como criar um CloudWatch painel, consulteMonitoramento com a Amazon CloudWatch. Para obter informações sobre as métricas específicas do Shield Advanced que você pode adicionar ao seu painel, consulte AWS Shield Advanced métricas.

Depois de concluir a configuração do Shield Advanced, familiarize-se com suas opções para visualizar eventos em Visibilidade de DDoS eventos com o Shield Advanced.