Como o Firewall Manager corrige ACLs de redes gerenciadas não compatíveis - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Relatórios de conformidade de ACL de rede

Como o Firewall Manager corrige ACLs de redes gerenciadas não compatíveis

Esta seção descreve como o Firewall Manager corrige suas ACLs de rede gerenciadas quando elas não estão em conformidade com a política. O Firewall Manager corrige somente as ACLs de rede gerenciadas com a tag FMManaged definida como true. Para ACLs de rede que não são gerenciadas pelo Firewall Manager, consulte Gerenciamento inicial de ACL de rede.

A correção restaura as localizações relativas da primeira regra, da regra personalizada e da última regra e restaura a ordenação da primeira e da última regra. Durante a correção, o Firewall Manager não necessariamente moverá as regras para os números de regras que ele usa na inicialização da ACL de rede. Para obter as configurações numéricas iniciais e as descrições dessas categorias de regras, consulte Gerenciamento inicial de ACL de rede.

Para estabelecer regras e ordenação de regras em conformidade, o Firewall Manager pode precisar mover as regras dentro da ACL da rede. Tanto quanto possível, o Firewall Manager preserva as proteções da ACL de rede mantendo a ordem de regras em conformidade existente enquanto faz isso. Por exemplo, ele pode duplicar temporariamente as regras em novos locais e, em seguida, realizar uma remoção ordenada das regras originais, preservando os locais relativos durante o processo.

Essa abordagem protege suas configurações, mas também requer espaço na ACL de rede para as regras provisórias. Se o Firewall Manager atingir o limite de regras em uma ACL de rede, ele interromperá a correção. Quando isso acontece, a ACL de rede permanece fora de conformidade e o Firewall Manager relata o motivo.

Se uma conta adiciona regras personalizadas a uma ACL de rede gerenciada pelo Firewall Manager e essas regras interferem na correção do Firewall Manager, o Firewall Manager interrompe todas as atividades de correção na ACL da rede e relata o conflito.

Correção forçada

Se você escolher a correção automática para a política, você também especifica se deseja forçar a correção para as primeiras ou para as últimas regras.

Quando o Firewall Manager encontra um conflito no tratamento do tráfego entre uma regra personalizada e uma regra de política, ele consulta a configuração de correção forçada correspondente. Se a correção forçada estiver ativada, o Firewall Manager aplicará a correção, apesar do conflito. Se essa opção não estiver ativada, o Firewall Manager interromperá a correção. Em ambos os casos, o Firewall Manager relata o conflito de regras e oferece opções de correção.

Requisitos e limitações da contagem de regras

Durante a correção, o Firewall Manager pode duplicar temporariamente as regras para movê-las sem alterar as proteções que elas fornecem.

Para regras de entrada ou saída, o maior número de regras que o Firewall Manager pode exigir para realizar a correção é o seguinte: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

As ACLs de rede e as políticas de ACL de rede são limitadas por limites de regras mutáveis. Se o Firewall Manager atingir um limite em seus esforços de correção, ele para de tentar fazer a correção e relata a não conformidade.

Para abrir espaço para o Firewall Manager realizar suas atividades de correção, você pode solicitar um aumento de limite. Como alternativa, você pode alterar a configuração na política ou na ACL de rede para reduzir o número de regras usadas.

Para obter mais informações sobre os limites de ACL de rede, consulte Cotas do Amazon VPC para ACL de redes​ no Guia do usuário da Amazon VPC.

Quando a correção falha

Ao atualizar uma ACL de rede, se o Firewall Manager precisar parar por algum motivo, ele não reverterá as alterações, mas deixará a ACL da rede em um estado provisório. Se você ver regras duplicadas em uma ACL de rede que tem a tag FMManaged definida como true, o Firewall Manager provavelmente está no meio da correção. As alterações podem ficar parcialmente concluídas por um período, mas devido à abordagem adotada pelo Firewall Manager para correção, isso não interromperá o tráfego nem reduzirá a proteção das sub-redes associadas.

Quando o Firewall Manager não corrige completamente as ACLs de rede que estão fora de conformidade, ele relata a não conformidade das sub-redes associadas e sugere possíveis opções de correção.

Como tentar novamente após falha na correção

Na maioria dos casos, se o Firewall Manager falhar em concluir as alterações de correção em uma ACL de rede, ele acabará por tentar a alteração novamente.

A exceção é quando a correção atinge o limite de contagem de regras de ACL de rede ou o limite de contagem de ACL de rede da VPC. O Firewall Manager não pode realizar atividades de correção que consumam recursos da AWS acima das configurações de limite. Nesses casos, você precisa reduzir as contagens ou aumentar os limites para continuar. Para obter mais informações sobre os limites, consulte Cotas da Amazon VPC para ACLs de rede​ no Guia do usuário da Amazon VPC.

Relatórios de conformidade de ACL de rede do Firewall Manager

O Firewall Manager monitora e relata a conformidade de todas as ACLs de rede conectadas às sub-redes dentro do escopo.

De um modo geral, a não conformidade ocorre em situações como ordenação incorreta de regras ou conflito no comportamento de tratamento de tráfego entre regras de política e regras personalizadas. Os relatórios de não conformidade incluem violações de conformidade e opções de correção.

O Firewall Manager relata violações de conformidade para uma política de ACL de rede da mesma forma que para outros tipos de política. Para informações sobre relatórios de conformidade, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager.

Não conformidade durante atualizações de políticas

Depois de modificar uma política de ACL de rede, até que o Firewall Manager atualize as ACLs de rede que estão no escopo da política, o Firewall Manager marca essas ACLs de rede como não conformes. O Firewall Manager faz isso mesmo que as ACLs da rede possam, estritamente falando, estar em conformidade.

Por exemplo, se você remover as regras da especificação da política, enquanto as ACLs de rede dentro do escopo ainda tiverem as regras extras, suas definições de regras ainda poderão estar em conformidade com a política. No entanto, como as regras extras fazem parte das regras que o Firewall Manager está gerenciando, o Firewall Manager as vê como violações das configurações atuais da política. Isso é diferente da maneira como o Firewall Manager visualiza as regras personalizadas que você adiciona às ACLs de rede gerenciadas pelo Firewall Manager.