Como usar políticas de grupos de segurança de auditoria de conteúdo com o Firewall Manager - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Como usar políticas de grupos de segurança de auditoria de conteúdo com o Firewall Manager

Esta página explica como as políticas de auditoria de conteúdo de grupos de segurança do Firewall Manager funcionam.

Use políticas de grupo de segurança de auditoria de conteúdo do AWS Firewall Manager para verificar e aplicar a política as regras que estão em uso nos grupos de segurança da sua organização. As políticas de grupo de segurança de auditoria de conteúdo aplicam-se a todos os grupos de segurança criados pelo cliente em uso na organização da AWS, de acordo com o escopo definido na política.

Para obter orientação sobre como criar uma política de grupo de segurança de auditoria de conteúdo usando o console, consulte Criar uma política de grupo de segurança de auditoria de conteúdo.

Tipo de recurso do escopo da política

Você pode aplicar políticas de grupo de segurança de auditoria de conteúdo aos seguintes tipos de recursos:

  • Instância do Amazon Elastic Compute Cloud (Amazon EC2)

  • Interface de rede elástica

  • Grupo de segurança da Amazon VPC

Os grupos de segurança serão considerados no escopo da política se estiverem explicitamente no escopo ou se estiverem associados a recursos que estão no escopo.

Opções de regras de política

Você pode usar regras de política gerenciadas ou regras de política personalizadas para cada política de auditoria de conteúdo, mas não ambas.

  • Regras de políticas gerenciadas: em uma política com regras gerenciadas, você pode usar listas de aplicativos e protocolos para controlar quais regras o Firewall Manager audita e marca como compatíveis ou não compatíveis. Você pode usar listas gerenciadas pelo Firewall Manager. Você também pode criar e usar suas próprias listas de aplicativos e protocolos. Para obter informações sobre esses tipos de listas e suas opções de gerenciamento para listas personalizadas, consulte Como usar listas gerenciadas do Firewall Manager.

  • Regras de política personalizadas: em uma política com regras de política personalizadas, você especifica um grupo de segurança existente como o grupo de segurança de auditoria para sua política. Você pode usar as regras do grupo de segurança de auditoria como um modelo que define as regras que o Firewall Manager audita e marca como compatíveis ou não compatíveis.

Grupos de segurança de auditoria

Você deve criar grupos de segurança de auditoria usando sua conta de administrador do Firewall Manager antes de poder usá-los em sua política. Você pode gerenciar grupos de segurança por meio da Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Para obter mais informações, consulte Trabalhar com grupos de segurança no Guia do usuário da Amazon VPC.

Um grupo de segurança que você usa para uma política de grupo de segurança de auditoria de conteúdo é usado pelo Firewall Manager apenas como referência de comparação para os grupos de segurança que estão no escopo da política. O Firewall Manager não o associa a nenhum recurso em sua organização.

A maneira como você define as regras no grupo de segurança de auditoria depende de sua escolha nas configurações de regras de política:

  • Regras de política gerenciadas: para configurações de regras de política gerenciadas, você usa um grupo de segurança de auditoria para substituir outras configurações na política, para permitir ou negar explicitamente regras que, de outra forma, poderiam ter outro resultado de conformidade.

    • Se você optar por sempre permitir as regras definidas no grupo de segurança de auditoria, qualquer regra que corresponda a uma definida no grupo de segurança de auditoria será considerada em conformidade com a política, independentemente das outras configurações de política.

    • Se você optar por sempre negar as regras definidas no grupo de segurança de auditoria, qualquer regra que corresponda a uma definida no grupo de segurança de auditoria será considerada em não conformidade com a política, independentemente das outras configurações de política.

  • Regras de política personalizadas: para configurações de regras de política personalizadas, o grupo de segurança de auditoria fornece o exemplo do que é aceitável ou não aceitável nas regras de grupo de segurança dentro do escopo:

    • Se você optar por permitir o uso das regras, todos os grupos de segurança no escopo deverão ter somente regras que estejam dentro do intervalo permitido das regras do grupo de segurança de auditoria da política. Nesse caso, as regras do grupo de segurança da política fornecem o exemplo do que é aceitável fazer.

    • Se você optar por negar o uso das regras, todos os grupos de segurança no escopo deverão ter somente regras que não estejam dentro do intervalo permitido das regras do grupo de segurança de auditoria da política. Nesse caso, o grupo de segurança da política fornece o exemplo do que não é aceitável fazer.

Criação e gerenciamento de políticas

Quando você cria uma política de grupo de segurança de auditoria, precisa ter a correção automática desativada. A prática recomendada é rever os efeitos da criação de políticas antes de habilitar a correção automática. Depois de analisar os efeitos esperados, você pode editar a política e habilitar a correção automática. Quando a correção automática está habilitada, o Firewall Manager atualiza ou remove regras que não são compatíveis em grupos de segurança no escopo.

Grupos de segurança afetados por uma política de grupo de segurança de auditoria

Todos os grupos de segurança em sua organização que são criados pelo cliente estão qualificados para estar no escopo de uma política de grupo de segurança de auditoria.

Os grupos de segurança de réplica não são criados pelo cliente e, portanto, não são qualificados para estar diretamente no escopo de uma política de grupo de segurança de auditoria. No entanto, eles podem ser atualizados como resultado das atividades de correção automática da política. O grupo de segurança primário de uma política de grupo de segurança comum é criado pelo cliente e pode estar no escopo de uma política de grupo de segurança de auditoria. Se uma política de grupo de segurança de auditoria fizer alterações em um grupo de segurança primário, o Firewall Manager propagará automaticamente essas alterações para as réplicas.