Como usar políticas de grupos de segurança comuns com o Firewall Manager - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar políticas de grupos de segurança comuns com o Firewall Manager

Esta página explica como as políticas comuns de grupos de segurança do Firewall Manager funcionam.

Com uma política de grupo de segurança comum, o Firewall Manager fornece uma associação controlada centralmente de grupos de segurança a contas e recursos em toda a sua organização. Você especifica onde e como aplicar a política em sua organização.

Você pode aplicar políticas de grupo de segurança comuns aos seguintes tipos de recursos:

  • Instância do Amazon Elastic Compute Cloud (Amazon EC2)

  • Interface de rede elástica

  • Application Load Balancer

  • Classic Load Balancer

Para obter orientação sobre como criar uma política de grupo de segurança comum usando o console, consulte Criar uma política de grupo de segurança comum.

VPCs compartilhadas

Nas configurações de escopo de política para uma política de grupo de segurança comum, é possível optar por incluir VPCs compartilhadas. Essa opção inclui VPCs pertencentes a outra conta e compartilhadas com uma conta dentro do escopo. As VPCs que pertencem a contas no escopo são sempre incluídas. Para obter mais informações sobre VPCs compartilhadas, consulte Como trabalhar com VPCs compartilhadas no Guia do usuário da Amazon VPC.

As seguintes advertências se aplicam à inclusão de VPCs compartilhadas. Essas são uma adição às advertências gerais para políticas de grupo de segurança em Alertas e limitações da política do grupo de segurança.

  • O Firewall Manager replica o grupo de segurança primário para as VPCs de cada conta no escopo. Para uma VPC compartilhada, o Firewall Manager replica o grupo de segurança primário uma vez para cada conta no escopo com a qual a VPC é compartilhada. Isso pode resultar em várias réplicas em uma única VPC compartilhada.

  • Ao criar uma VPC compartilhada, você só a verá representada nos detalhes da política de grupo de segurança do Firewall Manager depois de criar pelo menos um recurso na VPC que esteja dentro do escopo da política.

  • Quando você desabilita VPCs compartilhadas em uma política que tinha VPCs compartilhadas habilitadas, nas VPCs compartilhadas, o Firewall Manager exclui os grupos de segurança de réplica que não estão associados a nenhum recurso. O Firewall Manager mantém os grupos de segurança de réplica restantes no lugar, mas para de gerenciá-los. A remoção desses grupos de segurança restantes requer gerenciamento manual em cada instância da VPC compartilhada.

Grupos de segurança primários

Para cada política de grupo de segurança comum, você fornece ao AWS Firewall Manager um ou mais grupos de segurança primários:

  • Os grupos de segurança primários devem ser criados pela conta de administrador do Firewall Manager e podem residir em qualquer instância da Amazon VPC na conta.

  • Você gerencia seus grupos de segurança primários por meio da Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Para obter mais informações, consulte Trabalhar com grupos de segurança no Guia do usuário da Amazon VPC.

  • Você pode nomear um ou mais grupos de segurança como primários para uma política de grupo de segurança do Firewall Manager. Por padrão, o número de grupos de segurança permitidos em uma política é um, mas você pode enviar uma solicitação para aumentá-lo. Para ter mais informações, consulte AWS Firewall Manager cotas.

Configurações de regras de política

Você pode escolher um ou mais dos seguintes comportamentos de controle de alteração para os grupos de segurança e recursos de sua política de grupo de segurança comum:

  • Identifique e relate quaisquer alterações feitas pelos usuários locais para grupos de segurança de réplica.

  • Desassocie quaisquer outros grupos de segurança dos recursos da AWS que estejam dentro do escopo da política.

  • Distribua tags do grupo primário para os grupos de segurança da réplica.

    Importante

    O Firewall Manager não distribuirá as tags do sistema adicionadas pelos serviços da AWS para os grupos de segurança de réplica. As tags do sistema começam com o prefixo aws:. Além disso, o Firewall Manager não atualizará as tags dos grupos de segurança existentes nem criará novos grupos de segurança se a política tiver tags que entrem em conflito com a política de tags da organização. Para obter informações sobre políticas de tags, consulte Políticas de tags no Guia do usuário do AWS Organizations.

  • Distribua referências do grupo de segurança do grupo primário para os grupos de segurança de réplica.

    Isso permite que você estabeleça facilmente regras comuns de referência de grupo de segurança em todos os recursos do escopo para instâncias associadas à VPC do grupo de segurança especificado. Quando você ativa essa opção, o Firewall Manager só propaga as referências do grupo de segurança se os grupos de segurança fizerem referência a grupos de segurança pares na Amazon Virtual Private Cloud. Se os grupos de segurança replicados não referenciarem corretamente o grupo de segurança de mesmo nível, o Firewall Manager marcará esses grupos de segurança replicados como em não conformidade. Para obter mais informações sobre como referenciar grupos de segurança de mesmo nível na Amazon VPC, consulte Atualizar seus grupos de segurança para referenciar grupos de segurança de mesmo nível no Guia de emparelhamento da Amazon VPC.

    Se você não habilitar essa opção, o Firewall Manager não propagará referências de grupos de segurança aos grupos de segurança de réplica. Para obter informações sobre o emparelhamento da VPC na Amazon VPC, consulte Guia de emparelhamento da Amazon VPC.

Criação e gerenciamento de políticas

Quando você cria sua política de grupo de segurança comum, o Firewall Manager replica os grupos de segurança primários para cada instância da Amazon VPC dentro do escopo da política e associa os grupos de segurança replicados a contas e recursos que estão no escopo da política. Quando você modifica um grupo de segurança primário, o Firewall Manager propaga a alteração para as réplicas.

Ao excluir uma política de grupo de segurança comum, você pode escolher se deseja limpar os recursos criados pela política. Para grupos de segurança comuns do Firewall Manager, esses recursos são os grupos de segurança de réplica. Escolha a opção de limpeza, a menos que você queira gerenciar manualmente cada réplica individual após a política ser excluída. Para a maioria das situações, escolher a opção de limpeza é a abordagem mais simples.

Como as réplicas são gerenciadas

Os grupos de segurança de réplica nas instâncias da Amazon VPC são gerenciados como outros grupos de segurança da Amazon VPC. Para obter mais informações, consulte Grupos de segurança para sua VPC no Guia do usuário da Amazon VPC.