Como usar políticas de grupos de segurança de auditoria de uso com o Firewall Manager - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar políticas de grupos de segurança de auditoria de uso com o Firewall Manager

Esta página explica como funcionam as políticas de grupos de segurança de auditoria de uso do Firewall Manager.

Use as políticas de grupo de segurança de auditoria de uso do AWS Firewall Manager para monitorar sua organização quanto a grupos de segurança não utilizados e redundantes e, opcionalmente, executar a limpeza. Quando você habilita a correção automática dessa política, o Firewall Manager faz o seguinte:

  1. Consolida grupos de segurança redundantes, se você tiver escolhido essa opção.

  2. Remove grupos de segurança não utilizados, se você tiver escolhido essa opção.

Você pode aplicar políticas de grupo de segurança de auditoria de uso ao seguinte tipo de recurso:

  • Grupo de segurança da Amazon VPC

Para obter orientação sobre como criar uma política de grupo de segurança de auditoria de uso usando o console, consulte Criar uma política de grupo de segurança de auditoria de uso.

Como o Firewall Manager detecta e corrige grupos de segurança redundantes

Para que os grupos de segurança sejam considerados redundantes, eles devem ter exatamente as mesmas regras definidas e estar na mesma instância da Amazon VPC.

Para corrigir um conjunto de grupo de segurança redundante, o Firewall Manager seleciona um dos grupos de segurança do conjunto para manter e o associa a todos os recursos associados aos outros grupos de segurança do conjunto. Em seguida, o Firewall Manager desassocia os outros grupos de segurança dos recursos aos quais eles estavam associados, o que os torna inutilizados.

nota

Se você também optou por remover grupos de segurança não utilizados, o Firewall Manager fará isso em seguida. Isso pode resultar na remoção dos grupos de segurança que estão no conjunto redundante.

Como o Firewall Manager detecta e corrige grupos de segurança não usados

O Firewall Manager considera que um grupo de segurança não é usado se ambas as afirmações a seguir forem verdadeiras:

  • O grupo de segurança não é usado por nenhuma instância do Amazon EC2 ou pela interface de rede Elastic da Amazon EC2.

  • O Firewall Manager não recebeu nenhum item de configuração dentro do número de minutos especificado no período da regra de política.

O período da regra de política tem uma configuração padrão de zero minutos, mas você pode aumentar o tempo até 365 dias (525 600 minutos) para ter tempo de associar novos grupos de segurança aos recursos.

Importante

Se você especificar um número de minutos diferente do valor padrão de zero, deverá habilitar relacionamentos indiretos no AWS Config. Caso contrário, suas políticas de grupo de segurança de auditoria de uso não funcionarão conforme o esperado. Para obter informações sobre relacionamentos indiretos em AWS Config, consulte Relacionamentos indiretos em AWS Config no Guia do desenvolvedor de AWS Config.

O Firewall Manager corrige grupos de segurança não utilizados excluindo-os da sua conta, de acordo com suas configurações de regras, se possível. Se o Firewall Manager não conseguir excluir um grupo de segurança, ele o marcará como não conforme com a política. O Firewall Manager não pode excluir um grupo de segurança referenciado por outro grupo de segurança.

O tempo da correção varia de acordo com o uso da configuração padrão do período ou de uma configuração personalizada:

  • Período definido como zero (o padrão): com essa configuração, um grupo de segurança é considerado não utilizado assim que deixa de ser usado por uma instância do Amazon EC2 ou por uma interface de rede elástica.

    Para essa configuração de período definida em zero, o Firewall Manager corrige o grupo de segurança imediatamente.

  • Período de tempo maior que zero: com essa configuração, um grupo de segurança é considerado não utilizado quando não está sendo usado por uma instância do Amazon EC2 ou por uma interface de rede elástica e o Firewall Manager não recebeu um item de configuração dentro do número especificado de minutos.

    Para a configuração de período diferente de zero, o Firewall Manager corrige o grupo de segurança depois que ele permanece no estado não utilizado por 24 horas.

Especificação de conta padrão

Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, o Firewall Manager escolhe Excluir as contas especificadas e incluir todas as outras automaticamente. O serviço coloca a conta de administrador do Firewall Manager na lista a ser excluída. Esta é a abordagem recomendada e permite que você gerencie manualmente os grupos de segurança que pertencem à conta de administrador do Firewall Manager.