Usando políticas de grupo de segurança de auditoria de uso com o Firewall Manager - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas de grupo de segurança de auditoria de uso com o Firewall Manager

Esta página explica como as políticas de grupo de segurança de auditoria de uso do Firewall Manager funcionam.

Use políticas de grupo de segurança de auditoria de AWS Firewall Manager uso para monitorar sua organização em busca de grupos de segurança redundantes e não utilizados e, opcionalmente, realizar a limpeza. Quando você habilita a correção automática dessa política, o Firewall Manager faz o seguinte:

  1. Consolida grupos de segurança redundantes, se você tiver escolhido essa opção.

  2. Remove grupos de segurança não utilizados, se você tiver escolhido essa opção.

Você pode aplicar políticas de grupo de segurança de auditoria de uso ao seguinte tipo de recurso:

  • Grupo de VPC segurança da Amazon

Para obter orientação sobre como criar uma política de grupo de segurança de auditoria de uso usando o console, consulte Criar uma política de grupo de segurança de auditoria de uso.

Como o Firewall Manager detecta e corrige grupos de segurança redundantes

Para que os grupos de segurança sejam considerados redundantes, eles devem ter exatamente o mesmo conjunto de regras e estar na mesma instância da AmazonVPC.

Para corrigir um conjunto de grupo de segurança redundante, o Firewall Manager seleciona um dos grupos de segurança do conjunto para manter e o associa a todos os recursos associados aos outros grupos de segurança do conjunto. Em seguida, o Firewall Manager desassocia os outros grupos de segurança dos recursos aos quais eles estavam associados, o que os torna inutilizados.

nota

Se você também optou por remover grupos de segurança não utilizados, o Firewall Manager fará isso em seguida. Isso pode resultar na remoção dos grupos de segurança que estão no conjunto redundante.

Como o Firewall Manager detecta e corrige grupos de segurança não utilizados

O Firewall Manager considera que um grupo de segurança não é usado se ambas as afirmações a seguir forem verdadeiras:

  • O grupo de segurança não é usado por nenhuma EC2 instância da Amazon ou pela interface de rede EC2 elástica da Amazon.

  • O Firewall Manager não recebeu um item de configuração dentro do número de minutos especificado no período de tempo da regra de política.

O período de tempo da regra de política tem uma configuração padrão de zero minutos, mas você pode aumentar o tempo até 365 dias (525.600 minutos) para ter tempo de associar novos grupos de segurança aos recursos.

Importante

Se você especificar um número de minutos diferente do valor padrão de zero, deverá habilitar relacionamentos indiretos em AWS Config. Caso contrário, suas políticas de grupo de segurança de auditoria de uso não funcionarão conforme o esperado. Para obter informações sobre relacionamentos indiretos em AWS Config, consulte Relacionamentos indiretos AWS Config no Guia do AWS Config desenvolvedor.

O Firewall Manager corrige grupos de segurança não utilizados excluindo-os da sua conta de acordo com suas configurações de regras, se possível. Se o Firewall Manager não conseguir excluir um grupo de segurança, ele o marcará como não compatível com a política. O Firewall Manager não pode excluir um grupo de segurança referenciado por outro grupo de segurança.

O tempo da remediação varia de acordo com o uso da configuração padrão do período de tempo ou de uma configuração personalizada:

  • Período de tempo definido como zero, o padrão — Com essa configuração, um grupo de segurança é considerado não utilizado assim que não está sendo usado por uma EC2 instância da Amazon ou por uma interface de rede elástica.

    Para essa configuração de período zero, o Firewall Manager corrige o grupo de segurança imediatamente.

  • Período de tempo maior que zero — Com essa configuração, um grupo de segurança é considerado não utilizado quando não está sendo usado por uma EC2 instância da Amazon ou por uma interface de rede elástica e o Firewall Manager não recebeu um item de configuração dentro do número especificado de minutos.

    Para a configuração de período de tempo diferente de zero, o Firewall Manager corrige o grupo de segurança depois que ele permanece no estado não utilizado por 24 horas.

Especificação de conta padrão

Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, o Firewall Manager escolhe Excluir as contas especificadas e incluir todas as outras automaticamente. O serviço coloca a conta de administrador do Firewall Manager na lista a ser excluída. Esta é a abordagem recomendada e permite que você gerencie manualmente os grupos de segurança que pertencem à conta de administrador do Firewall Manager.