Usando políticas de grupo de segurança do Firewall Manager para gerenciar grupos VPC de segurança da Amazon - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas de grupo de segurança do Firewall Manager para gerenciar grupos VPC de segurança da Amazon

Esta página explica como usar políticas de grupos AWS Firewall Manager de segurança para gerenciar grupos de segurança da Amazon Virtual Private Cloud para sua organização em AWS Organizations. Você pode aplicar políticas de grupo de segurança controladas centralmente a toda a organização ou a um subconjunto selecionado de suas contas e recursos. Você também pode monitorar e gerenciar as políticas de grupo de segurança que estão em uso na organização com políticas de grupo de segurança de auditoria e uso.

O Firewall Manager mantém continuamente suas políticas e as aplica a contas e recursos à medida que são adicionados ou atualizados em toda a organização. Para obter informações sobre AWS Organizations, consulte o Guia AWS Organizations do usuário.

Para obter informações sobre os grupos de segurança da Amazon Virtual Private Cloud, consulte Security Groups for VPC Your no Guia VPC do usuário da Amazon.

Você pode usar políticas de grupo de segurança do Firewall Manager para fazer o seguinte em toda a sua organização da AWS :

  • Aplique grupos de segurança comuns a contas e recursos especificados.

  • Audite as regras de grupo de segurança, para localizar e corrigir regras não compatíveis.

  • Audite o uso de grupos de segurança, para limpar grupos de segurança não utilizados e redundantes.

Esta seção aborda como as políticas de grupos de segurança do Firewall Manager funcionam e fornece orientações para usá-las. Para obter os procedimentos de criação de políticas de grupo de segurança, consulte Criação de uma AWS Firewall Manager política.

Práticas recomendadas para políticas de grupo de segurança

Esta seção lista recomendações para gerenciar grupos de segurança usando o AWS Firewall Manager.

Excluir a conta de administrador do Firewall Manager

Ao definir o escopo da política, exclua a conta de administrador do Firewall Manager. Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, essa é a opção padrão.

Comece com a correção automática desabilitada

Para políticas de grupo de segurança de auditoria de conteúdo ou uso, comece com a correção automática desativada. Revise as informações de detalhes da política para determinar os efeitos que a correção automática teria. Quando você estiver satisfeito com as alterações, edite a política para habilitar a correção automática.

Evite conflitos se você também usar fontes externas para gerenciar grupos de segurança

Se você usa uma ferramenta ou serviço diferente do Firewall Manager para gerenciar os grupos de segurança, tenha cuidado para evitar conflitos entre as configurações do Firewall Manager e da sua fonte externa. Se você usa correção automática e as configurações são conflitantes, pode criar um ciclo de correções conflitantes que consomem recursos dos dois lados.

Por exemplo, digamos que você configure outro serviço para manter um grupo de segurança de um conjunto de recursos da AWS e configure uma política do Firewall Manager para manter um grupo de segurança diferente para alguns ou todos os mesmos recursos. Se você configurar um dos lados para não permitir que qualquer outro grupo de segurança seja associado aos recursos no escopo, esse lado removerá a associação de grupo de segurança que é mantida pelo outro lado. Se os dois lados estiverem configurados dessa maneira, você poderá acabar com um ciclo de dissociações e associações conflitantes.

Além disso, por exemplo, você pode criar uma política de auditoria do Firewall Manager para impor uma configuração de grupo de segurança que conflita com a configuração do grupo de segurança do outro serviço. A correção aplicada pela política de auditoria do Firewall Manager pode atualizar ou excluir esse grupo de segurança, deixando-o fora de conformidade para o outro serviço. Se o outro serviço estiver configurado para monitorar e corrigir automaticamente quaisquer problemas encontrados, ele recriará ou atualizará o grupo de segurança, deixando-o novamente fora de conformidade com a política de auditoria do Firewall Manager. Se a política de auditoria do Firewall Manager estiver configurada para a correção automática, ela atualizará ou excluirá novamente o grupo de segurança externo e assim por diante.

Para evitar conflitos como esses, crie configurações que são mutuamente exclusivas entre o Firewall Manager e quaisquer fontes externas.

Você pode usar a marcação de tags para excluir os grupos de segurança externos da correção automática das suas políticas do Firewall Manager. Para fazer isso, adicione uma ou mais tags aos grupos de segurança ou outros recursos que são gerenciados pela origem externa. Depois, ao definir o escopo da política do Firewall Manager, na especificação dos recursos, exclua aqueles que tenham a tag ou as tags adicionadas.

Da mesma forma, na sua ferramenta ou serviço externo, exclua os grupos de segurança que o Firewall Manager gerencia de qualquer atividade de gerenciamento ou auditoria. Não importe os recursos do Firewall Manager ou use tags específicas do Firewall Manager para excluí-los do gerenciamento externo.

Melhores práticas para políticas de grupo de segurança de auditoria de uso

Siga essas diretrizes ao usar políticas de grupo de segurança de auditoria de uso.

  • Evite fazer várias alterações no status de associação de um grupo de segurança em um curto espaço de tempo, como em uma janela de 15 minutos. Isso pode fazer com que o Firewall Manager perca alguns ou todos os eventos correspondentes. Por exemplo, não associe e desassocie rapidamente um grupo de segurança com uma interface de rede elástica.

Advertências e limitações da política de grupo de segurança

Esta seção lista as advertências e limitações do uso das políticas de grupo de segurança do Firewall Manager.

Tipo de recurso: EC2 instância da Amazon

Esta seção lista as advertências e limitações para proteger as EC2 instâncias da Amazon com as políticas de grupo de segurança do Firewall Manager.

  • Com grupos de segurança que protegem as interfaces de rede EC2 elástica da Amazon (ENIs), as alterações em um grupo de segurança não são imediatamente visíveis para o Firewall Manager. O Firewall Manager geralmente detecta alterações em algumas horas, mas a detecção pode demorar até seis horas.

  • O Firewall Manager não suporta grupos de segurança para a Amazon EC2 ENIs que foram criados pelo Amazon Relational Database Service.

  • O Firewall Manager não suporta a atualização de grupos de segurança para a Amazon EC2 ENIs que foram criados usando o tipo de serviço Fargate. No entanto, você pode atualizar os grupos de segurança da Amazon ECS ENIs com o tipo EC2 de serviço Amazon.

  • O Firewall Manager não oferece suporte à atualização de grupos de segurança para a EC2 ENIs Amazon gerenciada por solicitantes, porque o Firewall Manager não tem permissão para modificá-los.

  • Para políticas comuns de grupos de segurança, essas ressalvas dizem respeito à interação entre o número de interfaces de rede elásticas (ENIs) anexadas à EC2 instância e a opção de política que especifica se deve remediar somente EC2 instâncias sem anexos adicionados ou remediar todas as instâncias. Cada EC2 instância tem um primário ENI padrão e você pode anexar maisENIs. NoAPI, a configuração da opção de política para essa escolha éApplyToAllEC2InstanceENIs.

    Se uma EC2 instância dentro do escopo tiver ENIs anexos adicionais e a política estiver configurada para incluir somente EC2 instâncias com apenas a primáriaENI, o Firewall Manager não tentará nenhuma correção para a EC2 instância. Além disso, se a instância sair do escopo da política, o Firewall Manager não tentará desassociar nenhuma associação de grupos de segurança que possa ter estabelecido para a instância.

    Nos seguintes casos extremos, durante a limpeza de recursos, o Firewall Manager pode deixar as associações replicadas de grupos de segurança intactas, independentemente das especificações de limpeza de recursos da política:

    • Quando uma instância com adicional ENIs foi corrigida anteriormente por uma política configurada para incluir todas as EC2 instâncias e, em seguida, a instância saiu do escopo da política ou a configuração da política foi alterada para incluir somente instâncias sem adicionaisENIs.

    • Quando uma instância sem nenhum adicional ENIs foi corrigida por uma política que foi configurada para incluir somente instâncias sem nenhum adicionalENIs, outra ENI foi anexada à instância e, em seguida, a instância saiu do escopo da política.

Outras ressalvas e limitações

A seguir estão algumas advertências e limitações das políticas de grupo de segurança do Firewall Manager.

  • A atualização da Amazon só ECS ENIs é possível para ECS serviços da Amazon que usam o controlador de implantação de atualização contínua (AmazonECS). Para outros controladores de ECS implantação da Amazon, como CODE _ DEPLOY ou controladores externos, o Firewall Manager atualmente não pode atualizar o. ENIs

  • O Firewall Manager não oferece suporte à atualização de grupos de segurança ENIs para balanceadores de carga de rede.

  • Em políticas de grupo de segurança comuns, se um compartilhamento VPC for posteriormente descompartilhado com uma conta, o Firewall Manager não excluirá os grupos de segurança de réplica na conta.

  • Com as políticas de grupo de segurança de auditoria de uso, se você criar várias políticas com uma configuração de tempo de atraso personalizada, todas com o mesmo escopo, a primeira política com constatações de conformidade será a política que relata as descobertas.

Casos de uso da política de grupo de segurança

Você pode usar políticas AWS Firewall Manager comuns de grupos de segurança para automatizar a configuração do firewall do host para comunicação entre VPC instâncias da Amazon. Esta seção lista as VPC arquiteturas padrão da Amazon e descreve como proteger cada uma usando as políticas comuns de grupos de segurança do Firewall Manager. Essas políticas de grupo de segurança podem ajudar você a aplicar um conjunto unificado de regras para selecionar recursos em contas diferentes e evitar configurações por conta no Amazon Elastic Compute Cloud e na Amazon. VPC

Com as políticas de grupo de segurança comuns do Firewall Manager, você pode marcar apenas as interfaces de rede EC2 elásticas necessárias para comunicação com instâncias em outra AmazonVPC. As outras instâncias na mesma Amazon VPC são então mais seguras e isoladas.

Caso de uso: monitoramento e controle de solicitações para Application Load Balancers e Classic Load Balancers

Você pode usar uma política de grupo de segurança comum do Firewall Manager para definir quais solicitações seus balanceadores de carga dentro do escopo devem atender. Você pode configurar isso por meio do console do Firewall Manager. Somente solicitações que estejam em conformidade com as regras de entrada do grupo de segurança podem alcançar seus balanceadores de carga, e os balanceadores de carga distribuirão somente solicitações que atendam às regras de saída.

Caso de uso: Amazon pública, acessível pela Internet VPC

Você pode usar uma política de grupo de segurança comum do Firewall Manager para proteger uma Amazon públicaVPC, por exemplo, para permitir somente a porta de entrada 443. Isso é o mesmo que permitir apenas HTTPS tráfego de entrada para um públicoVPC. Você pode marcar recursos públicos dentro do VPC (por exemplo, como “Público VPC “) e, em seguida, definir o escopo da política do Firewall Manager para somente recursos com essa tag. O Firewall Manager aplica automaticamente a política a esses recursos.

Caso de uso: VPC instâncias públicas e privadas da Amazon

Você pode usar a mesma política de grupo de segurança comum para recursos públicos, conforme recomendado no caso de uso anterior para instâncias públicas da Amazon acessíveis pela Internet. VPC Você pode usar uma segunda política de grupo de segurança comum para limitar a comunicação entre os recursos públicos e os privados. Marque os recursos nas VPC instâncias públicas e privadas da Amazon com algo como PublicPrivate "" para aplicar a segunda política a eles. Você pode usar uma terceira política para definir a comunicação permitida entre os recursos privados e outras VPC instâncias corporativas ou privadas da Amazon. Para essa política, você pode usar outra tag de identificação nos recursos privados.

Caso de uso: VPC instâncias Hub and spoke da Amazon

Você pode usar uma política de grupo de segurança comum para definir as comunicações entre a VPC instância hub da Amazon e as VPC instâncias spoke da Amazon. Você pode usar uma segunda política para definir a comunicação de cada instância do Spoke Amazon com a VPC VPC instância hub da Amazon.

Caso de uso: interface de rede padrão para EC2 instâncias da Amazon

Você pode usar uma política de grupo de segurança comum para permitir somente comunicações padrão, por exemplo, serviços internos SSH e de atualização de patch/sistema operacional, e para proibir outras comunicações inseguras.

Caso de uso: identificar recursos com permissões abertas

Você pode usar uma política de grupo de segurança de auditoria para identificar todos os recursos em sua organização que têm permissão para se comunicar com endereços IP públicos ou que têm endereços IP que pertencem a fornecedores de terceiros.