Políticas de grupo de segurança - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Políticas de grupo de segurança comunsPolíticas de grupo de segurança de auditoria de conteúdoPolíticas de grupo de segurança de auditoria de usoPráticas recomendadasAdvertências e limitações da política de grupo de segurançaCasos de uso da política de grupo de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de grupo de segurança

Você pode usar políticas AWS Firewall Manager de grupo de segurança para gerenciar grupos de segurança da Amazon Virtual Private Cloud para sua organização em AWS Organizations. Você pode aplicar políticas de grupo de segurança controladas centralmente a toda a organização ou a um subconjunto selecionado de suas contas e recursos. Você também pode monitorar e gerenciar as políticas de grupo de segurança que estão em uso na organização com políticas de grupo de segurança de auditoria e uso.

O Firewall Manager mantém continuamente suas políticas e as aplica a contas e recursos à medida que são adicionados ou atualizados em toda a organização. Para obter informações sobre AWS Organizations, consulte o Guia AWS Organizations do usuário.

Para obter mais informações sobre como modificar um grupo de segurança da Amazon Virtual Private Cloud, consulte Grupos de segurança para a sua VPC no Guia do usuário da Amazon VPC.

Você pode usar políticas de grupo de segurança do Firewall Manager para fazer o seguinte em toda a sua organização da AWS :

  • Aplique grupos de segurança comuns a contas e recursos especificados.

  • Audite as regras de grupo de segurança, para localizar e corrigir regras não compatíveis.

  • Audite o uso de grupos de segurança, para limpar grupos de segurança não utilizados e redundantes.

Esta seção aborda como as políticas de grupos de segurança do Firewall Manager funcionam e fornece orientações para usá-las. Para obter os procedimentos de criação de políticas de grupo de segurança, consulte Criação de uma AWS Firewall Manager política.

Políticas de grupo de segurança comuns

Com uma política de grupo de segurança comum, o Firewall Manager fornece uma associação controlada centralmente de grupos de segurança a contas e recursos em toda a sua organização. Você especifica onde e como aplicar a política em sua organização.

Você pode aplicar políticas de grupo de segurança comuns aos seguintes tipos de recursos:

  • Instância do Amazon Elastic Compute Cloud (Amazon EC2)

  • Interface de rede elástica

  • Application Load Balancer

  • Classic Load Balancer

Para obter orientação sobre como criar uma política de grupo de segurança comum usando o console, consulte Criar uma política de grupo de segurança comum.

VPCs compartilhadas

Nas configurações de escopo de política para uma política de grupo de segurança comum, é possível optar por incluir VPCs compartilhadas. Essa opção inclui VPCs pertencentes a outra conta e compartilhadas com uma conta dentro do escopo. As VPCs que pertencem a contas no escopo são sempre incluídas. Para obter mais informações sobre VPCs compartilhadas, consulte Como trabalhar com VPCs compartilhadas no Guia do usuário da Amazon VPC.

As seguintes advertências se aplicam à inclusão de VPCs compartilhadas. Essas são uma adição às advertências gerais para políticas de grupo de segurança em Advertências e limitações da política de grupo de segurança.

  • O Firewall Manager replica o grupo de segurança primário para as VPCs de cada conta no escopo. Para uma VPC compartilhada, o Firewall Manager replica o grupo de segurança primário uma vez para cada conta no escopo com a qual a VPC é compartilhada. Isso pode resultar em várias réplicas em uma única VPC compartilhada.

  • Ao criar uma VPC compartilhada, você só a verá representada nos detalhes da política de grupo de segurança do Firewall Manager depois de criar pelo menos um recurso na VPC que esteja dentro do escopo da política.

  • Quando você desabilita VPCs compartilhadas em uma política que tinha VPCs compartilhadas habilitadas, nas VPCs compartilhadas, o Firewall Manager exclui os grupos de segurança de réplica que não estão associados a nenhum recurso. O Firewall Manager mantém os grupos de segurança de réplica restantes no lugar, mas para de gerenciá-los. A remoção desses grupos de segurança restantes requer gerenciamento manual em cada instância da VPC compartilhada.

Grupos de segurança primários

Para cada política de grupo de segurança comum, você AWS Firewall Manager fornece um ou mais grupos de segurança primários:

  • Os grupos de segurança primários devem ser criados pela conta de administrador do Firewall Manager e podem residir em qualquer instância da Amazon VPC na conta.

  • Você gerencia seus grupos de segurança primários por meio da Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Para obter mais informações, consulte Trabalhar com grupos de segurança no Guia do usuário da Amazon VPC.

  • Você pode nomear um ou mais grupos de segurança como primários para uma política de grupo de segurança do Firewall Manager. Por padrão, o número de grupos de segurança permitidos em uma política é um, mas você pode enviar uma solicitação para aumentá-lo. Para mais informações, consulte AWS Firewall Manager cotas.

Configurações de regras de política

Você pode escolher um ou mais dos seguintes comportamentos de controle de alteração para os grupos de segurança e recursos de sua política de grupo de segurança comum:

  • Identifique e relate quaisquer alterações feitas pelos usuários locais para grupos de segurança de réplica.

  • Desassocie quaisquer outros grupos de segurança dos AWS recursos que estão dentro do escopo da política.

  • Distribua tags do grupo primário para os grupos de segurança da réplica.

    Importante

    O Firewall Manager não distribuirá tags de sistema adicionadas pelos AWS serviços aos grupos de segurança de réplicas. As tags do sistema começam com o prefixo aws:. Além disso, o Firewall Manager não atualizará as tags dos grupos de segurança existentes nem criará novos grupos de segurança se a política tiver tags que entrem em conflito com a política de tags da organização. Para obter informações sobre políticas de tags, consulte Políticas de tags no Guia AWS Organizations do usuário.

  • Distribua referências do grupo de segurança do grupo primário para os grupos de segurança de réplica.

    Isso permite que você estabeleça facilmente regras comuns de referência de grupo de segurança em todos os recursos do escopo para instâncias associadas à VPC do grupo de segurança especificado. Quando você ativa essa opção, o Firewall Manager só propaga as referências do grupo de segurança se os grupos de segurança fizerem referência a grupos de segurança pares na Amazon Virtual Private Cloud. Se os grupos de segurança de réplica não referenciarem corretamente o grupo de segurança de mesmo nível, o Firewall Manager marcará esses grupos de segurança replicados como não compatíveis. Para obter informações sobre como referenciar grupos de segurança de mesmo nível na Amazon VPC, consulte Atualizar seus grupos de segurança para referenciar grupos de segurança de mesmo nível no Guia de emparelhamento da Amazon VPC.

    Se você não habilitar essa opção, o Firewall Manager não propagará referências de grupos de segurança para os grupos de segurança de réplica. Para obter informações sobre emparelhamento de VPC na Amazon VPC, consulte o Guia de emparelhamento de VPC da Amazon.

Criação e gerenciamento de políticas

Quando você cria sua política de grupo de segurança comum, o Firewall Manager replica os grupos de segurança primários para cada instância da Amazon VPC dentro do escopo da política e associa os grupos de segurança replicados a contas e recursos que estão no escopo da política. Quando você modifica um grupo de segurança primário, o Firewall Manager propaga a alteração para as réplicas.

Ao excluir uma política de grupo de segurança comum, você pode escolher se deseja limpar os recursos criados pela política. Para grupos de segurança comuns do Firewall Manager, esses recursos são os grupos de segurança de réplica. Escolha a opção de limpeza, a menos que você queira gerenciar manualmente cada réplica individual após a política ser excluída. Para a maioria das situações, escolher a opção de limpeza é a abordagem mais simples.

Como as réplicas são gerenciadas

Os grupos de segurança de réplica nas instâncias da Amazon VPC são gerenciados como outros grupos de segurança da Amazon VPC. Para obter mais informações, consulte Grupos de segurança para sua VPC no Guia do usuário da Amazon VPC.

Políticas de grupo de segurança de auditoria de conteúdo

Use políticas de grupo de segurança de auditoria de AWS Firewall Manager conteúdo para auditar e aplicar ações de política às regras que estão em uso nos grupos de segurança da sua organização. As políticas de grupo de segurança de auditoria de conteúdo se aplicam a todos os grupos de segurança criados pelo cliente em uso na sua AWS organização, de acordo com o escopo definido na política.

Para obter orientação sobre como criar uma política de grupo de segurança de auditoria de conteúdo usando o console, consulte Criar uma política de grupo de segurança de auditoria de conteúdo.

Tipo de recurso do escopo da política

Você pode aplicar políticas de grupo de segurança de auditoria de conteúdo aos seguintes tipos de recursos:

  • Instância do Amazon Elastic Compute Cloud (Amazon EC2)

  • Interface de rede elástica

  • Grupo de segurança da Amazon VPC

Os grupos de segurança serão considerados no escopo da política se estiverem explicitamente no escopo ou se estiverem associados a recursos que estão no escopo.

Opções de regras de política

Você pode usar regras de política gerenciadas ou regras de política personalizadas para cada política de auditoria de conteúdo, mas não ambas.

  • Regras de políticas gerenciadas: em uma política com regras gerenciadas, você pode usar listas de aplicativos e protocolos para controlar quais regras o Firewall Manager audita e marca como compatíveis ou não compatíveis. Você pode usar listas gerenciadas pelo Firewall Manager. Você também pode criar e usar suas próprias listas de aplicativos e protocolos. Para obter informações sobre esses tipos de listas e suas opções de gerenciamento para listas personalizadas, consulte Listas gerenciadas.

  • Regras de política personalizadas: em uma política com regras de política personalizadas, você especifica um grupo de segurança existente como o grupo de segurança de auditoria para sua política. Você pode usar as regras do grupo de segurança de auditoria como um modelo que define as regras que o Firewall Manager audita e marca como compatíveis ou não compatíveis.

Grupos de segurança de auditoria

Você deve criar grupos de segurança de auditoria usando sua conta de administrador do Firewall Manager antes de poder usá-los em sua política. Você pode gerenciar grupos de segurança por meio da Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Para obter mais informações, consulte Trabalhar com grupos de segurança no Guia do usuário da Amazon VPC.

Um grupo de segurança que você usa para uma política de grupo de segurança de auditoria de conteúdo é usado pelo Firewall Manager apenas como referência de comparação para os grupos de segurança que estão no escopo da política. O Firewall Manager não o associa a nenhum recurso em sua organização.

A maneira como você define as regras no grupo de segurança de auditoria depende de sua escolha nas configurações de regras de política:

  • Regras de política gerenciadas: para configurações de regras de política gerenciadas, você usa um grupo de segurança de auditoria para substituir outras configurações na política, para permitir ou negar explicitamente regras que, de outra forma, poderiam ter outro resultado de conformidade.

    • Se você optar por sempre permitir as regras definidas no grupo de segurança de auditoria, qualquer regra que corresponda a uma definida no grupo de segurança de auditoria será considerada em conformidade com a política, independentemente das outras configurações de política.

    • Se você optar por sempre negar as regras definidas no grupo de segurança de auditoria, qualquer regra que corresponda a uma definida no grupo de segurança de auditoria será considerada em não conformidade com a política, independentemente das outras configurações de política.

  • Regras de política personalizadas: para configurações de regras de política personalizadas, o grupo de segurança de auditoria fornece o exemplo do que é aceitável ou não aceitável nas regras de grupo de segurança dentro do escopo:

    • Se você optar por permitir o uso das regras, todos os grupos de segurança no escopo deverão ter somente regras que estejam dentro do intervalo permitido das regras do grupo de segurança de auditoria da política. Nesse caso, as regras do grupo de segurança da política fornecem o exemplo do que é aceitável fazer.

    • Se você optar por negar o uso das regras, todos os grupos de segurança no escopo deverão ter somente regras que não estejam dentro do intervalo permitido das regras do grupo de segurança de auditoria da política. Nesse caso, o grupo de segurança da política fornece o exemplo do que não é aceitável fazer.

Criação e gerenciamento de políticas

Quando você cria uma política de grupo de segurança de auditoria, precisa ter a correção automática desativada. A prática recomendada é rever os efeitos da criação de políticas antes de habilitar a correção automática. Depois de analisar os efeitos esperados, você pode editar a política e habilitar a correção automática. Quando a correção automática está habilitada, o Firewall Manager atualiza ou remove regras que não são compatíveis em grupos de segurança no escopo.

Grupos de segurança afetados por uma política de grupo de segurança de auditoria

Todos os grupos de segurança em sua organização que são criados pelo cliente estão qualificados para estar no escopo de uma política de grupo de segurança de auditoria.

Os grupos de segurança de réplica não são criados pelo cliente e, portanto, não são qualificados para estar diretamente no escopo de uma política de grupo de segurança de auditoria. No entanto, eles podem ser atualizados como resultado das atividades de correção automática da política. O grupo de segurança primário de uma política de grupo de segurança comum é criado pelo cliente e pode estar no escopo de uma política de grupo de segurança de auditoria. Se uma política de grupo de segurança de auditoria fizer alterações em um grupo de segurança primário, o Firewall Manager propagará automaticamente essas alterações para as réplicas.

Políticas de grupo de segurança de auditoria de uso

Use políticas de grupo de segurança de auditoria de AWS Firewall Manager uso para monitorar sua organização em busca de grupos de segurança redundantes e não utilizados e, opcionalmente, realizar a limpeza. Quando você habilita a correção automática dessa política, o Firewall Manager faz o seguinte:

  1. Consolida grupos de segurança redundantes, se você tiver escolhido essa opção.

  2. Remove grupos de segurança não utilizados, se você tiver escolhido essa opção.

Você pode aplicar políticas de grupo de segurança de auditoria de uso ao seguinte tipo de recurso:

  • Grupo de segurança da Amazon VPC

Para obter orientação sobre como criar uma política de grupo de segurança de auditoria de uso usando o console, consulte Criar uma política de grupo de segurança de auditoria de uso.

Como o Firewall Manager detecta e corrige grupos de segurança redundantes

Para que os grupos de segurança sejam considerados redundantes, eles devem ter exatamente as mesmas regras definidas e estar na mesma instância da Amazon VPC.

Para corrigir um conjunto de grupo de segurança redundante, o Firewall Manager seleciona um dos grupos de segurança do conjunto para manter e o associa a todos os recursos associados aos outros grupos de segurança do conjunto. Em seguida, o Firewall Manager desassocia os outros grupos de segurança dos recursos aos quais eles estavam associados, o que os torna inutilizados.

nota

Se você também optou por remover grupos de segurança não utilizados, o Firewall Manager fará isso em seguida. Isso pode resultar na remoção dos grupos de segurança que estão no conjunto redundante.

Como o Firewall Manager detecta e corrige grupos de segurança não utilizados

O Firewall Manager considera que um grupo de segurança não é usado se ambas as afirmações a seguir forem verdadeiras:

  • O grupo de segurança não é usado por nenhuma instância do Amazon EC2 ou pela interface de rede elástica do Amazon EC2.

  • O Firewall Manager não recebeu um item de configuração dentro do número de minutos especificado no período de tempo da regra de política.

O período de tempo da regra de política tem uma configuração padrão de zero minutos, mas você pode aumentar o tempo até 365 dias (525.600 minutos) para ter tempo de associar novos grupos de segurança aos recursos.

Importante

Se você especificar um número de minutos diferente do valor padrão de zero, deverá habilitar relacionamentos indiretos em AWS Config. Caso contrário, suas políticas de grupo de segurança de auditoria de uso não funcionarão conforme o esperado. Para obter informações sobre relacionamentos indiretos em AWS Config, consulte Relacionamentos indiretos AWS Config no Guia do AWS Config desenvolvedor.

O Firewall Manager corrige grupos de segurança não utilizados excluindo-os da sua conta de acordo com suas configurações de regras, se possível. Se o Firewall Manager não conseguir excluir um grupo de segurança, ele o marcará como não compatível com a política. O Firewall Manager não pode excluir um grupo de segurança referenciado por outro grupo de segurança.

O tempo da remediação varia de acordo com o uso da configuração padrão do período de tempo ou de uma configuração personalizada:

  • Período de tempo definido como zero, o padrão — Com essa configuração, um grupo de segurança é considerado não utilizado assim que não está sendo usado por uma instância do Amazon EC2 ou por uma interface de rede elástica.

    Para essa configuração de período zero, o Firewall Manager corrige o grupo de segurança imediatamente.

  • Período de tempo maior que zero — Com essa configuração, um grupo de segurança é considerado não utilizado quando não está sendo usado por uma instância do Amazon EC2 ou por uma interface de rede elástica e o Firewall Manager não recebeu um item de configuração dentro do número especificado de minutos.

    Para a configuração de período de tempo diferente de zero, o Firewall Manager corrige o grupo de segurança depois que ele permanece no estado não utilizado por 24 horas.

Especificação de conta padrão

Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, o Firewall Manager escolhe Excluir as contas especificadas e incluir todas as outras automaticamente. O serviço coloca a conta de administrador do Firewall Manager na lista a ser excluída. Esta é a abordagem recomendada e permite que você gerencie manualmente os grupos de segurança que pertencem à conta de administrador do Firewall Manager.

Práticas recomendadas para políticas de grupo de segurança

Esta seção lista recomendações para gerenciar grupos de segurança usando o AWS Firewall Manager.

Excluir a conta de administrador do Firewall Manager

Ao definir o escopo da política, exclua a conta de administrador do Firewall Manager. Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, essa é a opção padrão.

Comece com a correção automática desabilitada

Para políticas de grupo de segurança de auditoria de conteúdo ou uso, comece com a correção automática desativada. Revise as informações de detalhes da política para determinar os efeitos que a correção automática teria. Quando você estiver satisfeito com as alterações, edite a política para habilitar a correção automática.

Evite conflitos se você também usar fontes externas para gerenciar grupos de segurança

Se você usa uma ferramenta ou serviço diferente do Firewall Manager para gerenciar os grupos de segurança, tenha cuidado para evitar conflitos entre as configurações do Firewall Manager e da sua fonte externa. Se você usa correção automática e as configurações são conflitantes, pode criar um ciclo de correções conflitantes que consomem recursos dos dois lados.

Por exemplo, digamos que você configure outro serviço para manter um grupo de segurança de um conjunto de recursos da AWS e configure uma política do Firewall Manager para manter um grupo de segurança diferente para alguns ou todos os mesmos recursos. Se você configurar um dos lados para não permitir que qualquer outro grupo de segurança seja associado aos recursos no escopo, esse lado removerá a associação de grupo de segurança que é mantida pelo outro lado. Se os dois lados estiverem configurados dessa maneira, você poderá acabar com um ciclo de dissociações e associações conflitantes.

Além disso, por exemplo, você pode criar uma política de auditoria do Firewall Manager para impor uma configuração de grupo de segurança que conflita com a configuração do grupo de segurança do outro serviço. A correção aplicada pela política de auditoria do Firewall Manager pode atualizar ou excluir esse grupo de segurança, deixando-o fora de conformidade para o outro serviço. Se o outro serviço estiver configurado para monitorar e corrigir automaticamente quaisquer problemas encontrados, ele recriará ou atualizará o grupo de segurança, deixando-o novamente fora de conformidade com a política de auditoria do Firewall Manager. Se a política de auditoria do Firewall Manager estiver configurada para a correção automática, ela atualizará ou excluirá novamente o grupo de segurança externo e assim por diante.

Para evitar conflitos como esses, crie configurações que são mutuamente exclusivas entre o Firewall Manager e quaisquer fontes externas.

Você pode usar a marcação de tags para excluir os grupos de segurança externos da correção automática das suas políticas do Firewall Manager. Para fazer isso, adicione uma ou mais tags aos grupos de segurança ou outros recursos que são gerenciados pela origem externa. Depois, ao definir o escopo da política do Firewall Manager, na especificação dos recursos, exclua aqueles que tenham a tag ou as tags adicionadas.

Da mesma forma, na sua ferramenta ou serviço externo, exclua os grupos de segurança que o Firewall Manager gerencia de qualquer atividade de gerenciamento ou auditoria. Não importe os recursos do Firewall Manager ou use tags específicas do Firewall Manager para excluí-los do gerenciamento externo.

Melhores práticas para políticas de grupo de segurança de auditoria de uso

Siga essas diretrizes ao usar políticas de grupo de segurança de auditoria de uso.

  • Evite fazer várias alterações no status de associação de um grupo de segurança em um curto espaço de tempo, como em uma janela de 15 minutos. Isso pode fazer com que o Firewall Manager perca alguns ou todos os eventos correspondentes. Por exemplo, não associe e desassocie rapidamente um grupo de segurança com uma interface de rede elástica.

Advertências e limitações da política de grupo de segurança

Esta seção lista as advertências e limitações do uso das políticas de grupo de segurança do Firewall Manager:

  • A atualização de grupos de segurança para interfaces de rede elástica do Amazon EC2 que foram criadas usando o tipo de serviço Fargate não é suportada. No entanto, você pode atualizar grupos de segurança para interfaces de rede elástica do Amazon ECS com o tipo de serviço Amazon EC2.

  • O Firewall Manager não oferece suporte a grupos de segurança para interfaces de rede elástica do Amazon EC2 que foram criadas pelo Amazon Relational Database Service.

  • A atualização de interfaces de rede elástica do Amazon ECS só é possível para serviços do Amazon ECS que usam o controlador de implantação de atualização contínua (Amazon ECS). Para outros controladores de implantação do Amazon ECS, como CODE_DEPLOY ou controladores externos, o Amazon ECS atualmente não pode atualizar as interfaces de rede elástica.

  • Com grupos de segurança para interfaces de rede elástica do Amazon EC2, as alterações em um grupo de segurança não estão imediatamente visíveis para o Firewall Manager. O Firewall Manager geralmente detecta alterações em algumas horas, mas a detecção pode demorar até seis horas.

  • O Firewall Manager não oferece suporte à atualização de grupos de segurança em interfaces de rede elástica para Network Load Balancers.

  • Em políticas comuns de grupo de segurança, se uma VPC compartilhada depois tiver o compartilhamento cancelado com uma conta, o Firewall Manager não excluirá os grupos de segurança de réplica na conta.

  • Com as políticas de grupo de segurança de auditoria de uso, se você criar várias políticas com uma configuração de tempo de atraso personalizada, todas com o mesmo escopo, a primeira política com constatações de conformidade será a política que relata as descobertas.

Casos de uso da política de grupo de segurança

Você pode usar políticas AWS Firewall Manager comuns de grupos de segurança para automatizar a configuração do firewall do host para comunicação entre instâncias da Amazon VPC. Esta seção lista arquiteturas padrão da Amazon VPC e descreve como proteger cada uma usando políticas de grupo de segurança comuns do Firewall Manager. Essas políticas de grupo de segurança podem ajudá-lo a aplicar um conjunto unificado de regras para selecionar recursos em contas diferentes e evitar configurações por conta no Amazon Elastic Compute Cloud e na Amazon VPC.

Com políticas de grupo de segurança comuns do Firewall Manager, você pode marcar apenas as interfaces de rede elástica do EC2 necessárias para comunicação com instâncias em outra Amazon VPC. As outras instâncias na mesma Amazon VPC são mais seguras e isoladas.

Caso de uso: monitoramento e controle de solicitações para Application Load Balancers e Classic Load Balancers

Você pode usar uma política de grupo de segurança comum do Firewall Manager para definir quais solicitações seus balanceadores de carga dentro do escopo devem atender. Você pode configurar isso por meio do console do Firewall Manager. Somente solicitações que estejam em conformidade com as regras de entrada do grupo de segurança podem alcançar seus balanceadores de carga, e os balanceadores de carga distribuirão somente solicitações que atendam às regras de saída.

Caso de uso: Amazon VPC pública, com acesso à Internet

Você pode usar uma política de grupo de segurança comum do Firewall Manager para proteger uma Amazon VPC pública, por exemplo, para permitir apenas a porta de entrada 443. Isso é o mesmo que permitir apenas tráfego HTTPS de entrada para uma VPC pública. Você pode marcar recursos públicos dentro da VPC (por exemplo, como “PublicVPC”) e definir o escopo da política do Firewall Manager como apenas recursos com essa tag. O Firewall Manager aplica automaticamente a política a esses recursos.

Caso de uso: instâncias da Amazon VPC públicas e privadas

Você pode usar a mesma política de grupo de segurança comum para recursos públicos, conforme recomendado no caso de uso anterior para instâncias da Amazon VPC públicas com acesso à Internet. Você pode usar uma segunda política de grupo de segurança comum para limitar a comunicação entre os recursos públicos e os privados. Marque os recursos nas instâncias públicas e privadas da Amazon VPC com algo como "PublicPrivate" para aplicar a segunda política a eles. Você pode usar uma terceira política para definir a comunicação permitida entre os recursos privados e outras instâncias da Amazon VPC corporativas ou privadas. Para essa política, você pode usar outra tag de identificação nos recursos privados.

Caso de uso: instâncias da Amazon VPC de hub e spoke

Você pode usar uma política de grupo de segurança comum para definir comunicações entre a instância hub da Amazon VPC e as instâncias spoke da Amazon VPC. Você pode usar uma segunda política para definir a comunicação de cada instância spoke da Amazon VPC para a instância hub da Amazon VPC.

Caso de uso: interface de rede padrão para instâncias Amazon EC2

Você pode usar uma política de grupo de segurança comum para permitir apenas comunicações padrão, por exemplo, serviços internos de atualização SSH e Patch/OS, e para impedir outras comunicações inseguras.

Caso de uso: identificar recursos com permissões abertas

Você pode usar uma política de grupo de segurança de auditoria para identificar todos os recursos em sua organização que têm permissão para se comunicar com endereços IP públicos ou que têm endereços IP que pertencem a fornecedores de terceiros.