Como usar políticas de grupos de segurança no Firewall Manager para gerenciar grupos de segurança da Amazon VPC - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

Como usar políticas de grupos de segurança no Firewall Manager para gerenciar grupos de segurança da Amazon VPC

Essa página explica como usar políticas de grupos de segurança do AWS Firewall Manager para gerenciar grupos de segurança da Amazon Virtual Private Cloud para sua organização no AWS Organizations. Você pode aplicar políticas de grupo de segurança controladas centralmente a toda a organização ou a um subconjunto selecionado de suas contas e recursos. Você também pode monitorar e gerenciar as políticas de grupo de segurança que estão em uso na organização com políticas de grupo de segurança de auditoria e uso.

O Firewall Manager mantém continuamente suas políticas e as aplica a contas e recursos à medida que são adicionados ou atualizados em toda a organização. Para obter informações sobre o AWS Organizations, consulte o Guia do usuário do AWS Organizations.

Para obter mais informações sobre como modificar um grupo de segurança da Amazon Virtual Private Cloud, consulte Grupos de segurança para a sua VPC no Guia do usuário da Amazon VPC.

Você pode usar políticas de grupo de segurança do Firewall Manager para fazer o seguinte em toda a sua organização da AWS:

  • Aplique grupos de segurança comuns a contas e recursos especificados.

  • Audite as regras de grupo de segurança, para localizar e corrigir regras não compatíveis.

  • Audite o uso de grupos de segurança, para limpar grupos de segurança não utilizados e redundantes.

Esta seção aborda como as políticas de grupos de segurança do Firewall Manager funcionam e fornece orientações para usá-las. Para obter os procedimentos de criação de políticas de grupo de segurança, consulte Criar uma política do AWS Firewall Manager.

Práticas recomendadas para políticas de grupo de segurança

Esta seção lista recomendações para gerenciar grupos de segurança usando o AWS Firewall Manager.

Excluir a conta de administrador do Firewall Manager

Ao definir o escopo da política, exclua a conta de administrador do Firewall Manager. Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, essa é a opção padrão.

Comece com a correção automática desabilitada

Para políticas de grupo de segurança de auditoria de conteúdo ou uso, comece com a correção automática desativada. Revise as informações de detalhes da política para determinar os efeitos que a correção automática teria. Quando você estiver satisfeito com as alterações, edite a política para habilitar a correção automática.

Evite conflitos se você também usar fontes externas para gerenciar grupos de segurança

Se você usa uma ferramenta ou serviço diferente do Firewall Manager para gerenciar os grupos de segurança, tenha cuidado para evitar conflitos entre as configurações do Firewall Manager e da sua fonte externa. Se você usa correção automática e as configurações são conflitantes, pode criar um ciclo de correções conflitantes que consomem recursos dos dois lados.

Por exemplo, digamos que você configure outro serviço para manter um grupo de segurança de um conjunto de recursos da AWS e configure uma política do Firewall Manager para manter um grupo de segurança diferente para alguns ou todos os mesmos recursos. Se você configurar um dos lados para não permitir que qualquer outro grupo de segurança seja associado aos recursos no escopo, esse lado removerá a associação de grupo de segurança que é mantida pelo outro lado. Se os dois lados estiverem configurados dessa maneira, você poderá acabar com um ciclo de dissociações e associações conflitantes.

Além disso, por exemplo, você pode criar uma política de auditoria do Firewall Manager para impor uma configuração de grupo de segurança que conflita com a configuração do grupo de segurança do outro serviço. A correção aplicada pela política de auditoria do Firewall Manager pode atualizar ou excluir esse grupo de segurança, deixando-o fora de conformidade para o outro serviço. Se o outro serviço estiver configurado para monitorar e corrigir automaticamente quaisquer problemas encontrados, ele recriará ou atualizará o grupo de segurança, deixando-o novamente fora de conformidade com a política de auditoria do Firewall Manager. Se a política de auditoria do Firewall Manager estiver configurada para a correção automática, ela atualizará ou excluirá novamente o grupo de segurança externo e assim por diante.

Para evitar conflitos como esses, crie configurações que são mutuamente exclusivas entre o Firewall Manager e quaisquer fontes externas.

Você pode usar a marcação de tags para excluir os grupos de segurança externos da correção automática das suas políticas do Firewall Manager. Para fazer isso, adicione uma ou mais tags aos grupos de segurança ou outros recursos que são gerenciados pela origem externa. Depois, ao definir o escopo da política do Firewall Manager, na especificação dos recursos, exclua aqueles que tenham a tag ou as tags adicionadas.

Da mesma forma, na sua ferramenta ou serviço externo, exclua os grupos de segurança que o Firewall Manager gerencia de qualquer atividade de gerenciamento ou auditoria. Não importe os recursos do Firewall Manager ou use tags específicas do Firewall Manager para excluí-los do gerenciamento externo.

Práticas recomendadas para políticas de auditoria de uso de grupos de segurança

Siga essas diretrizes ao usar políticas de grupos de segurança de auditoria de uso.

  • Evite fazer várias alterações no status de associação de um grupo de segurança em um curto período, como em uma janela de 15 minutos. Isso pode fazer com que o Firewall Manager perca alguns ou todos os eventos correspondentes. Por exemplo, não associe e desassocie rapidamente um grupo de segurança com uma interface de rede elástica.

Alertas e limitações da política do grupo de segurança

Esta seção lista as advertências e limitações do uso das políticas de grupo de segurança do Firewall Manager.

Tipo de recurso: instância do Amazon EC2

Esta seção lista as advertências e limitações para proteção de instâncias do Amazon EC2 com políticas de grupos de segurança do Firewall Manager.

  • Com grupos de segurança que protegem as interfaces de rede elástica (ENIs) do Amazon EC2, as alterações em um grupo de segurança não estão imediatamente visíveis para o Firewall Manager. O Firewall Manager geralmente detecta alterações em algumas horas, mas a detecção pode demorar até seis horas.

  • O Firewall Manager não é compatível com grupos de segurança para ENIs do Amazon EC2 que foram criadas pelo serviço de banco de dados relacional da Amazon.

  • O Firewall Manager não é compatível com a atualização de grupos de segurança para ENIs do Amazon EC2 que foram criadas usando o tipo de serviço Fargate. No entanto, você pode atualizar grupos de segurança para ENIs do Amazon ECS com o tipo de serviço Amazon EC2.

  • O Firewall Manager não é compatível com a atualização de grupos de segurança para ENIs do Amazon EC2 gerenciados pelo solicitante, porque o Firewall Manager não tem permissão para modificá-los.

  • Para políticas comuns de grupos de segurança, essas ressalvas dizem respeito à interação entre o número de interfaces de rede elastica (ENIs) anexadas à instância do EC2 e a opção de política que especifica se deve corrigir somente as instâncias do EC2 sem anexos adicionadas ou se deve corrigir todas as instâncias. Cada instância do EC2 tem uma ENI primária padrão, e você pode anexar mais ENIs. Na API, a configuração da opção de política para essa escolha é ApplyToAllEC2InstanceENIs.

    Se uma instância do EC2 dentro do escopo tiver ENIs adicionais anexadas e a política estiver configurada para incluir somente instâncias do EC2 com apenas a ENI primária, o Firewall Manager não tentará nenhuma correção para a instância do EC2. Além disso, se a instância sair do escopo da política, o Firewall Manager não tentará desassociar nenhuma associação de grupos de segurança que possa ter estabelecido para a instância.

    Nos seguintes casos extremos, durante a limpeza de recursos, o Firewall Manager pode deixar as associações replicadas de grupos de segurança intactas, independentemente das especificações de limpeza de recursos da política:

    • Quando uma instância com ENIs adicionais foi corrigida anteriormente por uma política configurada para incluir todas as instâncias do EC2 e, em seguida, a instância saiu do escopo da política ou a configuração da política foi alterada para incluir somente instâncias sem ENIs adicionais.

    • Quando uma instância sem ENIs adicionais foi corrigida por uma política que foi configurada para incluir somente instâncias sem ENIs adicionais, outra ENI foi anexada à instância e, em seguida, a instância saiu do escopo da política.

Outros alertas e limitações

A seguir estão alguns alertas e limitações para as políticas de grupo de segurança do Firewall Manager.

  • A atualização de ENIs do Amazon ECS só é possível para serviços do Amazon ECS que usam o controlador de implantação de atualização contínua (Amazon ECS). Para outros controladores de implantação do Amazon ECS, como CODE_DEPLOY ou controladores externos, o Firewall Manager atualmente não pode atualizar as ENIs.

  • O Firewall Manager não é compatível com a atualização de grupos de segurança em ENIs para Network Load Balancers.

  • Em políticas comuns de grupo de segurança, se uma VPC compartilhada depois tiver o compartilhamento cancelado com uma conta, o Firewall Manager não excluirá os grupos de segurança de réplica na conta.

  • Com as políticas de grupo de segurança de auditoria de uso, se você criar várias políticas com uma configuração de tempo de atraso personalizada, todas com o mesmo escopo, a primeira política com constatações de conformidade será a política que relata as descobertas.

Casos de uso da política de grupo de segurança

Você pode usar políticas de grupo de segurança comuns do AWS Firewall Manager a fim de automatizar a configuração do firewall do host para a comunicação entre as instâncias da Amazon VPC. Esta seção lista arquiteturas padrão da Amazon VPC e descreve como proteger cada uma usando políticas de grupo de segurança comuns do Firewall Manager. Essas políticas de grupo de segurança podem ajudá-lo a aplicar um conjunto unificado de regras para selecionar recursos em contas diferentes e evitar configurações por conta no Amazon Elastic Compute Cloud e na Amazon VPC.

Com políticas de grupo de segurança comuns do Firewall Manager, você pode marcar apenas as interfaces de rede elástica do EC2 necessárias para comunicação com instâncias em outra Amazon VPC. As outras instâncias na mesma Amazon VPC são mais seguras e isoladas.

Caso de uso: monitoramento e controle de solicitações para Application Load Balancers e Classic Load Balancers

Você pode usar uma política de grupo de segurança comum do Firewall Manager para definir quais solicitações seus balanceadores de carga dentro do escopo devem atender. Você pode configurar isso por meio do console do Firewall Manager. Somente solicitações que estejam em conformidade com as regras de entrada do grupo de segurança podem alcançar seus balanceadores de carga, e os balanceadores de carga distribuirão somente solicitações que atendam às regras de saída.

Caso de uso: Amazon VPC pública, com acesso à Internet

Você pode usar uma política de grupo de segurança comum do Firewall Manager para proteger uma Amazon VPC pública, por exemplo, para permitir apenas a porta de entrada 443. Isso é o mesmo que permitir apenas tráfego HTTPS de entrada para uma VPC pública. Você pode marcar recursos públicos dentro da VPC (por exemplo, como “PublicVPC”) e definir o escopo da política do Firewall Manager como apenas recursos com essa tag. O Firewall Manager aplica automaticamente a política a esses recursos.

Caso de uso: instâncias da Amazon VPC públicas e privadas

Você pode usar a mesma política de grupo de segurança comum para recursos públicos, conforme recomendado no caso de uso anterior para instâncias da Amazon VPC públicas com acesso à Internet. Você pode usar uma segunda política de grupo de segurança comum para limitar a comunicação entre os recursos públicos e os privados. Marque os recursos nas instâncias da Amazon VPC públicas e privadas com algo como “PublicPrivate” para aplicar a segunda política a eles. Você pode usar uma terceira política para definir a comunicação permitida entre os recursos privados e outras instâncias da Amazon VPC corporativas ou privadas. Para essa política, você pode usar outra tag de identificação nos recursos privados.

Caso de uso: instâncias da Amazon VPC de hub e spoke

Você pode usar uma política de grupo de segurança comum para definir comunicações entre a instância hub da Amazon VPC e as instâncias spoke da Amazon VPC. Você pode usar uma segunda política para definir a comunicação de cada instância spoke da Amazon VPC para a instância hub da Amazon VPC.

Caso de uso: interface de rede padrão para instâncias Amazon EC2

Você pode usar uma política de grupo de segurança comum para permitir apenas comunicações padrão, por exemplo, serviços internos de atualização SSH e Patch/OS, e para impedir outras comunicações inseguras.

Caso de uso: identificar recursos com permissões abertas

Você pode usar uma política de grupo de segurança de auditoria para identificar todos os recursos em sua organização que têm permissão para se comunicar com endereços IP públicos ou que têm endereços IP que pertencem a fornecedores de terceiros.