AWS WAF políticas - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Grupos de regras em AWS WAF políticasConfigurando o registro em log para uma política AWS WAF

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS WAF políticas

Em uma AWS WAF política do Firewall Manager, você especifica os grupos de AWS WAF regras que deseja usar em seus recursos. Quando você aplica a política, o Firewall Manager cria web ACLs em contas dentro do escopo da política, dependendo de como você configura o gerenciamento da web ACLs em sua política. Na web ACLs criada pela política, gerentes de contas individuais podem adicionar regras e grupos de regras, além dos grupos de regras que você definiu por meio do Firewall Manager.

Como o Firewall Manager gerencia a web ACLs

O Firewall Manager cria a web ACLs com base em como você configura a ACLs configuração Gerenciar a Web não associada em sua política ou a optimizeUnassociatedWebACL configuração no tipo de SecurityServicePolicyDatadados noAPI.

Se você habilitar o gerenciamento da web não associadaACLs, o Firewall Manager ACLs criará a web ACLs nas contas dentro do escopo da política somente se a web for usada por pelo menos um recurso. Se, a qualquer momento, uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma web ACL na conta se pelo menos um recurso usar a webACL. Quando você ativa o gerenciamento da web não associadaACLs, o Firewall Manager executa uma limpeza única da web ACLs não associada em sua conta. Durante a limpeza, o Firewall Manager ignora qualquer site ACLs que você tenha modificado após sua criação, por exemplo, se você adicionou um grupo de regras à web ACL ou modificou suas configurações. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política após o Firewall Manager criar uma webACL, o Firewall Manager desassociará o recurso da webACL, mas não limpará a web não associada. ACL O Firewall Manager só limpa a web não associada ACLs quando você ativa pela primeira vez o gerenciamento da web não associada ACLs em uma política.

Se você não habilitar essa opção, o Firewall Manager não gerenciará a web não associadaACLs, e o Firewall Manager criará automaticamente uma web ACL em cada conta que esteja dentro do escopo da política.

Amostragem e métricas CloudWatch

AWS Firewall Manager permite a amostragem e CloudWatch as métricas da Amazon para a web ACLs e grupos de regras que ela cria para uma AWS WAF política.

Estrutura de ACL nomenclatura da Web

Quando o Firewall Manager cria uma web ACL para a política, ele nomeia a web ACLFMManagedWebACLV2-policy name-timestamp. O carimbo de data/hora está em milissegundosUTC. Por exemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

nota

Se um recurso configurado com DDoSmitigação automática avançada da camada de aplicação entrar no escopo de uma AWS WAF política, o Firewall Manager não conseguirá associar a web ACL criada pela AWS WAF política ao recurso.

Grupos de regras em AWS WAF políticas

A web ACLs gerenciada pelas AWS WAF políticas do Firewall Manager contém três conjuntos de regras. Esses conjuntos fornecem um nível mais alto de priorização para as regras e grupos de regras na web: ACL

  • Primeiros grupos de regras, definidos por você na AWS WAF política do Firewall Manager. AWS WAF avalia esses grupos de regras primeiro.

  • Regras e grupos de regras definidos pelos gerentes de contas na webACLs. AWS WAF avalia todas as regras ou grupos de regras gerenciados pela conta em seguida.

  • Últimos grupos de regras, definidos por você na AWS WAF política do Firewall Manager. AWS WAF avalia esses grupos de regras por último.

Dentro de cada um desses conjuntos de regras, AWS WAF avalia as regras e os grupos de regras normalmente, de acordo com suas configurações de prioridade dentro do conjunto.

Nos primeiros e últimos conjuntos de grupos de regras da política, é possível adicionar apenas grupos de regras. Você pode usar grupos de regras gerenciados, que as Regras AWS Gerenciadas e AWS Marketplace os vendedores criam e mantêm para você. Também é possível gerenciar e usar seus próprios grupos de regras. Para obter mais informações sobre todas essas ações, consulte O uso do AWS WAF grupos de regras.

Se quiser usar seus próprios grupos de regras, crie esses grupos antes de criar a política do Firewall Manager do AWS WAF . Para obter orientações, consulte Gerenciar seus próprios grupos de regras. Para usar uma regra personalizada individual, é necessário definir seu próprio grupo de regras, definir a regra nele e, depois, usar o grupo de regras na política.

O primeiro e o último grupos de AWS WAF regras que você gerencia por meio do Firewall Manager têm nomes que começam com PREFMManaged- ouPOSTFMManaged-, respectivamente, seguidos pelo nome da política do Firewall Manager e pelo carimbo de data/hora da criação do grupo de regras, em UTC milissegundos. Por exemplo, PREFMManaged-MyWAFPolicyName-1621880555123.

Para obter informações sobre como AWS WAF avalia solicitações da web, consulteUsando a web ACLs com regras e grupos de regras em AWS WAF.

Para obter o procedimento para criar uma AWS WAF política do Firewall Manager, consulteCriação de uma AWS Firewall Manager política para AWS WAF.

O Firewall Manager permite a amostragem e CloudWatch as métricas da Amazon para os grupos de regras que você define para a AWS WAF política.

Proprietários de contas individuais têm controle total sobre as métricas e a configuração de amostragem de qualquer regra ou grupo de regras que eles adicionem à web ACLs gerenciada da política.

Configurando o registro em log para uma política AWS WAF

Você pode ativar o registro centralizado de suas AWS WAF políticas para obter informações detalhadas sobre o tráfego que é analisado pela sua web ACL em sua organização. As informações nos registros incluem a hora em que AWS WAF recebeu a solicitação do seu AWS recurso, informações detalhadas sobre a solicitação e a ação da regra de que cada solicitação correspondeu de todas as contas dentro do escopo. Você pode enviar seus registros para um stream de dados do Amazon Data Firehose ou para um bucket do Amazon Simple Storage Service (S3). Para obter informações sobre AWS WAF registro, consulte Registro em log AWS WAF ACLtráfego na web o Guia do AWS WAF desenvolvedor.

nota

AWS Firewall Manager suporta essa opção para AWS WAFV2, não para AWS WAF Classic.

Destinos de logs

Esta seção descreve os destinos de registro que você pode escolher para enviar seus registros AWS WAF de políticas. Cada seção fornece orientações para configurar os logs para o tipo de destino e informações sobre qualquer comportamento específico para o tipo de destino. Depois de configurar seu destino de registro, você pode fornecer suas especificações à AWS WAF política do Firewall Manager para começar a fazer login nele.

O Firewall Manager não tem visibilidade das falhas de log depois de criar a configuração de registro em log. É sua responsabilidade verificar se a entrega de logs está funcionando conforme o esperado.

nota

O Firewall Manager não modifica nenhuma configuração de registro em log existente nas contas dos membros da sua organização.

Streams de dados do Amazon Data Firehose

Este tópico fornece informações para enviar seus registros de ACL tráfego da web para um stream de dados do Amazon Data Firehose.

Quando você ativa o registro no Amazon Data Firehose, o Firewall Manager envia registros da web da sua política ACLs para um Amazon Data Firehose onde você configurou um destino de armazenamento. Depois de habilitar o registro, AWS WAF entrega os registros para cada web configuradaACL, por meio do HTTPS endpoint do Kinesis Data Firehose até o destino de armazenamento configurado. Antes de usá-lo, teste seu streaming de entrega para ter certeza de que ele tem throughput suficiente para acomodar os logs da sua organização. Para obter mais informações sobre como criar um Amazon Kinesis Data Firehose e analisar os registros armazenados, consulte O que é o Amazon Data Firehose?

Você deve ter as seguintes permissões para habilitar o registro em log com êxito com um Kinesis:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Quando você configura um destino de registro do Amazon Data Firehose em uma AWS WAF política, o Firewall Manager cria uma web ACL para a política na conta do administrador do Firewall Manager da seguinte forma:

  • O Firewall Manager cria a web ACL na conta de administrador do Firewall Manager, independentemente de a conta estar ou não no escopo da política.

  • A web ACL tem o registro ativado, com um nome de registroFMManagedWebACLV2-Loggingpolicy name-timestamp, em que o timestamp é a UTC hora em que o log foi ativado para a webACL, em milissegundos. Por exemplo, FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. A web não ACL tem grupos de regras nem recursos associados.

  • Você é cobrado pela web de ACL acordo com as diretrizes AWS WAF de preços. Para obter mais informações, consulte Preços do AWS WAF.

  • O Firewall Manager exclui a web ACL quando você exclui a política.

Para obter mais informações sobre funções vinculadas ao serviço e a permissão do iam:CreateServiceLinkedRole, consulte Usando funções vinculadas a serviços para AWS WAF.

Para obter mais informações sobre como criar seu stream de entrega, consulte Creating an Amazon Data Firehose Delivery Stream.

Buckets do Amazon Simple Storage Service

Este tópico fornece informações para enviar seus registros de ACL tráfego da web para um bucket do Amazon S3.

O bucket que você escolher como destino de registro em log deve pertencer a uma conta de administrador do Firewall Manager. Para obter informações sobre os requisitos para criar seu bucket do Amazon S3 para requisitos de registro em log e nomenclatura de buckets, consulte Amazon Simple Storage Service no Guia do desenvolvedor AWS WAF .

Consistência eventual

Quando você faz alterações AWS WAF nas políticas configuradas com um destino de registro do Amazon S3, o Firewall Manager atualiza a política do bucket para adicionar as permissões necessárias para o registro. Ao fazer isso, o Firewall Manager segue os modelos de last-writer-wins semântica e consistência de dados que o Amazon Simple Storage Service segue. Se você fizer simultaneamente várias atualizações de políticas em um destino do Amazon S3 no console do Firewall Manager ou por meio PutPolicyAPIdo, algumas permissões podem não ser salvas. Para obter mais informações sobre modelo de consistência de dados do Amazon S3, consulte Modelo de consistência de dados do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.

Permissões para publicar logs em um bucket do Amazon S3

Configurar o registro de ACL tráfego da web para um bucket do Amazon S3 em AWS WAF uma política requer as seguintes configurações de permissões. O Firewall Manager atribui automaticamente essas permissões ao seu bucket do Amazon S3 quando você configura o Amazon S3 como seu destino de registro em log para dar ao serviço permissão para publicar registros em log no bucket. Se você quiser gerenciar um acesso mais refinado aos seus recursos de registro em log e do Firewall Manager, você mesmo pode definir essas permissões. Para obter informações sobre o gerenciamento de permissões, consulte Gerenciamento de acesso para AWS recursos no Guia IAM do usuário. Para obter informações sobre as políticas AWS WAF gerenciadas, consulteAWS políticas gerenciadas para AWS WAF. 

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-amzn-s3-demo-bucket"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Para evitar problema de “confused deputy” entre serviços, você pode adicionar as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount e as chaves de contexto à política do seu bucket. Para adicionar essas chaves, você pode modificar a política que o Firewall Manager cria para você ao configurar o destino do registro em log ou, se quiser um controle refinado, pode criar sua própria política. Se você adicionar essas condições à sua política de destino de registro em log, o Firewall Manager não validará nem monitorará as proteções de “confused deputy”. Para obter informações gerais sobre o problema do deputado confuso, consulte O problema do deputado confuso no Guia do IAM usuário.

Quando você adiciona a sourceAccount às propriedades sourceArn de adição, isso aumenta o tamanho da política do bucket. Se você estiver adicionando uma longa lista de sourceAccount às propriedades sourceArn de adição, tome cuidado para não exceder a cota de tamanho da política de bucket do Amazon S3.

O exemplo a seguir mostra como evitar o problema de “confused deputy” usando as chaves de contexto de condição globais aws:SourceArn e aws:SourceAccount na política do seu bucket. Substituir member-account-id com a conta IDs dos membros da sua organização.

{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
                  "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id:*",
                  "arn:aws:logs:*:member-account-id:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
                    "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id-1:*",
                  "arn:aws:logs:*:member-account-id-2:*"
               ]
            }
         }
      }
   ]
}
Criptografia no lado do servidor de bucket do Amazon S3

Você pode habilitar a criptografia do lado do servidor do Amazon S3 ou usar uma chave gerenciada pelo AWS Key Management Service cliente em seu bucket do S3. Se você optar por usar a criptografia padrão do Amazon S3 em seu bucket do Amazon S3 AWS WAF para registros, não precisará realizar nenhuma ação especial. No entanto, se você optar por usar uma chave de criptografia fornecida pelo cliente para criptografar seus dados do Amazon S3 em repouso, você deve adicionar a seguinte declaração de permissão à sua política de chaves: AWS Key Management Service 

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Para obter informações sobre o uso de chaves de criptografia fornecidas pelo cliente com o Amazon S3, consulte Uso da criptografia do lado do servidor com chaves fornecidas pelo cliente SSE (-C) no Guia do usuário do Amazon Simple Storage Service.

Habilitar o log

O procedimento a seguir descreve como habilitar o registro em log para uma AWS WAF política no console do Firewall Manager.

Para habilitar o registro em log para uma AWS WAF política

  1. Antes de habilitar o registro em log, você deve configurar seus recursos de destino de registro em log da seguinte forma:

    • Amazon Kinesis Data Streams — Crie um Amazon Data Firehose usando sua conta de administrador do Firewall Manager. Use um nome que comece com o prefixo aws-waf-logs-. Por exemplo, aws-waf-logs-firewall-manager-central. Crie o Data Firehose com uma origem PUT e na região em que você está operando. Se você estiver capturando registros para a Amazon CloudFront, crie a mangueira de incêndio no Leste dos EUA (Norte da Virgínia). Antes de usá-lo, teste seu streaming de entrega para ter certeza de que ele tem throughput suficiente para acomodar os logs da sua organização. Para obter mais informações, consulte Criar um fluxo de entrega do Amazon Data Firehose.

    • Buckets do Amazon Simple Storage Service: crie um bucket do Amazon S3 de acordo com as diretrizes do tópico Amazon Simple Storage Service no Guia do desenvolvedor da AWS WAF . Você também deve configurar seu bucket do Amazon S3 com as permissões listadas em Permissões para publicar logs em um bucket do Amazon S3 .

  2. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  3. No painel de navegação, escolha Políticas de segurança.

  4. Escolha a AWS WAF política para a qual você deseja habilitar o registro. Para obter mais informações sobre registro em log do AWS WAF , consulte Registro em log AWS WAF ACLtráfego na web.

  5. Na guia Detalhes da política, na seção Regras da política, escolha Editar.

  6. Em Configuração de registro em log, escolha Ativar registro em log para ativar o registro em log. O registro fornece informações detalhadas sobre o tráfego que é analisado pela sua webACL. Escolha o Destino de registro em log e, em seguida, escolha o destino de registro em log que você configurou. Você deve escolher um destino de registro em log cujo nome comece com aws-waf-logs-. Para obter informações sobre como configurar um destino de AWS WAF registro, consulteConfigurando o registro em log para uma política AWS WAF.

  7. (Opcional) Se você não deseja que determinados campos e seus valores sejam incluídos nos logs, edite esses campos. Selecione o campo para editar e, em seguida, selecione Adicionar. Repita conforme necessário para editar campos adicionais. Os campos editados são exibidos como REDACTED nos logs. Por exemplo, se você editar o URIcampo, o URIcampo nos registros seráREDACTED.

  8. (Opcional) Se você não quiser enviar todas as solicitações para os logs, adicione seus critérios e comportamento de filtragem. Em Filtrar logs, para cada filtro que você deseja aplicar, escolha Adicionar filtro, escolha seus critérios de filtragem e especifique se deseja manter ou eliminar solicitações que correspondam aos critérios. Ao terminar de adicionar filtros, se necessário, modifique o Comportamento de registro de logs padrão. Para obter mais informações, consulte Encontrando seus ACL registros na web no Guia do desenvolvedor do AWS WAF .

  9. Escolha Próximo.

  10. Revise suas configurações e escolha Salvar para salvar suas alterações na política.

Como desabilitar o registro

O procedimento a seguir descreve como desabilitar o registro de uma AWS WAF política no console do Firewall Manager.

Para desativar o registro em log de uma AWS WAF política

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha a AWS WAF política para a qual você deseja desabilitar o registro.

  4. Na guia Detalhes da política, na seção Regras da política, escolha Editar.

  5. Em Status da configuração de registro em log, escolha Desativado.

  6. Escolha Próximo.

  7. Revise suas configurações e escolha Salvar para salvar suas alterações na política.