Como usar listas gerenciadas do Firewall Manager - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Versionamento de listas gerenciadasUsar listas gerenciadas

Como usar listas gerenciadas do Firewall Manager

Esta seção explica o que são listas gerenciadas e como usá-las.

As listas gerenciadas de aplicativos e protocolos simplificam a configuração e o gerenciamento das políticas do grupo de segurança de auditoria de conteúdo AWS Firewall Manager. Você usa listas gerenciadas para definir os protocolos e aplicativos que sua política permite e proíbe. Para obter informações sobre políticas de auditoria de conteúdo do grupo de segurança, consulte Como usar políticas de grupos de segurança de auditoria de conteúdo com o Firewall Manager.

Você pode usar os seguintes tipos de listas gerenciadas em uma política de grupo de segurança de auditoria de conteúdo:

  • Listas de aplicativos e listas de protocolos do Firewall Manager: o Firewall Manager gerencia essas listas.

    • As listas de aplicativos incluem FMS-Default-Public-Access-Apps-Allowed e FMS-Default-Public-Access-Apps-Denied, que descrevem aplicativos comumente usados que devem ser permitidos ou negados ao público em geral.

    • As listas de protocolos incluem FMS-Default-Protocols-Allowed, uma lista de protocolos comumente usados que devem ser permitidos ao público em geral. Você pode usar qualquer lista gerenciada pelo Firewall Manager, mas não pode editá-la nem excluí-la.

  • Listas personalizadas de aplicativos e listas de protocolos: você gerencia essas listas. Você pode criar listas de qualquer tipo com as configurações necessárias. Você tem controle total sobre suas próprias listas gerenciadas personalizadas e pode criá-las, editá-las e excluí-las conforme necessário.

    nota

    Atualmente, o Firewall Manager não verifica as referências a uma lista gerenciada personalizada quando você a exclui. Isso significa que você pode excluir uma lista personalizada de aplicativos gerenciados ou uma lista de protocolos mesmo quando ela estiver sendo usada por uma política ativa. Isso pode fazer com que a política pare de funcionar. Exclua uma lista de aplicativos ou uma lista de protocolos somente depois de verificar se ela não é referenciada por nenhuma política ativa.

As listas gerenciadas são recursos da AWS. Você pode marcar uma lista gerenciada personalizada. Você não pode marcar uma lista gerenciada do Firewall Manager.

Versionamento de listas gerenciadas

As listas gerenciadas personalizadas não têm versões. Quando você edita uma lista personalizada, as políticas que fazem referência à lista usam automaticamente a lista atualizada.

As listas gerenciadas do Firewall Manager têm controle de versão. A equipe de serviço do Firewall Manager publica novas versões conforme o necessário, a fim de aplicar as melhores práticas de segurança às listas.

Ao usar uma lista gerenciada do Firewall Manager em uma política, você escolhe sua estratégia de versionamento da seguinte forma:

  • Última versão disponível: se você não especificar uma configuração de versão explícita para a lista, sua política usará automaticamente a versão mais recente. Essa é a única opção disponível no console.

  • Versão explícita: se você especificar uma versão para a lista, sua política usará essa versão. Sua política permanece bloqueada para a versão que você especificou até que você modifique a configuração da versão. Para especificar a versão, você deve definir a política fora do console, por exemplo, por meio da CLI ou de um dos SDKs.

Para obter mais informações sobre como escolher a configuração de versão para uma lista, consulte Usar listas gerenciadas em suas políticas de grupo de segurança de auditoria de conteúdo.

Usar listas gerenciadas em suas políticas de grupo de segurança de auditoria de conteúdo

Ao criar uma política de grupo de segurança de auditoria de conteúdo, você pode optar por usar regras de política de auditoria gerenciada. Algumas das configurações dessa opção exigem uma lista gerenciada de aplicativos ou uma lista de protocolos. Exemplos dessas configurações incluem protocolos permitidos em regras de grupo de segurança e aplicativos que podem acessar a Internet.

As restrições a seguir se aplicam a cada configuração de política que usa uma lista gerenciada:

  • Você pode especificar no máximo uma lista gerenciada do Firewall Manager para qualquer configuração. Por padrão, você pode especificar no máximo uma lista personalizada. O limite da lista personalizada é uma cota flexível, então você pode solicitar um aumento. Para ter mais informações, consulte Cotas do AWS Firewall Manager.

  • No console, se você selecionar uma lista gerenciada do Firewall Manager, não poderá especificar a versão. A política sempre usará a versão mais recente da lista. Para especificar a versão, você deve definir a política fora do console, por exemplo, por meio da CLI ou de um dos SDKs. Para obter informações sobre o versionamento das listas gerenciadas do Firewall Manager, consulte. Versionamento de listas gerenciadas

Para obter informações sobre como criar uma política de grupo de segurança de auditoria de conteúdo por meio do console, consulte Criar uma política de grupo de segurança de auditoria de conteúdo.