搭配 Firewall Manager 使用內容稽核安全群組政策 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配 Firewall Manager 使用內容稽核安全群組政策

本頁說明 Firewall Manager 內容稽核安全群組政策的運作方式。

使用 AWS Firewall Manager 內容稽核安全群組政策來稽核政策動作,並將其套用至組織安全群組中使用的規則。根據您在政策中定義的範圍,內容稽核安全群組政策適用於 AWS 組織中使用的所有客戶建立的安全群組。

如需使用主控台建立內容稽核安全群組政策的指引,請參閱 建立內容稽核安全群組政策

政策範圍資源類型

您可以將內容稽核安全群組政策套用至下列資源類型:

  • Amazon Elastic Compute Cloud (Amazon EC2) 執行個體

  • 彈性網路介面

  • Amazon VPC安全群組

如果安全群組明確位於範圍內,或與範圍內的資源相關聯,則會將該安全群組視為在政策範圍內。

政策規則選項

您可以為每個內容稽核政策使用受管政策規則或自訂政策規則,但不能同時使用兩者。

  • 受管政策規則 – 在具有受管規則的政策中,您可以使用應用程式和通訊協定清單來控制 Firewall Manager 稽核的規則,並標記為合規或不合規。您可以使用 Firewall Manager 管理的清單。您也可以建立和使用自己的應用程式和通訊協定清單。如需有關這些清單類型和自訂清單管理選項的資訊,請參閱 使用 Firewall Manager 受管清單

  • 自訂政策規則 – 在具有自訂政策規則的 政策中,您會指定現有的安全群組作為政策的稽核安全群組。您可以使用稽核安全群組規則作為範本,定義 Firewall Manager 稽核的規則,並標記為合規或不合規。

稽核安全群組

您必須使用 Firewall Manager 管理員帳戶建立稽核安全群組,才能在政策中使用它們。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon ) 管理安全群組EC2。如需詳細資訊,請參閱 Amazon VPC使用者指南 中的使用安全群組

Firewall Manager 只會使用您用於內容稽核安全群組政策的安全群組,做為政策範圍內安全群組的比較參考。Firewall Manager 不會將其與組織中的任何資源建立關聯。

您在稽核安全群組中定義規則的方式取決於您在政策規則設定中的選擇:

  • 受管政策規則 – 對於受管政策規則設定,您可以使用稽核安全群組覆寫政策中的其他設定,明確允許或拒絕可能具有其他合規結果的規則。

    • 如果您選擇一律允許稽核安全群組中定義的規則,則任何符合稽核安全群組中定義規則的規則都會視為符合政策,無論其他政策設定為何。

    • 如果您選擇一律拒絕稽核安全群組中定義的規則,則與稽核安全群組中定義的規則相符的任何規則都會被視為不符合政策,無論其他政策設定為何。

  • 自訂政策規則 – 針對自訂政策規則設定,稽核安全群組會提供範圍內安全群組規則中可接受或不接受的範例:

    • 如果您選擇允許使用規則,則所有範圍內安全群組都必須只有政策稽核安全群組規則允許範圍內的規則。在這種情況下,政策的安全群組規則會提供可接受之行為的範例。

    • 如果您選擇拒絕使用規則,則所有範圍內安全群組只能擁有不在政策稽核安全群組規則允許範圍內的規則。在這種情況下,政策的安全群組會提供不可接受的行為範例。

政策建立與管理

建立稽核安全群組政策時,您必須停用自動修補。建議的實務為在啟用自動修補前檢閱政策建立的效用。檢閱預期的效用後,您可以編輯政策,並啟用自動修補。啟用自動修復時,Firster Manager 會更新或移除範圍內安全群組中不合規的規則。

受稽核安全群組政策影響的安全群組

您組織中由客戶建立的所有安全群組均有資格位於稽核安全群組政策中。

複本安全群組不是由客戶建立,因此沒有直接位於稽核安全群組政策範圍中的資格。不過它們可以隨著政策的自動修補活動而更新。常見安全群組政策的主要安全群組是由客戶建立,因此可以在稽核安全群組政策的範圍內。如果稽核安全群組政策對主要安全群組進行變更,則 Firewall Manager 會自動將這些變更傳播至複本。