本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組
此頁面說明如何使用 AWS Firewall Manager 安全群組政策來管理組織的 Amazon Virtual Private Cloud 安全群組 AWS Organizations。您可以將集中控制的安全群組政策套用至整間組織,或選取您的帳戶和資源子集。您也可以監控並管理在您組織中使用的安全群組政策,以及監控稽核和用途安全群組政策。
Firewall Manager 會持續維護您的政策,並在在您的組織中新增或更新帳戶和資源時將其套用到帳戶和資源。如需 的詳細資訊 AWS Organizations,請參閱 AWS Organizations 使用者指南。
如需有關 Amazon Virtual Private Cloud 安全群組的資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 安全群組。
您可以使用 Firewall Manager 安全群組政策,在您的 AWS 組織中執行下列動作:
-
將常見安全群組套用至指定的帳戶和資源。
-
稽核安全群組規則,以尋找和修補不合規規則。
-
稽核安全群組的用途,以清理未使用的與備援安全群組。
本節涵蓋 Firewall Manager 安全群組政策的運作方式,並提供使用政策的指引。如需建立安全群組政策的程序,請參閱 建立 AWS Firewall Manager 政策。
安全群組政策的最佳實務
本節列出使用 AWS Firewall Manager管理安全群組的建議。
排除 Firewall Manager 管理員帳戶
當您設定政策範圍時,請排除 Firewall Manager 管理員帳戶。當您透過主控台建立用途稽核安全群組政策時,這是預設選項。
從停用自動修補開始
對於內容或用途稽核安全群組政策,請先從停用自動修補開始。檢閱政策詳細資訊,以判定自動修補可能有的效用。當您確認這些變更正是您所需的時,請編輯政策,以啟用自動修補。
如果您也使用外部來源管理安全群組,請避免衝突
如果您使用 Firewall Manager 以外的工具或服務來管理安全群組,請小心避免 Firewall Manager 中的設定與外部來源中的設定之間發生衝突。如果您使用自動修補且設定有衝突,您可以建立消耗雙方資源的衝突修補循環。
例如,假設您設定另一個服務來維護一組 AWS 資源的安全群組,並設定 Firewall Manager 政策來維護部分或全部相同資源的不同安全群組。如果您設定任何其他安全群組與範圍內資源相關聯的任何一方,該方將會移除由另一方維護的安全群組關聯。如果雙方都以這種方式進行配置,則最終可能會產生衝突的分離和關聯循環。
此外,假設您建立 Firewall Manager 稽核政策,以強制執行與來自其他服務的安全群組組態衝突的安全群組組態。Firewall Manager 稽核政策套用的修補可以更新或刪除該安全群組,使其不符合其他服務的合規。如果其他服務設定為監控並自動修復其發現的任何問題,則會重新建立或更新安全群組,使其再次不符合 Firewall Manager 稽核政策。如果 Firewall Manager 稽核政策設定為自動修復,它會再次更新或刪除外部安全群組,以此類推。
為了避免這類衝突,請在 Firewall Manager 和任何外部來源之間建立互斥的組態。
您可以使用 標記,從 Firewall Manager 政策的自動修復中排除外部安全群組。若要這樣做,請將一或多個標記新增至由外部來源管理的安全群組或其他資源。然後,當您定義 Firewall Manager 政策範圍時,請在資源規格中排除具有您新增之標籤或標籤的資源。
同樣地,在您的外部工具或服務中,排除 Firewall Manager 從任何管理或稽核活動中管理的安全群組。請勿匯入 Firewall Manager 資源,或使用 Firewall Manager 特定的標記將其排除在外部管理之外。
用量稽核安全群組政策的最佳實務
當您使用用量稽核安全群組政策時,請遵循這些準則。
-
避免在短時間內對安全群組的關聯狀態進行多次變更,例如在 15 分鐘內。這樣做可能會導致 Firewall Manager 錯過部分或全部對應的事件。例如,請勿快速將安全群組與彈性網路介面建立關聯和取消關聯。
安全群組政策注意事項和限制
本節列出使用 Firewall Manager 安全群組政策的注意事項和限制。
資源類型:Amazon EC2 執行個體
本節列出使用 Firewall Manager 安全群組政策保護 Amazon EC2 執行個體的注意事項和限制。
-
透過保護 Amazon EC2 彈性網路介面 (ENIs) 的安全群組,防火牆管理員不會立即看到對安全群組所做的變更。Firewall Manager 通常會在幾個小時內偵測到變更,但偵測最多可延遲六小時。
-
Firewall Manager 不支援由 Amazon Relational Database Service 建立的 Amazon EC2 ENIs 安全群組。 Amazon Relational Database Service
-
Firewall Manager 不支援更新使用 Fargate 服務類型建立的 Amazon EC2 ENIs 的安全群組。不過,您可以使用 Amazon EC2 服務類型更新 Amazon ECS ENIs 的安全群組。
-
Firewall Manager 不支援更新請求者受管 Amazon EC2 ENIs 的安全群組,因為 Firewall Manager 沒有修改這些群組的許可。
-
對於常見的安全群組政策,這些注意事項涉及連接到 EC2 執行個體的彈性網路介面 (ENIs) 數量與指定是否僅修復沒有新增附件的 EC2 執行個體或修復所有執行個體的政策選項之間的互動。每個 EC2 執行個體都有預設的主要 ENI,您可以連接更多 ENIs。在 API 中,此選項的政策選項設定為
ApplyToAllEC2InstanceENIs
。如果範圍內的 EC2 執行個體已連接其他 ENIs,且政策設定為只包含具有主要 ENI 的 EC2 執行個體,則 Firewall Manager 不會嘗試對 EC2 執行個體進行任何修復。此外,如果執行個體超出政策範圍, Firewall Manager 不會嘗試取消關聯其可能為執行個體建立的任何安全群組關聯。
對於下列邊緣案例,在資源清除期間,防火牆管理員可以保持複寫的安全群組關聯完整,無論政策的資源清除規格為何:
-
當具有其他 ENIs執行個體先前已由設定為包含所有 EC2 執行個體的政策進行修復時,則執行個體超出政策範圍或政策設定已變更為僅包含沒有其他 ENIs執行個體。
-
當沒有其他 ENIs執行個體由設定為僅包含沒有其他 ENIs的執行個體的政策進行修復時,則另一個 ENI 會連接到執行個體,然後執行個體超出政策範圍。
-
其他注意事項和限制
以下是 Firewall Manager 安全群組政策的其他注意事項和限制。
-
只有使用滾動更新 (Amazon ECS) 部署控制器的 Amazon ECS 服務,才能更新 Amazon ECS ENIs。對於其他 Amazon ECS 部署控制器,例如 CODE_DEPLOY 或外部控制器,防火牆管理員目前無法更新 ENIs。
-
Firewall Manager 不支援在 ENIs Network Load Balancer 中更新安全群組。
-
在常見的安全群組政策中,如果稍後未與帳戶 Firewall Manager 共用共用 VPC,則不會刪除帳戶中的複本安全群組。
-
使用用量稽核安全群組政策,如果您建立具有自訂延遲時間設定的多個政策,而這些政策具有相同的範圍,則第一個具有合規調查結果的政策將是報告調查結果的政策。
安全群組政策使用案例
您可以使用 AWS Firewall Manager 常見的安全群組政策來自動化主機防火牆組態,以便在 Amazon VPC 執行個體之間進行通訊。本節列出標準 Amazon VPC 架構,並說明如何使用 Firewall Manager 常見安全群組政策保護每個架構。這些安全群組政策可協助您套用統一的規則集,以選取不同帳戶中的資源,並避免在 Amazon Elastic Compute Cloud 和 Amazon VPC 中為每個帳戶設定。
使用 Firewall Manager 通用安全群組政策,您可以只標記與其他 Amazon VPC 執行個體通訊所需的 EC2 彈性網路介面。然後,相同 Amazon VPC 中的其他執行個體會更安全且隔離。
使用案例:監控和控制對 Application Load Balancer 和 Classic Load Balancer 的請求
您可以使用 Firewall Manager 通用安全群組政策來定義範圍內負載平衡器應該提供哪些請求。您可以透過 Firewall Manager 主控台來設定。只有符合安全群組傳入規則的請求才能到達負載平衡器,而且負載平衡器只會分發符合傳出規則的請求。
使用案例:可存取網際網路、公有 Amazon VPC
您可以使用 Firewall Manager 通用安全群組政策來保護公有 Amazon VPC,例如,僅允許傳入連接埠 443。此做法與只允許公有 VPC 的傳入 HTTPS 流量相同。您可以在 VPC 中標記公有資源 (例如,「PublicVPC」),然後將 Firewall Manager 政策範圍設定為僅具有該標籤的資源。Firewall Manager 會自動將政策套用至這些資源。
使用案例:公有和私有 Amazon VPC 執行個體
您可以對公有資源使用與先前適用於網際網路存取的公有 Amazon VPC 執行個體使用案例中建議的相同常見安全群組政策。您可以使用第二個常見安全群組政策,限制公有資源與私有資源之間的通訊。在公有和私有 Amazon VPC 執行個體中的資源標記「PublicPrivate」,以套用第二個政策。您可以使用第三個政策來定義私有資源與其他公司或私有 Amazon VPC 執行個體之間的允許通訊。對於此政策,您可以在私有資源上使用另一個識別標籤。
使用案例:中樞和發言的 Amazon VPC 執行個體
您可以使用通用安全群組政策來定義中樞 Amazon VPC 執行個體與發言 Amazon VPC 執行個體之間的通訊。您可以使用第二個政策來定義從每個發言的 Amazon VPC 執行個體到中樞 Amazon VPC 執行個體的通訊。
使用案例:Amazon EC2 執行個體的預設網路介面
您可以使用常見安全群組政策,只允許標準通訊,例如內部 SSH 和修補程式/作業系統更新服務,並不允許其他不安全通訊。
使用案例:識別具有開放許可的資源
您可以使用稽核安全群組政策,來識別您組織內擁有可與公有 IP 地址進行通訊之許可,或擁有屬於第三方廠商之 IP 地址的所有資源。