在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
安全群組政策最佳實務安全群組政策注意事項和限制安全群組政策使用案例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組

此頁面說明如何使用 AWS Firewall Manager 安全群組政策來管理組織的 Amazon Virtual Private Cloud 安全群組 AWS Organizations。您可以將集中控制的安全群組政策套用至整間組織,或選取您的帳戶和資源子集。您也可以監控並管理在您組織中使用的安全群組政策,以及監控稽核和用途安全群組政策。

Firewall Manager 會持續維護您的政策,並在在您的組織中新增或更新帳戶和資源時將其套用到帳戶和資源。如需 的詳細資訊 AWS Organizations,請參閱 AWS Organizations 使用者指南

如需有關 Amazon Virtual Private Cloud 安全群組的資訊,請參閱《Amazon VPC 使用者指南》中的 VPC 安全群組

您可以使用 Firewall Manager 安全群組政策,在您的 AWS 組織中執行下列動作:

  • 將常見安全群組套用至指定的帳戶和資源。

  • 稽核安全群組規則,以尋找和修補不合規規則。

  • 稽核安全群組的用途,以清理未使用的與備援安全群組。

本節涵蓋 Firewall Manager 安全群組政策的運作方式,並提供使用政策的指引。如需建立安全群組政策的程序,請參閱 建立 AWS Firewall Manager 政策

安全群組政策的最佳實務

本節列出使用 AWS Firewall Manager管理安全群組的建議。

排除 Firewall Manager 管理員帳戶

當您設定政策範圍時,請排除 Firewall Manager 管理員帳戶。當您透過主控台建立用途稽核安全群組政策時,這是預設選項。

從停用自動修補開始

對於內容或用途稽核安全群組政策,請先從停用自動修補開始。檢閱政策詳細資訊,以判定自動修補可能有的效用。當您確認這些變更正是您所需的時,請編輯政策,以啟用自動修補。

如果您也使用外部來源管理安全群組,請避免衝突

如果您使用 Firewall Manager 以外的工具或服務來管理安全群組,請小心避免 Firewall Manager 中的設定與外部來源中的設定之間發生衝突。如果您使用自動修補且設定有衝突,您可以建立消耗雙方資源的衝突修補循環。

例如,假設您設定另一個服務來維護一組 AWS 資源的安全群組,並設定 Firewall Manager 政策來維護部分或全部相同資源的不同安全群組。如果您設定任何其他安全群組與範圍內資源相關聯的任何一方,該方將會移除由另一方維護的安全群組關聯。如果雙方都以這種方式進行配置,則最終可能會產生衝突的分離和關聯循環。

此外,假設您建立 Firewall Manager 稽核政策,以強制執行與來自其他服務的安全群組組態衝突的安全群組組態。Firewall Manager 稽核政策套用的修補可以更新或刪除該安全群組,使其不符合其他服務的合規。如果其他服務設定為監控並自動修復其發現的任何問題,則會重新建立或更新安全群組,使其再次不符合 Firewall Manager 稽核政策。如果 Firewall Manager 稽核政策設定為自動修復,它會再次更新或刪除外部安全群組,以此類推。

為了避免這類衝突,請在 Firewall Manager 和任何外部來源之間建立互斥的組態。

您可以使用 標記,從 Firewall Manager 政策的自動修復中排除外部安全群組。若要這樣做,請將一或多個標記新增至由外部來源管理的安全群組或其他資源。然後,當您定義 Firewall Manager 政策範圍時,請在資源規格中排除具有您新增之標籤或標籤的資源。

同樣地,在您的外部工具或服務中,排除 Firewall Manager 從任何管理或稽核活動中管理的安全群組。請勿匯入 Firewall Manager 資源,或使用 Firewall Manager 特定的標記將其排除在外部管理之外。

用量稽核安全群組政策的最佳實務

當您使用用量稽核安全群組政策時,請遵循這些準則。

  • 避免在短時間內對安全群組的關聯狀態進行多次變更,例如在 15 分鐘內。這樣做可能會導致 Firewall Manager 錯過部分或全部對應的事件。例如,請勿快速將安全群組與彈性網路介面建立關聯和取消關聯。

安全群組政策注意事項和限制

本節列出使用 Firewall Manager 安全群組政策的注意事項和限制。

資源類型:Amazon EC2 執行個體

本節列出使用 Firewall Manager 安全群組政策保護 Amazon EC2 執行個體的注意事項和限制。

  • 透過保護 Amazon EC2 彈性網路介面 (ENIs) 的安全群組,防火牆管理員不會立即看到對安全群組所做的變更。Firewall Manager 通常會在幾個小時內偵測到變更,但偵測最多可延遲六小時。

  • Firewall Manager 不支援由 Amazon Relational Database Service 建立的 Amazon EC2 ENIs 安全群組。 Amazon Relational Database Service

  • Firewall Manager 不支援更新使用 Fargate 服務類型建立的 Amazon EC2 ENIs 的安全群組。不過,您可以使用 Amazon EC2 服務類型更新 Amazon ECS ENIs 的安全群組。

  • Firewall Manager 不支援更新請求者受管 Amazon EC2 ENIs 的安全群組,因為 Firewall Manager 沒有修改這些群組的許可。

  • 對於常見的安全群組政策,這些注意事項涉及連接到 EC2 執行個體的彈性網路介面 (ENIs) 數量與指定是否僅修復沒有新增附件的 EC2 執行個體或修復所有執行個體的政策選項之間的互動。每個 EC2 執行個體都有預設的主要 ENI,您可以連接更多 ENIs。在 API 中,此選項的政策選項設定為 ApplyToAllEC2InstanceENIs

    如果範圍內的 EC2 執行個體已連接其他 ENIs,且政策設定為只包含具有主要 ENI 的 EC2 執行個體,則 Firewall Manager 不會嘗試對 EC2 執行個體進行任何修復。此外,如果執行個體超出政策範圍, Firewall Manager 不會嘗試取消關聯其可能為執行個體建立的任何安全群組關聯。

    對於下列邊緣案例,在資源清除期間,防火牆管理員可以保持複寫的安全群組關聯完整,無論政策的資源清除規格為何:

    • 當具有其他 ENIs執行個體先前已由設定為包含所有 EC2 執行個體的政策進行修復時,則執行個體超出政策範圍或政策設定已變更為僅包含沒有其他 ENIs執行個體。

    • 當沒有其他 ENIs執行個體由設定為僅包含沒有其他 ENIs的執行個體的政策進行修復時,則另一個 ENI 會連接到執行個體,然後執行個體超出政策範圍。

其他注意事項和限制

以下是 Firewall Manager 安全群組政策的其他注意事項和限制。

  • 只有使用滾動更新 (Amazon ECS) 部署控制器的 Amazon ECS 服務,才能更新 Amazon ECS ENIs。對於其他 Amazon ECS 部署控制器,例如 CODE_DEPLOY 或外部控制器,防火牆管理員目前無法更新 ENIs。

  • Firewall Manager 不支援在 ENIs Network Load Balancer 中更新安全群組。

  • 在常見的安全群組政策中,如果稍後未與帳戶 Firewall Manager 共用共用 VPC,則不會刪除帳戶中的複本安全群組。

  • 使用用量稽核安全群組政策,如果您建立具有自訂延遲時間設定的多個政策,而這些政策具有相同的範圍,則第一個具有合規調查結果的政策將是報告調查結果的政策。

安全群組政策使用案例

您可以使用 AWS Firewall Manager 常見的安全群組政策來自動化主機防火牆組態,以便在 Amazon VPC 執行個體之間進行通訊。本節列出標準 Amazon VPC 架構,並說明如何使用 Firewall Manager 常見安全群組政策保護每個架構。這些安全群組政策可協助您套用統一的規則集,以選取不同帳戶中的資源,並避免在 Amazon Elastic Compute Cloud 和 Amazon VPC 中為每個帳戶設定。

使用 Firewall Manager 通用安全群組政策,您可以只標記與其他 Amazon VPC 執行個體通訊所需的 EC2 彈性網路介面。然後,相同 Amazon VPC 中的其他執行個體會更安全且隔離。

使用案例:監控和控制對 Application Load Balancer 和 Classic Load Balancer 的請求

您可以使用 Firewall Manager 通用安全群組政策來定義範圍內負載平衡器應該提供哪些請求。您可以透過 Firewall Manager 主控台來設定。只有符合安全群組傳入規則的請求才能到達負載平衡器,而且負載平衡器只會分發符合傳出規則的請求。

使用案例:可存取網際網路、公有 Amazon VPC

您可以使用 Firewall Manager 通用安全群組政策來保護公有 Amazon VPC,例如,僅允許傳入連接埠 443。此做法與只允許公有 VPC 的傳入 HTTPS 流量相同。您可以在 VPC 中標記公有資源 (例如,「PublicVPC」),然後將 Firewall Manager 政策範圍設定為僅具有該標籤的資源。Firewall Manager 會自動將政策套用至這些資源。

使用案例:公有和私有 Amazon VPC 執行個體

您可以對公有資源使用與先前適用於網際網路存取的公有 Amazon VPC 執行個體使用案例中建議的相同常見安全群組政策。您可以使用第二個常見安全群組政策,限制公有資源與私有資源之間的通訊。在公有和私有 Amazon VPC 執行個體中的資源標記「PublicPrivate」,以套用第二個政策。您可以使用第三個政策來定義私有資源與其他公司或私有 Amazon VPC 執行個體之間的允許通訊。對於此政策,您可以在私有資源上使用另一個識別標籤。

使用案例:中樞和發言的 Amazon VPC 執行個體

您可以使用通用安全群組政策來定義中樞 Amazon VPC 執行個體與發言 Amazon VPC 執行個體之間的通訊。您可以使用第二個政策來定義從每個發言的 Amazon VPC 執行個體到中樞 Amazon VPC 執行個體的通訊。

使用案例:Amazon EC2 執行個體的預設網路介面

您可以使用常見安全群組政策,只允許標準通訊,例如內部 SSH 和修補程式/作業系統更新服務,並不允許其他不安全通訊。

使用案例:識別具有開放許可的資源

您可以使用稽核安全群組政策,來識別您組織內擁有可與公有 IP 地址進行通訊之許可,或擁有屬於第三方廠商之 IP 地址的所有資源。