概览
Automations for AWS Firewall Manager 使您能够以自动化方式集中配置、管理和审核所有 AWS Organizations 账户和资源的防火墙规则。通过使用此 AWS 解决方案,您可以在整个组织内保持一致的安全状况。
该解决方案提供预设规则来为 AWS WAF 配置应用程序级防火墙、审核未使用和过于宽松的 Amazon Virtual Private Cloud(Amazon VPC)安全组,并设置 DNS 防火墙来阻止对恶意域的查询。
该解决方案还可以帮助您创建防火墙安全规则的快速基准,并通过与 AWS Shield Advanced 集成来防范分布式拒绝服务(DDoS)攻击。
注意:如果您已经在您的组织中使用 Firewall Manager,则可以使用此解决方案;但是,您必须在您的 Firewall Manager 管理员账户中安装该解决方案。如果您尚未设置 Firewall Manager,请参阅实施指南,了解相关步骤。
优势
使用 AWS Firewall Manager,在多账户 AWS 环境中轻松配置和审计 AWS WAF、DNS 和安全组规则。
利用此解决方案安装使用 Firewall Manager 所需的先决条件,这样您就可以花更多时间关注您的特定安全需求。
利用 AWS Shield Advanced 订阅,在 AWS Organizations 中跨多个账户部署 DDoS 保护。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
该架构可分为两个工作流:策略管理器和合规性报告生成器。
第 1 步
Parameter Store是 AWS Systems Manager 的一项功能,包含三个参数:/FMS/OUs、/FMS/Regions 和 /FMS/Tags。使用 Systems Manager 更新这些参数。
第 2 步
Amazon EventBridge 规则使用事件模式捕获 System Manager 参数更新事件。
第 3 步
EventBridge 规则将调用 AWS Lambda 函数。
第 4 步
Lambda 函数跨用户指定的 OU 安装一组预定义的 AWS Firewall Manager 安全策略。此外,如果您订阅了 AWS Shield,该解决方案还将部署 Advanced 策略以抵御分布式拒绝服务(DDoS)攻击。
第 5 步
PolicyManager Lambda 函数会从 Amazon Simple Storage Service(Amazon S3)存储桶获取策略清单文件,然后使用该清单文件创建 Firewall Manager 安全策略。
第 6 步
Lambda 在 Amazon DynamoDB 表中保存策略元数据。
第 7 步
基于时间的 EventBridge 规则会调用合规性生成器 Lambda 函数。
第 8 步
合规性生成器 Lambda 函数会获取各区域中的 Firewall Manager 策略,然后在 Amazon Simple Notification Service(Amazon SNS)主题中发布策略 ID 清单。
第 9 步
Amazon SNS 主题会通过负载 {PolicyId: string, Region: string} 调用合规性生成器 Lambda 函数。
第 10 步
合规性生成器Lambda 函数会为各策略生成合规性报告,并以 CSV 格式在 S3 存储桶中上载报告。