Información general
Las automatizaciones de AWS Firewall Manager le permiten configurar, administrar y auditar, de forma centralizada, las reglas del firewall en todas las cuentas de AWS Organizations y sus recursos de una manera automatizada. Al utilizar esta solución de AWS, puede mantener una postura de seguridad uniforme en toda su organización.
Esta solución brinda reglas preestablecidas para la configuración de firewalls a nivel de aplicación para AWS WAF, la auditoría de los grupos de seguridad de Amazon Virtual Private Cloud (Amazon VPC) no utilizados y excesivamente permisivos y la configuración de un firewall DNS para bloquear las consultas de dominios incorrectos.
Esta solución también ayuda a crear un punto de referencia rápido de las reglas de seguridad de los firewalls y a proteger contra los ataques de denegación de servicio distribuidos (DDoS) con la integración con AWS Shield Avanzado.
Nota: Puede utilizar esta solución si ya utiliza Firewall Manager en su organización; sin embargo, debe instalar la solución en su cuenta de administrador de Firewall Manager. Si todavía no tiene Firewall Manager configurado, consulte la guía de implementación para conocer los pasos.
Beneficios
Configure y audite fácilmente AWS WAF, DNS y las reglas del grupo de seguridad en los entornos de AWS de varias cuentas con AWS Firewall Manager.
Aproveche esta solución para instalar los requisitos previos necesarios para utilizar Firewall Manager, lo que permite invertir más tiempo en las necesidades específicas de seguridad.
Aproveche su suscripción a AWS Shield Avanzado para implementar protección ante ataques DDoS en las cuentas de AWS Organizations.
Detalles técnicos
Puede desplegar automáticamente esta arquitectura con la guía de implementación y la plantilla de AWS CloudFormation asociada.
La arquitectura se puede dividir en dos flujos de trabajo: el administrador de políticas y el generador de informes de conformidad.
Paso 1
El Almacén de parámetros, una funcionalidad de AWS Systems Manager, contiene tres parámetros: /FMS/OUs, /FMS/Regions y /FMS/Tags. Actualice estos parámetros mediante Systems Manager.
Paso 2
Con una regla de Amazon EventBridge se utiliza un patrón de eventos para capturar el evento de actualización de parámetros de Systems Manager.
Paso 3
Con una regla de EventBridge se invoca una función de AWS Lambda.
Paso 4
La función de Lambda instala un conjunto de políticas de seguridad predefinidas de AWS Firewall Manager en las unidades organizativas especificadas por el usuario. Además, si cuenta con una suscripción a AWS Shield, esta solución implementa políticas avanzadas de protección contra ataques de denegación de servicio distribuido (DDoS).
Paso 5
La función PolicyManager de Lambda recupera el archivo de manifiesto de políticas que se encuentra en el bucket de Amazon Simple Storage Service (Amazon S3) y lo utiliza para crear las políticas de seguridad de Firewall Manager.
Paso 6
Lambda guarda los metadatos de las políticas en la tabla de Amazon DynamoDB.
Paso 7
Una regla de EventBridge basada en el tiempo invoca la función de Lambda del generador de conformidad.
Paso 8
La función de Lambda del generador de conformidad recupera las políticas de Firewall Manager en cada región y publica la lista de ID de políticas en el tema de Amazon Simple Notification Service (Amazon SNS).
Paso 9
El tema de Amazon SNS invoca la función de Lambda del generador de conformidad con la carga {PolicyId: string, Region: string}.
Paso 10
La función de Lambda del generador de conformidad genera un informe de conformidad para cada una de las políticas y carga el informe en formato CSV en un bucket de S3.
Contenido relacionado
Este curso brinda información general sobre los servicios, los beneficios, los casos de uso y la tecnología de seguridad de AWS. La sección de protección de infraestructuras cubre AWS WAF en cuanto al filtrado del tráfico.
Este es un curso introductorio a AWS Organizations, el servicio que ofrece administración basada en políticas para varias cuentas de AWS. Abordamos la terminología y las características clave, revisamos cómo obtener acceso al servicio y cómo usarlo, y proporcionamos una demostración.
Este examen evalúa sus conocimientos técnicos vinculados con la protección de la plataforma de AWS. Está destinado a cualquier individuo con experiencia en un rol de seguridad.
¿Le resultó útil esta página?
- Fecha de publicación