Domande frequenti su Firewall di rete AWS

Firewall di rete AWS è un servizio gestito che semplifica l’implementazione di protezioni di rete essenziali per tutti i cloud privati virtuali (VPC) Amazon. Questo servizio può essere configurato con pochi clic e scala automaticamente in base al traffico della rete, così non dovrai preoccuparti dell’implementazione e della gestione dell’infrastruttura. Il motore regole flessibile di Firewall di rete consente di definire le regole di firewall che garantiscono il controllo granulare sul traffico di rete, come il bloccaggio delle richieste in uscita di Server Message Block (SMB) per evitare la diffusione di attività dannose. Puoi anche importare regole che hai già scritto nei comuni formati di regole open source o regole compatibili fornite dai partner AWS. Firewall di rete AWS funziona insieme ad Gestione dei firewall AWS; in questo modo è possibile creare policy basate sulle regole di Firewall di rete AWS e applicarle centralmente ai VPC e gli account.

L’infrastruttura di Firewall di rete AWS è gestita da AWS, quindi non devi preoccuparti di creare e mantenere un’infrastruttura di sicurezza di rete. Firewall di rete AWS funziona insieme a Gestione dei firewall AWS, quindi puoi gestire centralmente le policy di sicurezza e applicare automaticamente quelle obbligatorie ad account e VPC esistenti e appena creati. Firewall di rete AWS ha un motore di regole altamente flessibile, che consente di creare regole firewall personalizzate per proteggere i carichi di lavoro unici. Firewall di rete AWS supporta migliaia di regole che possono essere basate su dominio, porta, protocollo, indirizzi IP e pattern matching.

Firewall di rete AWS include funzionalità che forniscono protezione dalle minacce di rete comuni. Il firewall stateful di Firewall di rete AWS può incorporare il contesto dai flussi di traffico, ad esempio il tracciamento delle connessioni e l’identificazione di protocolli, per applicare policy come prevenire che il VPC acceda ai domini utilizzando un protocollo non autorizzato. Il sistema di prevenzione delle intrusioni (IPS) di Firewall di rete AWS provvede all’ispezione del flusso di traffico attivo, in modo da poter identificare e bloccare gli exploit di vulnerabilità utilizzando il rilevamento basato su firma. Firewall di rete AWS offre anche un filtro web che può fermare il traffico verso URL dannosi conosciuti e monitorare i nomi dei domini completamente qualificati.

Firewall di rete AWS offre controllo e visibilità del traffico tra VPC, permettendo di segmentare logicamente le reti che ospitano applicazioni critiche o risorse aziendali. Firewall di rete AWS fornisce filtri del traffico in uscita basati su URL, indirizzi IP e domini per soddisfare i requisiti di conformità, arginare potenziali perdite di dati e bloccare le comunicazioni con host di malware noti. Firewall di rete AWS protegge il traffico di AWS Direct Connect e AWS VPN che passa attraverso AWS Transit Gateway dai dispositivi client e dagli ambienti on-premises. Firewall di rete AWS protegge la disponibilità delle applicazioni ispezionando tutto il traffico Internet in entrata con funzionalità come le regole della lista di controllo degli accessi (ACL), l’ispezione stateful, il rilevamento di protocolli e la prevenzione di intrusioni.

Firewall di rete AWS è progettato per proteggere e controllare l’accesso da e verso il VPC, ma non per mitigare gli attacchi volumetrici, come i Distributed Denial of Service (DDoS), che possono influire sulla disponibilità dell’applicazione. Per proteggersi dagli attacchi DDoS e garantire la disponibilità delle applicazioni, consigliamo ai clienti di consultare e attenersi alle best practice AWS per la resilienza contro attacchi DDoS e di esplorare anche  AWS Shield Avanzato, che offre una protezione DDoS gestita personalizzata in base al traffico applicativo specifico.

Firewall di rete AWS integra servizi di sicurezza di rete e applicazioni esistenti su AWS offrendo controllo e visibilità sul traffico di rete di livello 3-7 per l’intero VPC. A secondo del caso d’uso, è possibile scegliere di utilizzare Firewall di rete AWS insieme ai controlli di sicurezza già esistenti, come i gruppi di sicurezza di Amazon VPC, le regole di Web Application Firewall AWS o i dispositivi di AWS Marketplace.

I prezzi di Firewall di rete AWS dipendono dal numero di firewall distribuiti e dal volume di traffico ispezionato. Per ulteriori informazioni, consulta la pagina dei prezzi di Firewall di rete AWS.

Per ulteriori informazioni sulla disponibilità Regionale di Firewall di rete AWS, consulta la tabella delle Regioni AWS.

Diversi partner della Rete dei partner AWS (APN) propongono prodotti che integrano i servizi AWS esistenti, consentendo di implementare un’architettura di sicurezza semplice e completa tra AWS e l’ambiente on-premises. Per un elenco aggiornato dei partner APN che offrono prodotti che si integrano con Firewall di rete AWS, consulta la pagina AWS Network Firewall partners.

Firewall di rete AWS offre un accordo sul livello di servizio con un impegno di tempo di attività del 99,99%. Firewall di rete AWS consente di scalare automaticamente la capacità del firewall in base al carico di traffico per mantenere prestazioni stabili e prevedibili e ridurre al minimo i costi.

Firewall di rete AWS è soggetto a quote di servizio per il numero di firewall, policy di firewall e gruppi di regole che puoi creare e per altre impostazioni, come il numero di gruppi di regole stateless o stateful che possono essere presenti in una singola policy di firewall. Per ulteriori dettagli sulle quote di servizio, incluse informazioni su come richiedere un aumento, consulta la pagina delle quote di Firewall di rete AWS.

Firewall di rete AWS supporta due tipi di implementazione principali: centralizzata e distribuita. Una volta distribuito, Firewall di rete AWS può essere implementato all’interno di ciascun Amazon VPC per un’esecuzione più vicina alle applicazioni. Firewall di rete AWS supporta anche un’implementazione centralizzata come allegato VPC ad AWS Transit Gateway. Con Firewall di rete in modalità Transit Gateway, che mantiene il routing simmetrico verso lo stesso firewall zonale, puoi filtrare un’ampia gamma di traffico in entrata e in uscita da o verso gateway Internet, gateway Direct Connect, PrivateLink, gateway VPN sito-sito e client, gateway NAT e persino tra altri VPC e sottoreti collegati.

Firewall di rete AWS viene implementato come servizio endpoint in modo simile ad altri servizi di rete come AWS PrivateLink. L’endpoint Firewall di rete AWS deve essere implementato in una sottorete dedicata all’interno dell’Amazon VPC, con una dimensione minima di /28. Firewall di rete AWS ispeziona tutto il traffico indirizzato all’endpoint: ciò costituisce il meccanismo per l’inserimento e il filtraggio dei percorsi. Tramite la console di Gestione dei firewall AWS o tramite soluzioni partner che si integrano al servizio, è possibile creare configurazioni e policy centralmente utilizzando vari tipi di regole, come liste di controllo degli accessi (ACL) stateless, ispezione stateful e sistemi di prevenzione delle intrusioni (IPS). Poiché Firewall di rete AWS è un servizio gestito da AWS, è proprio AWS ad occuparsi della scalabilità, della disponibilità, della resilienza e degli aggiornamenti software.

Sì. Firewall di rete AWS è un servizio Regionale e protegge il traffico di rete a livello di organizzazione e di account. Per mantenere le policy e la governance in diversi account, è possibile usare Gestione dei firewall AWS.

Una policy di Firewall di rete AWS definisce il comportamento di un firewall in termini di monitoraggio e protezione. Le specifiche di tale comportamento vengono definite nei gruppi di regole aggiunti alla policy o in alcune impostazioni predefinite della policy. Per utilizzare una policy del firewall, è necessario associarla a uno o più firewall.

Un gruppo di regole è un insieme riutilizzabile di regole del firewall utile per ispezionare e filtrare il traffico di rete. Per configurare i criteri di ispezione del traffico per le policy del firewall, è possibile utilizzare gruppi di regole stateless o stateful. Puoi creare gruppi di regole personalizzati o utilizzare quelli gestiti dai venditori di AWS Marketplace. Per ulteriori informazioni, consulta la Guida per gli sviluppatori di Firewall di rete AWS.

Firewall di rete AWS supporta regole stateless e stateful. Le regole stateless sono costituite da liste di controllo degli accessi (ACL) alla rete, che possono essere basate su indirizzi IP, porte o protocolli di origine e destinazione. Le regole stateful sono definite da indirizzi IP, porte e protocolli di origine e destinazione, ma differiscono dalle regole stateless in quanto mantengono e proteggono le connessioni o le sessioni per tutta la loro durata.

Firewall di rete AWS fornisce anche regole gestite che offrono una protezione preconfigurata. Tali regole sono gestite da AWS o da un partner AWS. È possibile abbonarsi alle regole gestite da un partner AWS tramite AWS Marketplace.

Le regole gestite da AWS offrono la difesa contro le minacce attive, che si basa sull’intelligence sulle minacce globale di AWS per proteggere automaticamente da minacce attive, nonché gruppi di regole gestite di dominio, IP e firma delle minacce.

Le regole gestite dai partner offrono regole selezionate che possono essere integrate facilmente nelle policy di Firewall di rete AWS. e aiutano a proteggere i carichi di lavoro cloud contro diversi casi d’uso.

Ciascuno di questi tipi di regole può essere combinato nelle policy di firewall per creare una protezione completa su misura per le esigenze di sicurezza.

Puoi registrare l’attività su Firewall di rete AWS in un bucket Amazon S3 per ulteriori analisi e indagini. Inoltre, puoi utilizzare Amazon Kinesis Firehose per inviare i log a fornitori terzi.

Sì. Puoi usare la funzionalità di integrazione nativa o implementare Firewall di rete AWS all’interno del VPC per poi collegare tale VPC a un TGW manualmente. Per ulteriori informazioni su questa configurazione, consulta il post del blog relativo ai modelli di implementazione di Firewall di rete AWS Deployment models for AWS Network Firewall.

Firewall di rete AWS utilizza già Gateway Load Balancer AWS per fornire scalabilità elastica per l’endpoint del firewall e non richiede un’integrazione separata. È possibile osservare quest’integrazione controllando l’interfaccia di rete elastica (ENI) dell’endpoint del firewall, che utilizza il tipo “gateway_load_balancer_endpoint”.

I prezzi di Firewall di rete AWS dipendono dal numero di firewall distribuiti e dal volume di traffico ispezionato. Se associ un firewall a più VPC, paghi la tariffa oraria standard per Regione e zona di disponibilità (AZ) per l’endpoint principale del firewall nel VPC di ispezione. Per ogni ulteriore endpoint secondario associato a tale firewall, paghi una tariffa oraria ridotta per Regione e AZ. Paghi inoltre la quantità di traffico elaborato dal firewall, fatturata in gigabyte per Regione e AZ. Visita la pagina dei prezzi di Firewall di rete AWS per ulteriori informazioni sui costi di più endpoint.

Firewall di rete AWS supporta i seguenti tipi di controllo del traffico in uscita: filtraggio URL del protocollo HTTPS (SNI) /HTTP, liste di controllo degli accessi (ACL), query DNS e rilevamento del protocollo.

Firewall di rete AWS aumenta verticalmente fino a una larghezza di banda di 100 Gbps per zona di disponibilità in modo automatico. La larghezza di banda di 100 Gbps è condivisa in tutti gli endpoint VPC associati, quindi i clienti devono tenere in considerazione il volume di traffico totale previsto durante la pianificazione dell’implementazione. Le prestazioni possono essere influenzate se un singolo endpoint raggiunge il limite di larghezza di banda. Consigliamo ai clienti di condurre test utilizzando le proprie regole per garantire che il servizio soddisfi le loro aspettative di prestazioni.

All’account proprietario del firewall viene fatturato l’utilizzo del firewall di ispezione, nonché di eventuali endpoint secondari a esso associati in ogni zona di disponibilità (AZ). Tutti gli endpoint principali e secondari, comprese le associazioni di endpoint tra account, vengono fatturati solo al proprietario del firewall.

Firewall di rete AWS supporta l’ispezione approfondita dei pacchetti per il traffico crittografato.

I log di Firewall di rete AWS possono essere archiviati in modo nativo in Amazon S3, Amazon Kinesis Data Firehose e Amazon CloudWatch. Per ogni endpoint VPC sono disponibili i seguenti parametri: pacchetti ricevuti, pacchetti persi, pacchetti persi non validi, altri pacchetti persi e pacchetti trasmessi.

Puoi configurare l’ispezione TLS di Firewall di rete AWS dalla console Amazon VPC o dall’API di Firewall di rete. La configurazione è un processo in 3 fasi. Segui le fasi nella documentazione di Firewall di rete AWS per 1) eseguire il provisioning di certificati e chiavi, 2) creare una configurazione di ispezione TLS e 3) applicare la configurazione a una policy del firewall.

Il servizio supporta le versioni 1.1, 1.2 e 1.3 di TLS, ad eccezione di Encrypted Client Hello (ECH) e SNI crittografato (ESNI).

Firewall di rete AWS supporta tutte le suite di crittografia supportate da Gestione certificati AWS (ACM). Per maggiori dettagli, consulta le considerazioni sull’ispezione TLS nella documentazione.

I prezzi di Firewall di rete AWS dipendono dal numero di firewall distribuiti e dal volume di traffico ispezionato. Consulta i prezzi di Firewall di rete AWS per ulteriori informazioni sui costi di ispezione TLS in ingresso.

Con questo nuovo rilascio di funzionalità, prevediamo di mantenere le attuali prestazioni di larghezza di banda di Firewall di rete AWS. Consigliamo ai clienti di condurre test utilizzando i propri set di regole per garantire che il servizio soddisfi le loro aspettative di prestazioni.

È possibile abilitare i gruppi di regole gestite per la difesa contro le minacce attive in Firewall di rete AWS utilizzando la Console di gestione AWS, AWS CLI o gli SDK AWS. Per Firewall di rete AWS, durante la creazione o l’aggiornamento di una policy di firewall, è possibile selezionare il gruppo di regole per la difesa contro le minacce attive all’interno del menu a discesa dei gruppi di regole gestite AWS. Una volta aggiunto, il gruppo di regole gestite per la difesa contro le minacce attive sarà visualizzato automaticamente all’interno della policy del firewall. È possibile ampliare la configurazione del gruppo di regole nelle modalità di applicazione supportate come avviso o rifiuto.

I gruppi di regole gestite per la difesa contro le minacce attive in Firewall di rete AWS presentano diverse differenze rispetto ai gruppi di regole gestite di dominio, IP e firma delle minacce esistenti. Le regole per la difesa contro le minacce attive si basano principalmente sull’intelligence sulle minacce di Amazon. Questa funzionalità è incentrata sulla protezione rapida contro le minacce attive identificate dall’intelligence sulle minacce di Amazon. Quando viene identificata una minaccia attiva, Firewall di rete AWS applica automaticamente le regole gestite per bloccarla. La difesa contro le minacce attive è progettata per integrare altri gruppi di regole gestite, in modo tale da offrire un ulteriore livello di protezione.

Firewall di rete AWS si integra perfettamente con Amazon CloudWatch e offre così funzionalità complete di registrazione e monitoraggio che aiutano a monitorare le corrispondenze di regole e i parametri delle prestazioni. Nella sezione dedicata ai gruppi di regole gestite per la difesa contro le minacce attive della console di Firewall di rete, è possibile ottenere maggiore visibilità sull’assetto di sicurezza, compresi dettagli relativi a gruppi di indicatori, tipi di indicatori e nomi delle minacce specifiche mitigate. 

Sì, paghi un costo aggiuntivo per la quantità di traffico elaborato dall’endpoint del firewall quando i gruppi di regole per la difesa contro le minacce attive sono abilitati nella policy del firewall. Questo traffico viene fatturato per gigabyte per Regione e zona di disponibilità.      

I gruppi di regole gestite per la difesa contro le minacce attive utilizzano una capacità di regole pari a 15.000; il limite totale predefinito rimane invece pari a 30.000 regole stateful per policy di firewall in una Regione. Puoi richiedere un aumento della quota per le regole stateful a livello di account senza costi aggiuntivi. Per ulteriori informazioni sulle quote di Firewall di rete AWS e su come richiedere un aumento del limite di regole stateful, consulta la documentazione.