Perguntas frequentes do AWS Network Firewall

O AWS Network Firewall é um serviço gerenciado que facilita a implantação de proteções básicas de rede para todas as suas nuvens privadas virtuais da Amazon (VPCs). É possível configurar o serviço em poucos cliques para escalar automaticamente de acordo com o tráfego da sua rede, assim você não precisa se preocupar com a implantação e o gerenciamento de nenhuma infraestrutura. O flexível mecanismo de regras do AWS Network Firewall permite definir regras de firewall que oferecem controle detalhado do tráfego de rede, como bloqueio de solicitações de Server Message Block (SMB) de saída para evitar que uma atividade maliciosa se espalhe. Você também pode importar regras que já escreveu em formatos comuns de regras de código aberto ou importar regras compatíveis de parceiros da AWS. O AWS Network Firewall funciona junto com o AWS Firewall Manager, permitindo que você crie políticas com base em regras do AWS Network Firewall e aplique essas políticas em suas VPCs e contas de maneira centralizada.

Como a infraestrutura do AWS Network Firewall é gerenciada pela AWS, você não precisa se preocupar em criar e manter sua própria infraestrutura de segurança de rede. O AWS Network Firewall funciona com o AWS Firewall Manager e, portanto, você pode gerenciar políticas de segurança centralmente e aplicar políticas de segurança obrigatórias automaticamente em contas e VPCs existentes e recém-criadas. O AWS Network Firewall tem um mecanismo de regras altamente flexível, para que você possa criar regras de firewall personalizadas para proteger suas workloads exclusivas. O AWS Network Firewall oferece suporte a milhares de regras, e essas regras podem ser baseadas em domínio, porta, protocolo, endereços IP e correspondência de padrões.

O AWS Network Firewall inclui atributos que protegem contra ameaças de rede comuns. O firewall com estado do AWS Network Firewall pode incorporar o contexto de fluxos de tráfego, como conexões de rastreamento e identificação de protocolos, para aplicar políticas como prevenção de acesso a domínios por suas VPCs por meio de um protocolo não autorizado. O Intrusion Prevention System (IPS – Sistema de prevenção de invasões) do AWS Network Firewall fornece inspeção ativa do fluxo de tráfego para que você monitore e bloqueie explorações de vulnerabilidades usando detecção baseada em assinaturas. O AWS Network Firewall também oferece filtragem da Web para interromper o tráfego para URLs marcados como ameaças e monitorar nomes de domínios totalmente qualificados.

O AWS Network Firewall oferece controle e visibilidade do tráfego entre VPCs para separar logicamente as redes que hospedam aplicações sigilosas ou recursos da linha de negócios. O AWS Network Firewall fornece filtragem de tráfego de saída baseada em URL, endereço IP e domínio para ajudar você a atender aos requisitos de conformidade, impedir possíveis vazamentos de dados e bloquear a comunicação com hosts de malware conhecidos. O AWS Network Firewall protege o tráfego do AWS Direct Connect e da AWS VPN em execução no AWS Transit Gateway proveniente de dispositivos clientes e de seus ambientes on-premises. O AWS Network Firewall protege a disponibilidade das aplicações filtrando o tráfego de Internet de entrada por meio de atributos como regras de lista de controle de acesso (ACL), inspeção com estado, detecção de protocolos e prevenção de invasões.

O AWS Network Firewall foi projetado para proteger e controlar o acesso de e para sua VPC, mas não para mitigar ataques volumétricos, como negação de serviço distribuída (DDoS), que podem afetar a disponibilidade da sua aplicação. Para se proteger contra ataques de DDoS e garantir a disponibilidade das aplicações, recomendamos que os clientes analisem e sigam nossas Práticas recomendadas da AWS para resiliência de DDoS e também explorem o AWS Shield Avançado, que oferece proteção gerenciada contra DDoS e personalizada para seu tráfego específico de aplicações.

O AWS Network Firewall complementa os serviços de segurança de rede e aplicações existentes na AWS, fornecendo controle e visibilidade do tráfego de rede de Camada 3-7 para toda a sua VPC. Dependendo do seu caso de uso, você pode optar por implementar o AWS Network Firewall junto com seus controles de segurança existentes, como Grupos de segurança da Amazon VPC, regras do AWS Web Application Firewall ou dispositivos do AWS Marketplace.

A definição de preço do AWS Network Firewall se baseia no número de firewalls implantados e na quantidade de tráfego inspecionado. Consulte os preços do AWS Network Firewall para obter mais informações.

Para obter mais informações sobre a disponibilidade regional do AWS Network Firewall, consulte a tabela de regiões da AWS.

Vários parceiros da Rede de Parceiros da AWS (APN) oferecem produtos que complementam os atuais serviços da AWS para permitir que você implante uma arquitetura de segurança contínua e abrangente na AWS e em seu ambiente on-premises. Para obter uma lista atual de parceiros da APN que oferecem produtos que complementam o AWS Network Firewall, consulte os parceiros do AWS Network Firewall.

O AWS Network Firewall oferece um Contrato de nível de serviço com um compromisso de tempo de atividade de 99,99%. O AWS Network Firewall permite que você escale automaticamente para mais ou para menos a capacidade do firewall com base na carga de tráfego para manter uma performance estável e previsível e minimizar os custos.

O AWS Network Firewall está sujeito a cotas de serviço para o número de firewalls, políticas de firewall e grupos de regras que você pode criar e para outras configurações, como o número de grupos de regras com ou sem reconhecimento de estado que você pode ter em uma única política de firewall. Para obter detalhes adicionais sobre cotas de serviço, incluindo informações sobre como solicitar um aumento dessas cotas, consulte a página de cotas do AWS Network Firewall.

O AWS Network Firewall oferece suporte a dois tipos principais de implantação: centralizada e distribuída. Quando distribuído, o AWS Network Firewall pode ser implantado em cada uma das suas Amazon VPCs para fiscalização mais próxima das aplicações. O AWS Network Firewall também oferece suporte a uma implantação centralizada como um anexo de VPC ao seu AWS Transit Gateway. Com o Network Firewall no modo Transit Gateway, que mantém o roteamento simétrico para o mesmo firewall de zona, você pode filtrar uma variedade de tráfego de entrada e saída de ou para Gateways da Internet, gateways Direct Connect, PrivateLink, gateways de VPN Site-to-Site e de Cliente, gateways de NAT e até mesmo entre outras VPCs e sub-redes conectadas.

O AWS Network Firewall é implantado como um serviço de endpoint, semelhante a outros serviços de rede, como o AWS PrivateLink. Seu endpoint do AWS Network Firewall deve ser implantado em uma sub-rede dedicada dentro da Amazon VPC, com um tamanho mínimo de /28. O AWS Network Firewall inspeciona todo o tráfego que é roteado ao endpoint, que é o mecanismo para inserção e filtragem de caminhos. Por meio do console do AWS Firewall Manager ou de soluções de parceiros que se integram ao AWS Firewall Manager, você pode criar configurações e políticas de maneira centralizada usando vários tipos de regras, como listas de controle de acesso (ACLs) sem reconhecimento de estado, inspeção com reconhecimento de estado e sistemas de prevenção de intrusões (IPSs). Como o AWS Network Firewall é um serviço gerenciado pela AWS, a AWS cuida da escalabilidade, disponibilidade, resiliência e atualizações de software.

Sim. O AWS Network Firewall é um serviço regional e protege o tráfego de rede no nível da organização e da conta. Para manter a política e governança entre várias contas, você deve usar o AWS Firewall Manager.

Uma política do AWS Network Firewall define o comportamento de monitoramento e proteção de um firewall. Os detalhes desse comportamento são definidos nos grupos de regras que você adiciona à sua política ou em determinadas configurações de política padrão. Para usar uma política de firewall, você associa a política a um ou mais firewalls.

Um grupo de regras é um conjunto reutilizável de regras de firewall para inspecionar e filtrar o tráfego da rede. Você pode usar grupos de regras sem estado ou com estado para configurar os critérios de inspeção de tráfego para suas políticas de firewall. Você pode criar os seus próprios grupos de regras ou usar os que são gerenciados pelos vendedores do AWS Marketplace. Para obter mais informações, consulte o Guia do desenvolvedor do AWS Network Firewall.

O AWS Network Firewall é compatível com a regras sem estado e com estado. As regras sem estado consistem em listas de controle de acesso (ACLs) à rede, que podem ser baseadas em endereços IP, portas ou protocolos de origem e destino. As regras com estado são definidas por endereços IP, portas e protocolos de origem e destino, mas são diferentes das regras sem estado porque mantêm e protegem as conexões ou sessões durante toda a atividade delas.

O AWS Network Firewall também oferece regras gerenciadas que oferecem proteção pré-configurada. Essas regras são gerenciadas pela AWS ou por um parceiro da AWS. As regras gerenciadas por um parceiro da AWS podem ser assinadas no AWS Marketplace.

As regras gerenciadas pela AWS oferecem defesa contra ameaças ativas, que usa a inteligência de ameaças global da AWS para proteger de maneira automática contra ameaças ativas, bem como grupos de regras gerenciadas por domínio, IP e assinatura de ameaças.

As regras gerenciadas por parceiros oferecem regras selecionadas que podem ser integradas com facilidade às políticas do AWS Network Firewall. Essas regras ajudam a proteger os workloads na nuvem contra vários casos de uso.

Cada um desses tipos de regras pode ser combinado nas políticas de firewall para criar uma proteção abrangente adaptada às suas necessidades de segurança.

Você pode registrar sua atividade do AWS Network Firewall em um bucket do Amazon S3 para análise e investigação adicionais. Você também pode usar o Amazon Kinesis Firehose para transferir seus logs para um provedor terceirizado.

Sim. Você pode usar o recurso nativo de integração ou implantar o AWS Network Firewall na sua VPC e, em seguida, anexar manualmente essa VPC a um TGW. Para obter mais informações sobre essa configuração, consulte a postagem no blog sobre Modelos de implantação do AWS Network Firewall.

O AWS Network Firewall já usa o AWS Gateway balanceador de carga para fornecer escalabilidade elástica para o endpoint do firewall e não exige integração separada. Você pode observar isso verificando a interface de rede elástica (ENI) do endpoint do firewall, que usa o tipo “gateway_load_balancer_endpoint”.

A definição de preço do AWS Network Firewall se baseia no número de firewalls implantados e na quantidade de tráfego inspecionado. Se você associar um firewall a várias VPCs, o endpoint de firewall primário na VPC de inspeção será cobrado pela taxa por hora padrão para cada região e AZ. Para cada endpoint secundário adicional associado a esse firewall, você paga uma taxa por hora menor para cada região e AZ. Você também paga pela quantidade de tráfego processada pelo firewall, cobrada por gigabyte para cada região e zona de disponibilidade. Consulte os preços do AWS Network Firewall para obter mais informações sobre os custos de vários endpoints.

O AWS Network Firewall é compatível com os seguintes tipos de controle de tráfego de saída: filtragem de URL do protocolo HTTPS (SNI)/HTTP, listas de controle de acesso (ACLs), consulta ao DNS e detecção de protocolo.

O AWS Network Firewall aumenta a escala verticalmente até 100 Gbps de largura de banda para cada AZ. A largura de banda de 100 Gbps é compartilhada por todos os endpoints da VPC associados. Por isso, os clientes devem considerar o volume total de tráfego previsto ao planejar a implantação. Se um único endpoint estiver com excesso de assinaturas, isso poderá afetar o desempenho. Recomendamos que os clientes realizem testes usando seus conjuntos de regras para garantir que o serviço atenda às suas expectativas de desempenho.

A cobrança da conta do proprietário do firewall é baseada no firewall de inspeção, bem como em todos os endpoints secundários associados ao firewall em cada AZ. Apenas o proprietário do firewall é cobrado por todos os endpoints primários e secundários associados, incluindo associações de endpoints entre contas.

O AWS Network Firewall oferece suporte à inspeção profunda de pacotes para tráfego criptografado.

Os logs do AWS Network Firewall podem ser armazenados de forma nativa no Amazon S3, Amazon Kinesis Data Firehose e Amazon CloudWatch. As métricas a seguir estão disponíveis para cada endpoint da VPC: pacotes recebidos, pacotes descartados, pacotes descartados inválidos, outros pacotes descartados e pacotes transmitidos.

Você pode configurar a inspeção de TLS do AWS Network Firewall a partir do console da Amazon VPC ou da API do Network Firewall. Essa configuração é um processo em três etapas. Siga as etapas na documentação do serviço AWS Network Firewall para 1) provisionar certificados e chaves, 2) criar uma configuração de inspeção de TLS e 3) aplicar a configuração a uma política de firewall.

O serviço é compatível com as versões 1.1, 1.2 e 1.3 do TLS, com exceção do cliente criptografado hello (ECH) e do SNI criptografado (ESNI).

O AWS Network Firewall oferece suporte a todos os pacotes de criptografia compatíveis com o AWS Certificate Manager (ACM). Consulte as considerações de inspeção de TLS na documentação de serviço para obter mais detalhes.

A definição de preço do AWS Network Firewall se baseia no número de firewalls implantados e na quantidade de tráfego inspecionado. Consulte os preços do AWS Network Firewall para obter mais informações sobre o custo da inspeção de TLS de entrada.

Esperamos manter a performance atual da largura de banda do AWS Network Firewall com esse novo lançamento de atributo. Recomendamos que os clientes façam seus próprios testes usando seus conjuntos de regras para garantir que o serviço atenda às suas expectativas de performance.

Você pode habilitar grupos de regras gerenciadas de defesa contra ameaças ativas no AWS Network Firewall por meio do Console de Gerenciamento da AWS, da AWS CLI ou dos SDKs da AWS. No AWS Network Firewall, você pode selecionar o grupo de regras de defesa contra ameaças ativas no menu suspenso dos grupos de regras gerenciadas pela AWS ao criar ou atualizar uma política de firewall. Depois de adicionar, você verá automaticamente o grupo de regras gerenciadas de defesa contra ameaças ativas na sua política de firewall. Você pode configurar ainda mais o grupo de regras nos modos de aplicação compatíveis, como alertar ou negar.

Os grupos de regras gerenciadas de defesa contra ameaças ativas no AWS Network Firewall são diferentes de várias maneiras dos atuais grupos de regras gerenciadas por domínio, IP e assinatura de ameaças. Primeiramente, as regras de defesa contra ameaças ativas são baseadas na inteligência de ameaças da Amazon. O foco desse recurso é na proteção rápida contra ameaças ativas identificadas pela inteligência de ameaças da Amazon. Quando uma ameaça ativa é identificada, o AWS Network Firewall aplica de maneira automática regras gerenciadas para bloquear a ameaça. A defesa contra ameaças ativa foi desenvolvida para complementar outros grupos de regras gerenciadas, oferecendo uma camada adicional de proteção.

O AWS Network Firewall tem integração total com o Amazon CloudWatch, oferecendo recursos abrangentes de registro em log e monitoramento que ajudam você a rastrear correspondências de regras e métricas de desempenho. Na seção dos grupos de regras gerenciadas de defesa contra ameaças ativas do console do Network Firewall, você tem uma visibilidade aprimorada da sua postura de segurança, incluindo detalhes sobre grupos de indicadores, tipos de indicadores e nomes específicos das ameaças que são mitigadas. 

Sim, você paga uma taxa adicional pela quantidade de tráfego processada pelo endpoint de firewall quando os grupos de regras de defesa contra ameaças ativas estiverem habilitados na sua política de firewall. Esse tráfego é cobrado por gigabyte por região e zona de disponibilidade.      

Os grupos de regras gerenciadas de defesa contra ameaças ativas utilizam uma capacidade fixa de regras de 15.000, enquanto o limite total padrão permanece em 30.000 regras com estado para cada política de firewall em uma região. Você pode solicitar um aumento de cota para regras com estado no nível da conta sem nenhum custo adicional. Para saber mais sobre as cotas do AWS Network Firewall e solicitar um aumento do limite de regras com estado, consulte a documentação do serviço.