Вопросы и ответы о Диспетчере брандмауэра AWS

Темы страниц

Общие вопросы
6
Включение AWS Firewall Manager
8
Панель управления и наглядное представление
3

Общие вопросы

Диспетчер брандмауэра AWS – это сервис управления безопасностью, который обеспечивает централизованную настройку правил брандмауэра и управление ими для различных приложений и аккаунтов в сервисе Организации AWS. AWS Firewall Manager упрощает работу по приведению новых приложений и связанных ресурсов в соответствие со стандартным набором обязательных правил безопасности. Этот сервис предназначен для централизованного создания правил брандмауэра и политик безопасности, а также их согласованного применения в порядке иерархии ко всей инфраструктуре.

Диспетчер брандмауэра AWS интегрирован с Организациями AWS, что позволяет применять правила AWS WAF, средства защиты AWS Shield расширенный, группы безопасности VPC, Сетевые брандмауэры AWS и правила брандмауэра DNS Средства распознавания Amazon Route 53 для различных аккаунтов и ресурсов AWS из одного и того же места. Firewall Manager отслеживает создание новых ресурсов и аккаунтов, чтобы обеспечить их соответствие обязательному набору политик безопасности с первого же дня. Сервис позволяет группировать правила, создавать политики и обеспечивать их централизованное применение ко всей инфраструктуре. Например, можно делегировать возможность создавать правила для конкретных приложений в пределах одного аккаунта, но сохранить при этом возможность применять единые политики безопасности для всех аккаунтов. Специалисты по безопасности могут получать уведомления об угрозах для организации и имеют возможность быстро реагировать и нейтрализовывать атаки.

Сервис Диспетчер брандмауэра AWS интегрирован с управляемыми правилами для AWS WAF. Это упрощает развертывание готовых правил WAF для приложений.

Администраторы безопасности могут с помощью Firewall Manager применять базовый набор правил группы безопасности для инстансов EC2, балансировщиков нагрузки приложений и эластичных сетевых интерфейсов (ENI) в ваших Amazon VPC. В то же время вы также можете выполнять аудит любых групп безопасности в ваших VPC на предмет нестрогих правил и исправлять их из одной точки.

С помощью Firewall Manager вы также можете централизовано разворачивать адреса и правила для сетевых брандмауэров AWS в VPC вашей организации, чтобы контролировать исходящий и входящий трафик сети. В то же время вы можете использовать Firewall Manager, чтобы связать VPC в своих аккаунтах с правилами брандмауэра DNS Route 53 Resolver для блокировки запросов DNS, отправленных с известных мошеннических доменов, и для разрешения выполнения запросов от доверенных доменов.

Используя Диспетчер брандмауэра AWS, можно централизованно настраивать правила AWS WAF, средства защиты сервиса AWS Shield расширенный, группы безопасности виртуального частного облака Amazon (VPC), списки управления доступом (ACL) к сети, Сетевые брандмауэры AWS и правила брандмауэра DNS Средства распознавания Amazon Route 53 для разных учетных записей и ресурсов вашей организации.

С помощью AWS Firewall Manager можно сделать следующее 

  • Без труда централизованно развертывайте правила AWS WAF для балансировщиков Application Load Balancer, шлюзов API и баз раздачи Amazon CloudFront. 
  • Вы также можете поставить защиту AWS Shield Advanced для балансировщиков Application Load Balancer и ELB Classic Load Balancer, а также эластичных IP-адресов Elastic IP Addresses и баз раздачи CloudFront. 
  • Можно настроить новые группы безопасности Amazon Virtual Private Cloud (VPC) и провести аудит любых существующих групп безопасности для таких типов ресурсов как Amazon EC2, балансировщики нагрузки приложения (ALB) и ENI. 
  • Вы также можете централизованно развертывать сетевые брандмауэры AWS для учетных записей и VPC своей организации.
  • В конце концов, с помощью AWS Firewall Manager вы можете связывать правила брандмауэра DNS Amazon Route 53 Resolver в различных VPC вашей организации.
  • Вы можете настроить для своих подсетей VPC новые списки управления доступом (ACL) к сети виртуального частного облака (VPC).

Цены на Диспетчер брандмауэра AWS доступны по ссылке.

Актуальные сведения о доступности сервиса Диспетчера брандмауэра AWS по регионам см. в таблице регионов AWS.

Включение AWS Firewall Manager

Использование AWS Firewall Manager предусматривает предварительное выполнение трех обязательных условий и одного дополнительного.

  • Организации AWS. Аккаунты должны быть частью сервиса Организации AWS, при этом все их функции должны быть включенными. Подробнее см. в документации Организации AWS.
  • Настройка аккаунта администратора Диспетчера брандмауэра AWS. Диспетчер брандмауэра AWS должен быть связан с управляющим аккаунтом организации в AWS или с аккаунтом участника, имеющим соответствующие разрешения. Аккаунт, связанный с Firewall Manager, называется аккаунтом администратора Firewall Manager. Чтобы получить дополнительную информацию, ознакомьтесь с документацией.
  • Включение AWS Config для аккаунтов. Включите AWS Config для каждого аккаунта-участника в своей организации. См. документацию для AWS Config.
  • Включение Диспетчера доступа к ресурсам AWS (необязательно). Прежде чем включить Диспетчер брандмауэра AWS для настройки Сетевых брандмауэров AWS или связывания правил брандмауэра DNS Средства распознавания Amazon Route 53 для разных аккаунтов и VPC, необходимо сначала активировать совместное использование ресурсов с помощью Диспетчера доступа к ресурсам AWS (AWS RAM).
  • Во-первых, требуется выполнить предварительные условия, указанные выше.
  • Во-вторых, создайте тип политики для AWS WAF, AWS Shield Advanced, группы безопасности VPC, сетевого брандмауэра AWS или брандмауэра DNS Amazon Route 53 Resolver.
  • В-третьих, в зависимости от политики укажите набор правил или средств защиты. Например, для политики для AWS WAF укажите группы правил (настраиваемые или управляемые), которые необходимо развернуть в учетных записях. Точно так же укажите для групповой политики безопасности VPC группу безопасности, которую необходимо реплицировать в каждом ресурсе учетных записей. Для AWS Network Firewall укажите группы правил (с отслеживанием состояния и без отслеживания состояния), которые хотите развернуть в VPC своих учетных записей. Для брандмауэра DNS Amazon Route 53 Resolver укажите набор правил (группы правил), которые требуется связать с вашими VPC в аккаунтах.
  • В-четвертых, укажите область действия политики, выбрав учетные записи, тип ресурса и, при необходимости, теги ресурсов, где собираетесь применить политику.
  • После этого можно просмотреть и создать политику. Firewall Manager автоматически применяет правила и средства защиты ко всем ресурсам в учетных записях. После завершения Firewall Manager также отображает панель мониторинга соответствия, на которой выводятся, любые учетные записи или ресурсы, которые соответствуют либо не соответствуют требованиям.

Да. Политику Firewall Manager можно настроить в двух режимах.

  • Режим автоматического исправления позволяет автоматически отслеживать изменения в политике и применять правила к ресурсам, которые не соответствуют требованиям.
  • Режим ручного исправления создает новую политику и связанные группы правил / средства защиты в каждом аккаунте, но не обеспечивает принудительное применение правил к ресурсам в аккаунте. После создания политики с ручным исправлением можно вручную выполнять действие для каждого локального аккаунта либо в любой момент изменить исходную политику, выбрав автоматическое исправление.

Каждую политику Firewall Manager можно применять не более чем для 2500 аккаунтов, что соответствует лимиту по умолчанию для количества аккаунтов в AWS Organizations.

В настоящее время ограничение на количество ресурсов, которыми управляет Firewall Manager, отсутствует.

Нет. Политики защиты диспетчера брандмауэра AWS зависят от региона. Каждая политика диспетчера брандмауэра может включать только те ресурсы, которые доступные в конкретном регионе AWS. Можно создать отдельную политику для каждого региона, в котором осуществляется работа.

Да. Аккаунты можно исключать. Чтобы указать ресурсы, которые следует исключить из области действия политики, также используйте теги.

Политика безопасности диспетчера брандмауэра представляет собой набор конфигураций, позволяющих клиентам указать аккаунты и ресурсы, с которыми должен быть связан набор правил брандмауэра, с дополнительными конфигурациями, настроенными для каждого типа брандмауэра. Диспетчер брандмауэра сегодня поддерживает AWS WAF, AWS Shield Advanced, группы безопасности VPC, AWS Network Firewall, Amazon Route 53 Resolver DNS Firewall и сторонние брандмауэры торговой площадки AWS.

Панель управления и наглядное представление

С помощью Firewall Manager можно быстро увидеть состояние соответствия требованиям для каждой политики, просмотрев общее количество включенных в область действия политики аккаунтов, а также определив, какое количество из них соответствует требованиям. Кроме того, для каждой политики, настроенной в Firewall Manager, доступна отдельная панель соответствия. Центральная панель соответствия требованиям позволяет просматривать, какие аккаунты не соответствуют требованиям данной политики, какие конкретные ресурсы не соответствуют требованиям, а также предоставляет информацию о том, почему конкретный ресурс не соответствует требованиям. В Центре безопасности AWS также можно просматривать события, не соответствующие требованиям, для каждого аккаунта.

Да. Можно создать новые каналы уведомлений SNS для получения в режиме реального времени уведомлений о выявлении новых ресурсов, которые не соответствуют требованиям. Точно так же каждый аккаунт, на который распространяется действие политики Диспетчера брандмауэра AWS, получает уведомления о несоответствующих требованиям событиях в Центре безопасности AWS.

Для каждой созданной политики Firewall Manager можно объединить на уровне правила в группе соответствующие метрики CloudWatch, которые будут показывать количество разрешенных или заблокированных запросов по всей организации. Это позволяет централизованно настроить отправку предупреждений об угрозах в рамках организации.