概觀
透過 Automations for AWS Firewall Manager,您可以跨所有 AWS Organizations 帳戶和資源,以自動化方式集中設定、管理和稽核防火牆規則。使用此 AWS 解決方案,您可以在整個組織中維持一致的安全狀態。
此解決方案提供預設規則,以便為 AWS WAF 設定應用程式級防火牆,稽核未使用且過於寬鬆的 Amazon Virtual Private Cloud (Amazon VPC) 安全群組,以及設定 DNS 防火牆以封鎖惡意網域的查詢。
此解決方案還可協助您建立防火牆安全規則的快速基準,並透過與 AWS Shield Advanced 整合來防範分散式拒絕服務 (DDoS) 攻擊。
注意:如果您已經在您的組織中使用 Firewall Manager,則可以使用此解決方案;但是,必須在您的 Firewall Manager 管理員帳戶中安裝該解決方案。如果尚未設定 Firewall Manager,請參閱實作指南以獲取相關步驟。
優勢
使用 AWS Firewall Manager 在多帳戶 AWS 環境中,輕鬆設定和稽核 AWS WAF、DNS 和安全群組規則。
善用此解決方案來安裝使用 Firewall Manager 所需的先決條件,這樣您就可以花更多時間關注您的特定安全需求。
充分利用您的 AWS Shield Advanced 訂閱,在 AWS Organizations 中的各個帳戶間部署 DDoS 保護機制。
技術詳細資訊
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
該架構可分解為兩個工作流程:政策管理員和合規報告產生器。
步驟 1
Parameter Store 是 AWS Systems Manager 的一項功能,包含三個參數:/FMS/OUs、/FMS/Regions 和 /FMS/Tags。使用 Systems Manager 更新這些參數。
步驟 2
Amazon EventBridge 規則使用事件模式來擷取 Systems Manager 參數更新事件。
步驟 3
EventBridge 規則將調用 AWS Lambda 函數。
步驟 4
Lambda 函數跨使用者指定的 OU 安裝一組預先定義的 AWS Firewall Manager 安全政策。此外,如果您訂閱了 AWS Shield,則此解決方案會部署進階政策來防禦分散式拒絕服務 (DDoS) 攻擊。
步驟 5
PolicyManager Lambda 函數可以從 Amazon Simple Storage Service (Amazon S3) 儲存貯體擷取政策資訊清單檔案,並使用資訊清單檔案建立 Firewall Manager 安全政策。
步驟 6
Lambda 將政策中繼資料儲存在 Amazon DynamoDB 資料表中。
步驟 7
以時間為基礎的 EventBridge 規則會調用 合規產生器 Lambda 函數。
步驟 8
合規產生器 Lambda 會擷取每個區域中的 Firewall Manager 政策,並在 Amazon Simple Notification Service (Amazon SNS) 主題中發佈政策 ID 的清單。
步驟 9
Amazon SNS 主題會以承載 {PolicyId: string, Region: string} 調用合規產生器 Lambda 函數。
步驟 10
合規產生器 Lambda 函數會為每一個政策產生合規報告,並在 S3 儲存貯體中以 CSV 格式上傳報告。