Häufig gestellte Fragen zu AWS Firewall Manager

F: Was ist AWS Firewall Manager?

AWS Firewall Manager ist ein Sicherheitsmanagementservice, der die zentrale Konfiguration und Verwaltung von Firewallregeln für Ihre Konten und Anwendungen in AWS Organization ermöglicht. Wenn neue Anwendungen erstellt werden, können Sie mit dem Firewall Manager ganz einfach neue Anwendungen und Ressourcen festgelegte Sicherheitsregeln durchsetzen. Jetzt haben Sie einen einzigen Service, mit dem Sie Firewall-Regeln erstellen, Sicherheitsrichtlinien erstellen und diese in einer konsistenten, hierarchischen Weise über Ihre gesamte Infrastruktur durchsetzen können.

F: Was sind die Hauptvorteile von AWS Firewall Manager?

AWS Firewall Manager ist in AWS Organizations integriert, so dass Sie AWS-WAF-Regeln, AWS-Shield-Advanced-Schutz, VPC-Sicherheitsgruppen und AWS Network Firewalls und Amazon Route 53 Resolver DNS Firewall-Regeln für mehrere AWS-Konten und Ressourcen von einem einzigen Ort aus aktivieren können. Firewall Manager überwacht neu generierte Ressourcen oder Konten, um sicherzustellen, dass diese von Anfang an einen obligatorischen Satz Schutzrichtlinien einhalten. Sie können Regeln gruppieren, Richtlinien aufstellen und diese zentral für Ihre gesamte Infrastruktur anwenden. So können Sie beispielsweise die Erstellung anwendungsspezifischer Regeln in einem Konto an andere Personen delegieren, während Sie weiterhin für die Durchsetzung der globalen, kontoübergreifenden Sicherheitsrichtlinien verantwortlich bleiben. Ihr Sicherheitsteam kann über Bedrohungen für die Organisation benachrichtigt werden, damit es reagieren und einen Angriff schnell eindämmen kann.

Firewall Manager ist auch mit Managed Rules for AWS WAF integrierbar. Somit können Sie vorkonfigurierte WAF-Regeln leicht für Ihre Anwendungen bereitstellen.

Sicherheitsadministratoren können mit Firewall Manager einen Baseline-Satz von Sicherheitsgruppenregeln für EC2-Instances, Application Load Balancers und Elastic Network-Schnittstellen (ENIs) in Ihren Amazon VPCs anwenden. Gleichzeitig können Sie auch alle vorhandenen Sicherheitsgruppen in Ihren VPCs auf zu freizügige Regeln überprüfen und diese von einer einzigen Stelle aus beheben.

Sie können den Firewall Manager einsetzen, um zentral für AWS Network Firewall-Endpunkte und verbundene Regeln für Ihre VPCs in Ihrer Organisation bereitzustellen, um den Verkehr, der Ihr Netzwerk verlässt und in Ihr Netzwerk eintritt, zu kontrollieren. Gleichzeitig können Sie mit Firewall Manager Ihre VPCs auch mit Route 53 Resolver DNS Firewall-Regeln über mehrere Konten verbinden, um DNS-Abfragen für bekannte schädliche Domänen zu blockieren und Abfragen für vertrauenswürdige Domänen zuzulassen.

F: Was konfiguriert AWS Firewall Manager?

Mit dem AWS Firewall Manager können Sie zentral AWS WAF-Regeln, AWS Shield Advanced-Schutz, Amazon Virtual Private Cloud (VPC) Sicherheitsgruppen, AWS Network Firewalls und amazon Route 53 Resolver DNS Firewall-Regeln über Konten und Ressourcen in Ihrer Organisation hinweg konfigurieren.

F: Konfiguriert AWS Firewall Manager VPC Security Groups oder Netzwerk-ACLs?

Ja, AWS Firewall Manager unterstützt die Konfiguration von VPC-Sicherheitsgruppen. Derzeit werden jedoch keine Netzwerk-ACLs unterstützt.

F: Für welche AWS-Ressourcen kann AWS Firewall Manager Regeln konfigurieren?

Wenn Sie AWS Firewall Manager verwenden, können Sie 

• Rollen Sie AWS WAF-Regeln einfach über Application Load Balancer, API Gateways und Amazon CloudFront-Verteilungen aus. 
• Sie können AWS Shield Advanced-Schutzmechanismen für Ihre Application Load Balancers, ELB Classic Load Balancers, Elastic IP-Adressen und CloudFront-Verteilungen erstellen. 
• Sie können neue Amazon Virtual Private Cloud (VPC)-Sicherheitsgruppen konfigurieren und alle vorhandenen Sicherheitsgruppen für Ihre Amazon EC2, ALBs (Application Load Balancers) und ENI-Ressourcentypen überprüfen. 
• Sie können AWS Network Firewalls auch in verschiedenen Konten und VPCs in Ihrem Unternehmen bereitstellen.
  
• Schließlich können Sie mit AWS Firewall Manager auch Amazon Route 53 Resolver DNS Firewall-Regeln für VPCs in Ihrem Unternehmen hinweg verbinden.
  

F: Was kostet AWS Firewall Manager?

Die Preisstruktur von AWS Firewall Manager finden Sie hier.

F: In welchen Regionen ist AWS Firewall Manager verfügbar?

Besuchen Sie die AWS-Regionentabelle, um die aktuelle Verfügbarkeit für AWS Firewall Manager anzuzeigen.

F: Was sind die Voraussetzungen für AWS Firewall Manager?

Es gibt drei zwingende Voraussetzungen und eine optionale Voraussetzung für die Verwendung des AWS Firewall Managers.

• AWS Organizations – Ihre Konten müssen Teil von AWS Organizations sein und alle ihre Funktionen müssen aktiviert sein. Weitere Informationen finden Sie in der Dokumentation zu AWS Organizations.
• Anlegen des AWS-Firewall-Manager-Administratorkontos – dem Firewall Manager muss das Master-Konto Ihrer AWS-Organisation bzw. ein Mitgliedskonto mit adäquaten Berechtigungen zugewiesen sein. Das dem Firewall Manager zugewiesene Konto wird als Firewall-Manager-Administratorkonto bezeichnet. Weitere Informationen finden Sie im Dokumentations-Leitfaden.
  
• Aktivieren von AWS Config bei Konten – AWS Config muss für jedes Mitgliedskonto in Ihrer Organisation aktiviert sein. Siehe Dokumentation zu AWS Config.
• AWS Resource Access Manager aktivieren (Optional) – Damit der Firewall Manager die AWS Network Firewalls zentral konfigurieren kann bzw. Amazon-Route-53-Resolver-DNS-Firewall-Regeln für Konten und VPCs verbinden kann, müssen Sie zuerst die gemeinsame Nutzung von Ressourcen mit AWS Resource Access Manager aktivieren.

F: Wie nutze ich AWS Firewall Manager?

• Erfüllen Sie zunächst die oben genannten Voraussetzungen.
• Zweitens, erstellen Sie einen Richtlinientyp für AWS WAF, AWS Shield Advanced, VPC-Sicherheitsgruppe, AWS Network Firewall oder Amazon Route 53 Resolver DNS Firewall.
• Drittens, je nach Richtlinie, geben Sie die Regeln oder Schutzmaßnahmen an. Geben Sie z. B. für eine Richtlinie für AWS WAF die Regelgruppen (benutzerdefiniert oder verwaltet) an, die Sie kontenübergreifend bereitstellen möchten. In ähnlicher Weise verweisen Sie bei einer Richtlinie für VPC-Sicherheitsgruppen auf die Sicherheitsgruppe, die in jeder Ressource innerhalb von Konten repliziert werden soll. Geben Sie für die AWS Netzwerk-Firewall die Regelgruppen (zustandsbehaftete und zustandslose) an, die Sie über VPCs in Ihren Konten bereitstellen möchten. Geben Sie für Amazon Route 53 Resolver DNS Firewall den Regelsatz (die Regelgruppen) an, den Sie mit Ihren VPCs in Ihren Konten verbinden wollen.
• Viertens legen Sie den Geltungsbereich der Richtlinie fest, indem Sie die Konten, den Ressourcentyp und optional die Ressourcen-Tags wählen, wo die Richtlinie bereitgestellt werden soll.
• Schließlich können Sie die Richtlinie prüfen und generieren. Der Firewall-Manager wendet die Regeln und Schutzvorkehrungen automatisch auf alle Ressourcen kontenübergreifend an. Nach der Fertigstellung zeigt Firewall Manager auch ein Compliance-Dashboard an, das alle Konten/Ressourcen anzeigt, die nicht konform sind und diejenigen, die konform sind.

F: Kann ich eine Firewall Manager-Richtlinie generieren, dafür jedoch keine automatische Remediation durchführen?

Ja, Sie können eine Firewall Manager-Richtlinie auf zwei Arten konfigurieren –

• Automatische Remediation, bei der Sie automatisch auf Abweichungen von der Richtlinie prüfen und Regeln für nicht-konforme Ressourcen anwenden können
• Manuelle Korrektur, die eine neue Richtlinie und die damit verbundenen Regeln/Schutzmaßnahmen in jedem Konto erstellt, aber die Regeln für die Ressourcen im Konto nicht durchsetzt. Nachdem die Richtlinie mit manueller Korrektur erstellt wurde, können Sie wählen, ob Sie für jedes lokale Konto manuelle Maßnahmen ergreifen oder die Richtlinie zu jedem beliebigen Zeitpunkt bearbeiten möchten, um eine automatische Korrektur vorzunehmen.
  

F: Wie viele Konten kann AWS Firewall Manager verwalten?

Jede Richtlinie des Firewall-Managers kann auf maximal 2.500 Konten begrenzt werden, was die Standardgrenze für die Anzahl der Konten in AWS Organizations darstellt.

F: Wie viele Ressourcen kann AWS Firewall Manager verwalten?

Es gibt derzeit keine Begrenzung für die Anzahl der von Firewall Manager verwalteten Ressourcen.

F: Kann ich regionsübergreifende Sicherheitsrichtlinien festlegen?

Nein. AWS-Firewall-Manager-Sicherheitsrichtlinien sind regionsabhängig. Jede Firewall Manager-Richtlinie kann nur Ressourcen beinhalten, die in der angegebenen AWS Region verfügbar sind. Sie können für jede Region, in der Sie tätig sind, eine neue Richtlinie generieren.

F: Kann ich Konten oder Ressourcen vom Richtlinienumfang ausschließen?

Ja. Sie können Konten ausschließen. Sie können auch die Ressourcen, die vom Richtlinienumfang ausgeschlossen werden sollen, mithilfe von Tags festlegen.

F: Was ist eine Firewall-Manager-Sicherheitsrichtlinie?

Die Firewall-Manager-Sicherheitsrichtlinie ist eine Reihe von Konfigurationen, die es den Kunden ermöglicht, die Konten und Ressourcen anzugeben, die einer Reihe von Firewall-Regeln zugewiesen werden müssen. Es werden außerdem zusätzliche Konfigurationen für jeden Firewall-Typ angepasst. AWS Firewall Manager unterstützt heute AWS WAF, AWS Shield Advanced, VPC-Sicherheitsgruppen, AWS Network Firewall und Amazon Route 53 Resolver, DNS Firewall und AWS-Marketplace-Firewalls von Dritten.

F: Wie kann ich den Compliance-Status für eine bestimmte Richtlinie einsehen?

Mit Firewall Manager können Sie den Compliance-Status für jede Richtlinie schnell einsehen, indem Sie sich ansehen, wie viele Konten im Umfang der Richtlinie enthalten und wie viele davon konform sind. Für jede in Firewall Manager konfigurierte Richtlinie wird ein Compliance-Dashboard angelegt. Mit dem zentralen Compliance-Dashboard können Sie sehen, welche Konten die jeweilige Richtlinie nicht erfüllen. Darüber hinaus erhalten Sie Informationen, warum eine bestimmte Ressource die jeweilige Richtlinie nicht erfüllt. Sie können auch nicht konforme Ereignisse für jedes Konto im AWS Security Hub anzeigen.

F: Benachrichtigt AWS Firewall Manager bei einer nicht-konformen Ressource?

Ja, Sie können neue SNS-Benachrichtigungskanäle generieren, um so Benachrichtigungen in Echtzeit zu erhalten, wenn neue nicht-konforme Ressourcen entdeckt werden. In ähnlicher Weise wird jedes Konto, das Teil einer Firewall-Manager-Richtlinie ist, über nicht konforme Ereignisse auf AWS Security Hub benachrichtigt.

F: Wie kann ich alle Gefahren einsehen, von denen meine Organisation betroffen ist?

Für jede generierte Firewall Manager-Richtlinie können Sie CloudWatch-Metriken für jede Regeln in der Regelgruppe aggregieren, welche anzeigen, wie viele Anfragen innerhalb der gesamten Organisation zugelassen oder blockiert wurden. Damit haben Sie einen zentralen Ort für die Einrichtung von Warnungen bei Bedrohungen innerhalb Ihrer Organisation.