发布于: Jul 8, 2020
AWS Firewall Manager 推出了新的预配置规则,以帮助客户从某个集中管理员账户审计其 VPC 安全组并获得有关不合规情况的详细报告。借助此功能,客户可以使用预先配置的规则以更轻松地集中审计其安全组。客户可以随时跨账户、跨资源启用这些规则,不再需要进行繁重的自定义审计检查配置。
客户向其账户添加资源或安全组规则时,Firewall Manager 将会自动审计新资源和规则。推出此功能后,客户可以将审计检查用于两个常见的使用案例。第一,客户可以审计权限过于宽松的安全组规则,例如端口范围或 CIDR 范围宽泛的规则或者启用所有协议来访问资源的规则。第二,客户可以审计对宽 CIDR 范围(例如 0.0.0.0/0. ::/0)或本地 CIDR 范围(例如 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12)开放的高风险应用程序。客户可以从预定义的应用程序和协议列表中选择,也可以自定义列表。此外,客户还将获得有关违规情况的详细报告,报告会列举客户账户中审计检查结果不合规的安全组规则。除托管的审计规则外,客户仍可以继续使用 Firewall Manager 配置自定义的安全组规则审计检查。
AWS Firewall Manager 现已在全球开放,它是一项安全管理服务,可让客户跨 AWS Organization 中的账户和应用程序集中配置和管理防火墙规则。利用 Firewall Manager,客户可以集中管理整个 AWS Organization 中的 AWS WAF、AWS Shield Advanced 或 VPC 安全组。Firewall Manager 可确保一致地执行所有安全规则,即便是创建新的账户或应用程序。