AWS Firewall Manager 更新 — 支持 VPC 安全组

我去年向大家介绍了 AWS Firewall Manager，并演示了如何使用它来集中配置和管理 AWS WAF 规则以及AWS Shield 高级防护功能。AWS Firewall Manager 利用了 AWS Organizations，让您可以构建策略并以统一的方式跨多个 AWS 账户应用。

安全组支持
今天我们为 AWS Firewall Manager 赋予更强大的功能，让您可以定义、管理和审计整个组织的 VPC 安全组使用策略。

您可以借助这些策略将安全组应用到指定账户和资源，检查和管理安全组中使用的规则，找到然后清理未使用和冗余的安全组。您将在检测到错误的配置规则时收到实时通知，并且可以从 Firewall Manager 控制台采取纠正措施。

要使用此功能，您需要拥有 AWS 组织并且必须为该组织中的所有账户启用 AWS Config。您还必须指定一个 AWS 账户以作为 Firewall 管理员。此账户将有权在整个组织部署 AWS WAF 规则、Shield Advanced 保护以及安全组规则。

创建和使用策略
登录我的组织的根账户后，我打开了 Firewall Manager 控制台并单击前往 AWS Firewall Manager：

然后我单击 AWS FMS 中的安全策略部分以开始使用。控制台会显示我现有的策略（如有）；我单击创建策略以继续操作：

对于策略类型，我选择安全组，对于安全组策略类型，我选择公共安全组，然后单击下一步以继续操作（我稍后将检查其他策略类型）：

我输入一个策略名称 (OrgDefault)，选择一个安全组 (SSH_Only)，然后选择禁止更改改组的规则，最后单击下一步：

前面我已定义了策略的范围。正如您可以看到，我可以选择账户、资源类型、甚至有特别标签的资源，然后单击下一步：

我还可以选择排除以特定防止标记的资源；这可以用来创建整个组织的策略，以赋予对有限资源组的权限。

我检查了我的策略，确认我必须启用 Config 并支付相关费用，然后单击创建策略：

策略将立即生效，并在 3-5 分钟内开始评估合规性。Firewall Manager 策略页面将会显示概览：

我可以单击策略以了解更多信息：

策略还拥有一个自动纠正选项。随着这可以在创建策略时启用，但我们建议在策略生效后再启用此功能，以便您可以检查在实际操作并启用自动纠正功能时会发生什么：

下面我们来看另外两个安全组策略类型：

审计并执行安全组规则 — 此策略类型围绕能够通过以下两种方式使用的审计安全组：

当您希望建立防护机制以限制可以创建的规则时，可以使用此策略类型。例如，我创建了一条规则，允许来自特定 IP 地址集的入站访问（也许是我的组织使用的 /24 地址），然后使用它来检测任何权限更宽松的资源。

审计并清理未使用和冗余的安全组 — 此策略类型将寻找未使用或冗余的安全组：

现已推出
此功能现已在下列区域推出，可以立即使用：美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（俄勒冈）、美国西部（加利福尼亚北部）、欧洲（爱尔兰）、欧洲（法兰克福）、欧洲（伦敦）、亚太地区（悉尼）、亚太地区（东京）、亚太地区（新加坡）和亚太地区（首尔）。费用为每月每条策略 100 USD。

– Jeff；