亚马逊AWS官方博客

AWS Firewall Manager 更新 — 支持 VPC 安全组

我去年向大家介绍了 AWS Firewall Manager,并演示了如何使用它来集中配置和管理 AWS WAF 规则以及AWS Shield 高级防护功能。AWS Firewall Manager 利用了 AWS Organizations,让您可以构建策略并以统一的方式跨多个 AWS 账户应用。

安全组支持
今天我们为 AWS Firewall Manager 赋予更强大的功能,让您可以定义、管理和审计整个组织的 VPC 安全组使用策略。

您可以借助这些策略将安全组应用到指定账户和资源,检查和管理安全组中使用的规则,找到然后清理未使用和冗余的安全组。您将在检测到错误的配置规则时收到实时通知,并且可以从 Firewall Manager 控制台采取纠正措施。

要使用此功能,您需要拥有 AWS 组织并且必须为该组织中的所有账户启用 AWS Config。您还必须指定一个 AWS 账户以作为 Firewall 管理员。此账户将有权在整个组织部署 AWS WAF 规则Shield Advanced 保护以及安全组规则

创建和使用策略
登录我的组织的根账户后,我打开了 Firewall Manager 控制台并单击前往 AWS Firewall Manager

然后我单击 AWS FMS 中的安全策略部分以开始使用。控制台会显示我现有的策略(如有);我单击创建策略以继续操作:

对于策略类型,我选择安全组,对于安全组策略类型,我选择公共安全组,然后单击下一步以继续操作(我稍后将检查其他策略类型):

我输入一个策略名称 (OrgDefault),选择一个安全组 (SSH_Only),然后选择禁止更改改组的规则,最后单击下一步

前面我已定义了策略的范围。正如您可以看到,我可以选择账户、资源类型、甚至有特别标签的资源,然后单击下一步

我还可以选择排除以特定防止标记的资源;这可以用来创建整个组织的策略,以赋予对有限资源组的权限。

我检查了我的策略,确认我必须启用 Config 并支付相关费用,然后单击创建策略

策略将立即生效,并在 3-5 分钟内开始评估合规性。Firewall Manager 策略页面将会显示概览:

我可以单击策略以了解更多信息:

策略还拥有一个自动纠正选项。随着这可以在创建策略时启用,但我们建议在策略生效后再启用此功能,以便您可以检查在实际操作并启用自动纠正功能时会发生什么:

下面我们来看另外两个安全组策略类型:

审计并执行安全组规则 — 此策略类型围绕能够通过以下两种方式使用的审计安全组:

当您希望建立防护机制以限制可以创建的规则时,可以使用此策略类型。例如,我创建了一条规则,允许来自特定 IP 地址集的入站访问(也许是我的组织使用的 /24 地址),然后使用它来检测任何权限更宽松的资源。

审计并清理未使用和冗余的安全组 — 此策略类型将寻找未使用或冗余的安全组:

现已推出
此功能现已在下列区域推出,可以立即使用:美国东部(弗吉尼亚北部)美国东部(俄亥俄)美国西部(俄勒冈)美国西部(加利福尼亚北部)欧洲(爱尔兰)欧洲(法兰克福)欧洲(伦敦)亚太地区(悉尼)亚太地区(东京)亚太地区(新加坡)亚太地区(首尔)。费用为每月每条策略 100 USD。

Jeff