概览
Automations for AWS Firewall Manager 使您能够以自动化方式集中配置、管理和审核所有 AWS Organizations 账户和资源的防火墙规则。通过使用此 AWS 解决方案,您可以在整个组织内保持一致的安全状况。
该解决方案提供预设规则来为 AWS WAF 配置应用程序级防火墙、审核未使用和过于宽松的 Amazon Virtual Private Cloud(Amazon VPC)安全组,并设置 DNS 防火墙来阻止对恶意域的查询。
可以选择该解决方案来帮助您创建防火墙安全规则的快速基准,并通过与 AWS Shield Advanced 集成来防范分布式拒绝服务(DDoS)攻击。您还可以利用此功能自动执行主动事件响应和基于运行状况的检测。
注意:如果您已经在您的组织中使用 Firewall Manager,则可以使用此解决方案;但是,您必须在您的 Firewall Manager 管理员账户中安装该解决方案。如果您尚未设置 Firewall Manager,请参阅实施指南,了解相关步骤。
优势
使用 AWS Firewall Manager,在多账户 AWS 环境中轻松配置和审计 AWS WAF、DNS 和安全组规则。
利用此解决方案安装使用 Firewall Manager 所需的先决条件,这样您就可以花更多时间关注您的特定安全需求。
利用您的 AWS Shield Advanced 订阅在 AWS Organizations 中的账户之间部署 DDoS 保护、设置运行状况检查并启用 Shield Response Team 的主动事件响应。
技术详情
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
该解决方案包括两种架构,分别显示主堆栈和具有 Shield Advanced 功能的可选堆栈。使用默认参数部署所有解决方案的堆栈会在您的 AWS 账户中部署以下组件。
-
主堆栈
-
具有 Shield Advanced 自动化功能的可选堆栈
-
主堆栈
-
单击可放大
第 1 步:策略管理程序
Parameter Store是 AWS Systems Manager 的一项功能,包含三个参数:/FMS/OUs、/FMS/Regions 和 /FMS/Tags。使用 Systems Manager 更新这些参数。
第 2 步
Amazon EventBridge 规则使用事件模式捕获 System Manager 参数更新事件。第 3 步
EventBridge 规则将调用 AWS Lambda 函数。第 4 步
Lambda 函数跨用户指定的 OU 安装一组预定义的 AWS Firewall Manager 安全策略。此外,如果您订阅了 AWS Shield,该解决方案还将部署 Advanced 策略以抵御 DDoS 攻击。
第 5 步
PolicyManager Lambda 函数会从 Amazon Simple Storage Service(Amazon S3)存储桶获取策略清单文件,然后使用该清单文件创建 Firewall Manager 安全策略。第 6 步:合规性报告生成程序
Lambda 在 Amazon DynamoDB 表中保存策略元数据。第 7 步
基于时间的 EventBridge 规则会调用合规性生成器 Lambda 函数。第 8 步
合规性生成程序 Lambda 会获取各区域中的 Firewall Manager 策略,然后在 Amazon Simple Notification Service(Amazon SNS)主题中发布策略 ID 清单。第 9 步
Amazon SNS 主题会通过负载 {PolicyId: string, Region: string} 调用合规性生成器 Lambda 函数。第 10 步
合规性生成器Lambda 函数会为各策略生成合规性报告,并以 CSV 格式在 S3 存储桶中上载报告。第 1 步:策略管理程序
Parameter Store是 AWS Systems Manager 的一项功能,包含三个参数:/FMS/OUs、/FMS/Regions 和 /FMS/Tags。使用 Systems Manager 更新这些参数。
第 2 步
Amazon EventBridge 规则使用事件模式捕获 System Manager 参数更新事件。第 3 步
EventBridge 规则将调用 AWS Lambda 函数。第 4 步
Lambda 函数跨用户指定的 OU 安装一组预定义的 AWS Firewall Manager 安全策略。此外,如果您订阅了 AWS Shield,该解决方案还将部署 Advanced 策略以抵御 DDoS 攻击。
第 5 步
PolicyManager Lambda 函数会从 Amazon Simple Storage Service(Amazon S3)存储桶获取策略清单文件,然后使用该清单文件创建 Firewall Manager 安全策略。第 6 步:合规性报告生成程序
Lambda 在 Amazon DynamoDB 表中保存策略元数据。第 7 步
基于时间的 EventBridge 规则会调用合规性生成器 Lambda 函数。第 8 步
合规性生成程序 Lambda 会获取各区域中的 Firewall Manager 策略,然后在 Amazon Simple Notification Service(Amazon SNS)主题中发布策略 ID 清单。第 9 步
Amazon SNS 主题会通过负载 {PolicyId: string, Region: string} 调用合规性生成器 Lambda 函数。第 10 步
合规性生成程序Lambda 函数会为各策略生成合规性报告,并以 CSV 格式在 S3 存储桶中上载报告。 -
具有 Shield Advanced 自动化功能的可选堆栈
-
单击可放大
第 1 步:策略管理程序
(可选)使用所需值更新由 aws-fms-automations 模板创建的 Parameter Store 参数。创建的参数包括 /FMS/OUs、/FMS/Regions 和 /FMS/Tags。
第 2 步
EventBridge 规则使用事件模式捕获 System Manager 参数更新和 S3 上传事件。
第 3 步
EventBridge 规则将调用 Lambda 函数。
第 4 步
Lambda 函数跨用户指定的 OU 安装一组预定义的 Firewall Manager 安全策略。此外,如果您订阅了 Shield,该解决方案还将部署 Advanced 策略以抵御 DDoS 攻击。第 5 步
PolicyManager Lambda 函数会从 S3 存储桶获取策略清单文件,然后使用该清单文件创建 Firewall Manager 安全策略。
第 6 步:基于运行状况的自动检测
组织 AWS Config 规则将捕获整个 AWS 组织中现有的 Shield Advanced 保护。您可以通过此解决方案部署的 Firewall Manager 安全策略自动创建这些 Shield Advanced 保护,或者使用 Shield 控制台手动创建。
第 7 步
组织 Config 规则捕获的 Shield Advanced 保护被发送到 ConfigRuleEval Lambda 函数进行评估。此 Lambda 函数确定保护是否具有与之关联的 Amazon Route 53 运行状况检查。
第 8 步
如果没有与 Shield Advanced 保护相关联的 Route 53 运行状况检查,该解决方案将向 Amazon SQS 队列发布一条消息,请求为保护创建运行状况检查。第 9 步
ConfigRuleRemediate Lambda 函数从 Amazon SQS 队列读取消息。第 10 步
ConfigRuleRemediate Lambda 函数根据 Shield Advanced 保护所保护的资源类型创建计算的 Route 53 运行状况检查。第 11 步
ConfigRuleRemediate Lambda 函数将第 10 步中创建的 Route 53 运行状况检查与正在评估的 Shield Advanced 保护相关联。
第 1 步:策略管理程序
(可选)使用所需值更新由 aws-fms-automations 模板创建的 Parameter Store 参数。创建的参数包括 /FMS/OUs、/FMS/Regions 和 /FMS/Tags。
第 2 步
EventBridge 规则使用事件模式捕获 System Manager 参数更新和 S3 上传事件。
第 3 步
EventBridge 规则将调用 Lambda 函数。
第 4 步
Lambda 函数跨用户指定的 OU 安装一组预定义的 Firewall Manager 安全策略。此外,如果您订阅了 Shield,该解决方案还将部署 Advanced 策略以抵御 DDoS 攻击。第 5 步
PolicyManager Lambda 函数会从 S3 存储桶获取策略清单文件,然后使用该清单文件创建 Firewall Manager 安全策略。
第 6 步:基于运行状况的自动检测
组织 AWS Config 规则将捕获整个 AWS 组织中现有的 Shield Advanced 保护。您可以通过此解决方案部署的 Firewall Manager 安全策略自动创建这些 Shield Advanced 保护,或者使用 Shield 控制台手动创建。
第 7 步
组织 Config 规则捕获的 Shield Advanced 保护被发送到 ConfigRuleEval Lambda 函数进行评估。此 Lambda 函数确定保护是否具有与之关联的 Amazon Route 53 运行状况检查。
第 8 步
如果没有与 Shield Advanced 保护相关联的 Route 53 运行状况检查,该解决方案将向 Amazon SQS 队列发布一条消息,请求为保护创建运行状况检查。第 9 步
ConfigRuleRemediate Lambda 函数从 Amazon SQS 队列读取消息。第 10 步
ConfigRuleRemediate Lambda 函数根据 Shield Advanced 保护所保护的资源类型创建计算的 Route 53 运行状况检查。第 11 步
ConfigRuleRemediate Lambda 函数将第 10 步中创建的 Route 53 运行状况检查与正在评估的 Shield Advanced 保护相关联。