此 AWS 解决方案实施有何用途?

通过 AWS 集中 WAF 和 VPC 安全组管理解决方案,能够在 AWS Organizations 中跨所有账户和资源集中配置、管理和审计防火墙规则。此解决方案是用于自动设置 AWS Firewall Manager 安全策略的参考实施。

此解决方案提供了可跨账户部署的预配置规则,为您带来了以下优势:(1) 为 Web 应用程序防火墙 (WAF) 配置应用程序级防火墙,(2) 审计未使用和过度宽松的 Virtual Private Cloud (VPC) 安全组。通过此解决方案,能够自动实现使用 Firewall Manager 所需的先决条件,因此您可以将更多的时间投入在特定的安全要求上。

此解决方案可帮助 AWS 企业客户跨第 3-7 层资源创建防火墙安全规则的快速基准,并在其组织内维护一致的安全态势。此外,该解决方案还能为订阅 AWS Shield Advanced 的客户部署 Shield Advanced 策略,以保护其 AWS 账户免受分布式拒绝服务 (DDoS) 攻击。

注意:此解决方案必须安装在 Firewall Manager 管理员账户中。如果您尚未设置 Firewall Manager,请参阅实现指南,了解相关步骤。

AWS 解决方案实施概览

下图显示了您可以使用该解决方案实施指南和随附的 AWS CloudFormation 模板自动部署的架构。

AWS 集中 WAF 和 VPC 安全组管理 | 架构图
 单击可放大

AWS 集中 WAF 和 VPC 安全组管理解决方案架构

部署 AWS CloudFormation 模板时,将创建一个 AWS Systems Manager 参数仓库,其中包含三个参数,每个参数都有默认值。创建的参数包括 /FMS/OUs(组织部门)、/FMS/Regions 和 /FMS/Tags。您可以使用 Systems Manager 更新这些参数。Amazon EventBridge 规则使用事件模式捕获 System Manager 参数更新事件。Amazon EventBridge 规则将调用 AWS Lambda 函数。Lambda 函数跨用户指定的 OU 安装一组预定义的 AWS Firewall Manager 安全策略。这些策略包括一个 WAF Web 访问控制列表 (ACL),其中包括 AWS 托管规则集和 VPC 安全组审计策略。此外,如果您订阅了 AWS Shield Advanced,该解决方案还将部署 Shield Advanced 策略以抵御 DDoS 攻击。AWS Lambda 在 Amazon DynamoDB 表中保存策略元数据。

AWS 集中 WAF 和 VPC 安全组管理

版本 1.0.0
上次更新日期:2020 年 9 月
作者:AWS

预计部署时间:3 分钟

使用下面的按钮订阅解决方案更新。

注意:要订阅 RSS 更新,您必须为您正在使用的浏览器启用 RSS 插件。 

此解决方案实施是否能为您提供帮助?
提供反馈 

功能

在 AWS Organizations 账户中轻松配置 WAF 和安全组审计规则

使用 AWS Firewall Manager,在多账户 AWS 环境中轻松配置和审计 WAF 和安全组审计规则。

跨账户部署 DDoS 保护

利用 AWS Shield Advanced 订阅,在 AWS Organizations 中跨多个账户部署 DDoS 保护。

自动安装 AWS Firewall Manager

利用此解决方案安装使用 AWS Firewall Manager 所需的先决条件。
构建图标
自己部署解决方案

浏览我们的 AWS 解决方案实施库,以获取常见架构问题的答案。

了解更多 
查找 APN 合作伙伴
查找 APN 合作伙伴

寻找 AWS 认证的咨询和技术合作伙伴,以帮助您入门。

了解更多 
探索图标
了解解决方案咨询服务

浏览我们的咨询服务组合,以获取经过 AWS 审查的解决方案部署帮助。

了解更多