Übersicht
Mit Automations for AWS Firewall Manager können Sie Firewall-Regeln für alle Konten und Ressourcen Ihrer AWS Organizations auf automatisierte Weise zentral konfigurieren, verwalten und überprüfen. Durch die Verwendung dieser AWS-Lösung können Sie in Ihrem gesamten Unternehmen ein konsistentes Sicherheitsniveau aufrechterhalten.
Diese Lösung bietet voreingestellte Regeln zur Konfiguration von Firewalls auf Anwendungsebene für AWS WAF, zur Prüfung ungenutzter und übermäßig freizügiger Amazon Virtual Private Cloud (Amazon VPC)-Sicherheitsgruppen und zum Einrichten einer DNS-Firewall, um Abfragen für fehlerhafte Domains zu blockieren.
Diese Lösung hilft Ihnen optional dabei, schnell eine Basis für Firewall-Sicherheitsregeln zu erstellen und sich durch die Integration mit AWS Shield Advanced vor Distributed Denial of Service (DDoS)-Angriffen zu schützen. Mit dieser Funktion können Sie auch proaktive Ereignisreaktionen und zustandsbasierte Erkennung automatisieren.
Hinweis: Sie können diese Lösung verwenden, wenn Sie bereits den Firewall Manager in Ihrem Unternehmen einsetzen. Sie müssen die Lösung jedoch in Ihrem Firewall-Manager-Administratorkonto installieren. Wenn Sie den Firewall Manager noch nicht eingerichtet haben, finden Sie die entsprechenden Schritte im Implementierungsleitfaden.
Vorteile
Konfigurieren und prüfen Sie ganz einfach AWS WAF-, DNS- und Sicherheitsgruppenregeln in Ihren AWS-Umgebungen mit mehreren Konten mit AWS Firewall Manager.
Nutzen Sie diese Lösung, um die Voraussetzungen für die Verwendung von Firewall Manager zu installieren, damit Sie mehr Zeit haben, sich auf Ihre spezifischen Sicherheitsanforderungen zu konzentrieren.
Nutzen Sie Ihr Abonnement für AWS Shield Advanced, um DDoS-Schutz für alle Konten in AWS-Organisationen bereitzustellen, Zustandsprüfungen einzurichten und eine proaktive Reaktion auf Ereignisse durch das Shield Response Team zu ermöglichen.
Technische Details
Sie können diese Architektur mit dem Implementierungs-Leitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Die Lösung umfasst zwei Architekturen, die den primären Stack und einen optionalen Stack mit Shield-Advanced-Funktionen zeigen. Durch die Bereitstellung aller Lösungs-Stacks mit den Standardparametern werden die folgenden Komponenten in Ihrem AWS-Konto bereitgestellt.
-
Primärer Stapel
-
Optionale Stacks mit Automatisierungen für Shield Advanced
-
Primärer Stapel
-
Zum Vergrößern klicken
Schritt 1: Richtlinien-Manager
Parameter Store, ein Funktion von AWS Systems Manager, enthält drei Parameter:/FMS/OUs, /FMS/Regions und/FMS/Tags. Aktualisieren Sie diese Parameter mithilfe von Systems Manager.
Schritt 2
Eine Regel für Amazon EventBridge verwendet ein Ereignismuster, um das Parameter-Aktualisierungsereignis in System Manager zu erfassen.Schritt 3
Eine Regel für EventBridge ruft eine Funktion von AWS Lambda auf.Schritt 4
Die Lambda-Funktion installiert einen Satz an vordefinierten Sicherheitsrichtlinien von AWS Firewall Manager in den benutzerspezifizierten OEs. Wenn Sie über ein Abonnement von AWS Shield verfügen, stellt diese Lösung außerdem erweiterte Richtlinien zum Schutz vor DDoS-Angriffen bereit.
Schritt 5
Die PolicyManagerLambda-Funktion holt die Manifestdatei der Richtlinie aus dem Bucket Amazon Simple Storage Service (Amazon S3) und verwendet die Manifestation, um Sicherheitsrichtlinien für Firewall Manager zu erstellen.Schritt 6: Compliance-Berichtsgenerator
Lambda speichert die Metadaten der Richtlinien in der Amazon-DynamoDB-Tabelle.Schritt 7
Eine zeitbasierte EventBridge -Regel ruft die Compliance-Generator- Lambda-Funktion auf.Schritt 8
Der Compliance Generator Lambda ruft die Firewall Manager-Richtlinien in jeder Region ab und veröffentlicht die Liste der Richtlinien-IDs im Thema Amazon Simple Notification Service (Amazon SNS).Schritt 9
Das Amazon-SNS-Thema ruft die Compliance-Generator- Lambda -Funktion mit der Nutzlast {PolicyId: string, Region: string} auf.Schritt 10
Die ComplianceGenerator-Lambda -Funktion generiert einen Compliance-Bericht für jede der Richtlinien und lädt den Bericht im CSV-Format in einen S3-Bucket hoch.Schritt 1: Richtlinien-Manager
Parameter Store, ein Funktion von AWS Systems Manager, enthält drei Parameter:/FMS/OUs, /FMS/Regions und/FMS/Tags. Aktualisieren Sie diese Parameter mithilfe von Systems Manager.
Schritt 2
Eine Regel für Amazon EventBridge verwendet ein Ereignismuster, um das Parameter-Aktualisierungsereignis in System Manager zu erfassen.Schritt 3
Eine Regel für EventBridge ruft eine Funktion von AWS Lambda auf.Schritt 4
Die Lambda-Funktion installiert einen Satz an vordefinierten Sicherheitsrichtlinien von AWS Firewall Manager in den benutzerspezifizierten OEs. Wenn Sie über ein Abonnement von AWS Shield verfügen, stellt diese Lösung außerdem erweiterte Richtlinien zum Schutz vor DDoS-Angriffen bereit.
Schritt 5
Die PolicyManagerLambda-Funktion holt die Manifestdatei der Richtlinie aus dem Bucket Amazon Simple Storage Service (Amazon S3) und verwendet die Manifestation, um Sicherheitsrichtlinien für Firewall Manager zu erstellen.Schritt 6: Compliance-Berichtsgenerator
Lambda speichert die Metadaten der Richtlinien in der Amazon-DynamoDB-Tabelle.Schritt 7
Eine zeitbasierte EventBridge -Regel ruft die Compliance-Generator- Lambda-Funktion auf.Schritt 8
Der Compliance Generator Lambda ruft die Firewall Manager-Richtlinien in jeder Region ab und veröffentlicht die Liste der Richtlinien-IDs im Thema Amazon Simple Notification Service (Amazon SNS).Schritt 9
Das Amazon-SNS-Thema ruft die Compliance-Generator- Lambda -Funktion mit der Nutzlast {PolicyId: string, Region: string} auf.Schritt 10
Die ComplianceGenerator-Lambda -Funktion generiert einen Compliance-Bericht für jede der Richtlinien und lädt den Bericht im CSV-Format in einen S3-Bucket hoch. -
Optionale Stacks mit Automatisierungen für Shield Advanced
-
Zum Vergrößern klicken
Schritt 1: Richtlinien-Manager
Aktualisieren Sie die von der Vorlage aws-fms-automations erstellten Parameter im Parameter Store mit den gewünschten Werten. Die erstellen Parameter umfassen /FMS/OUs, /FMS/Regions und /FMS/Tags.
Schritt 2
Eine EventBridge-Regel verwendet ein Ereignismuster, um Parameteraktualisierungen des Systems Managers und S3-Upload-Ereignisse zu erfassen.
Schritt 3
Eine EventBridge-Regel ruft eine Lambda-Funktion auf.
Schritt 4
Die Lambda-Funktion installiert eine Reihe vordefinierter Sicherheitsrichtlinien für Firewall Manager in den benutzerspezifischen Organisationseinheiten. Wenn Sie über ein Abonnement für Shield verfügen, stellt diese Lösung außerdem erweiterte Richtlinien zum Schutz vor DDoS-Angriffen bereit.Schritt 5
Die PolicyManagerLambda -Funktion ruft die Richtlinienmanifestdatei aus dem S3-Bucket ab und verwendet die Manifestdatei, um Sicherheitsrichtlinien für Firewall Manager zu erstellen.
Schritt 6: Automatisierte zustandsbasierte Erkennung
Die Regel AWS Config der Organisation erfasst vorhandene Schutzmaßnahmen für Shield Advanced in Ihrer AWS-Organisation. Sie können diese Shield Advanced-Schutzmaßnahmen automatisch über die von dieser Lösung bereitgestellten Firewall Managed-Sicherheitsrichtlinien oder manuell mithilfe der Shield-Konsole erstellen.
Schritt 7
Schutzmaßnahmen für Shield Advanced die von der Organisations-Regel Config erfasst wurden, werden zur Auswertung an die Funktion ConfigRuleEval Lambda gesendet. Diese Lambda-Funktion bestimmt, ob dem Schutz Integritätsprüfungen für Amazon Route 53 zugeordnet sind oder nicht.
Schritt 8
Wenn dem Schutz für Shield Advanced keine Integritätsprüfungen für Route 53 zugeordnet sind, veröffentlicht die Lösung eine Nachricht in der Warteschlange für Amazon SQS mit der Aufforderung, Integritätsprüfungen für den Schutz zu erstellen.Schritt 9
Die ConfigRuleRemediate Lambda -Funktion liest Nachrichten aus der Warteschlange von Amazon SQS.Schritt 10
Die ConfigRuleRemediate Lambda -Funktion erstellt eine berechnete Integritätsprüfung für Route 53 basierend auf dem Ressourcentyp, der durch den Schutz von Shield Advanced geschützt wird.Schritt 11
Die ConfigRuleRemediate Lambda -Funktion verknüpft die in Schritt 10 erstellte Integritätsprüfung für Route 53 mit dem auszuwertenden Shield Advanced-Schutz.
Schritt 1: Richtlinien-Manager
Aktualisieren Sie die von der Vorlage aws-fms-automations erstellten Parameter im Parameter Store mit den gewünschten Werten. Die erstellen Parameter umfassen /FMS/OUs, /FMS/Regions und /FMS/Tags.
Schritt 2
Eine Regel für EventBridge verwendet ein Ereignismuster, um Parameteraktualisierungen von Systems Managers und S3-Upload-Ereignisse zu erfassen.
Schritt 3
Eine EventBridge-Regel ruft eine Lambda-Funktion auf.
Schritt 4
Die Lambda-Funktion installiert eine Reihe vordefinierter Sicherheitsrichtlinien für Firewall Manager in den benutzerspezifischen Organisationseinheiten. Wenn Sie über ein Abonnement für Shield verfügen, stellt diese Lösung außerdem erweiterte Richtlinien zum Schutz vor DDoS-Angriffen bereit.Schritt 5
Die PolicyManagerLambda -Funktion ruft die Richtlinienmanifestdatei aus dem S3-Bucket ab und verwendet die Manifestdatei, um Sicherheitsrichtlinien für Firewall Manager zu erstellen.
Schritt 6: Automatisierte zustandsbasierte Erkennung
Die Regel AWS Config der Organisation erfasst vorhandene Schutzmaßnahmen für Shield Advanced in Ihrer AWS-Organisation. Sie können diese Shield Advanced-Schutzmaßnahmen automatisch über die von dieser Lösung bereitgestellten Firewall Managed-Sicherheitsrichtlinien oder manuell mithilfe der Shield-Konsole erstellen.
Schritt 7
Schutzmaßnahmen für Shield Advanced die von der Organisations-Regel Config erfasst wurden, werden zur Auswertung an die Funktion ConfigRuleEval Lambda gesendet. Diese Lambda-Funktion bestimmt, ob dem Schutz Integritätsprüfungen für Amazon Route 53 zugeordnet sind oder nicht.
Schritt 8
Wenn dem Schutz für Shield Advanced keine Integritätsprüfungen für Route 53 zugeordnet sind, veröffentlicht die Lösung eine Nachricht in der Warteschlange für Amazon SQS mit der Aufforderung, Integritätsprüfungen für den Schutz zu erstellen.Schritt 9
Die ConfigRuleRemediate Lambda -Funktion liest Nachrichten aus der Warteschlange von Amazon SQS.Schritt 10
Die ConfigRuleRemediate Lambda -Funktion erstellt eine berechnete Integritätsprüfung für Route 53 basierend auf dem Ressourcentyp, der durch den Schutz von Shield Advanced geschützt wird.Schritt 11
Die ConfigRuleRemediate Lambda -Funktion verknüpft die in Schritt 10 erstellte Integritätsprüfung für Route 53 mit dem auszuwertenden Shield Advanced-Schutz.
Ähnliche Inhalte
In diesem Kurs bietet eine Übersicht über die AWS-Sicherheitstechnologie, Anwendungsfälle, Vorteile und Services. Der Abschnitt zum Infrastrukturschutz umfasst AWS WAF zum Filtern des Datenverkehrs.
Dieser Kurs führt Sie in AWS Organizations ein, den Dienst, der eine richtlinienbasierte Verwaltung für mehrere AWS-Konten bietet. Wir besprechen die wichtigsten Features und die Terminologie, überprüfen den Zugang und die Nutzung des Dienstes und bieten eine Demonstration an.
Diese Prüfung testet Ihre technische Kompetenz bei der Sicherung der AWS-Plattform. Sie eignet sich für jeden, der im Bereich Sicherheit Erfahrung hat.
War diese Seite hilfreich?
- Datum der Veröffentlichung