Übersicht
Mit Automations for AWS Firewall Manager können Sie Firewall-Regeln für alle Konten und Ressourcen Ihrer AWS Organizations auf automatisierte Weise zentral konfigurieren, verwalten und überprüfen. Durch die Verwendung dieser AWS-Lösung können Sie in Ihrem gesamten Unternehmen ein konsistentes Sicherheitsniveau aufrechterhalten.
Diese Lösung bietet voreingestellte Regeln zur Konfiguration von Firewalls auf Anwendungsebene für AWS WAF, zur Prüfung ungenutzter und übermäßig freizügiger Amazon-Virtual-Private-Cloud-Sicherheitsgruppen (Amazon VPC) und zum Einrichten einer DNS-Firewall, um Abfragen für fehlerhafte Domains zu blockieren.
Diese Lösung hilft Ihnen auch dabei, einen schnellen Überblick über Firewall-Sicherheitsregeln zu erstellen und sich durch die Integration mit AWS Shield Advanced vor DDoS-Angriffen (Distributed Denial of Service) zu schützen.
Hinweis: Sie können diese Lösung verwenden, wenn Sie bereits den Firewall Manager in Ihrem Unternehmen einsetzen. Sie müssen die Lösung jedoch in Ihrem Firewall-Manager-Administratorkonto installieren. Wenn Sie den Firewall Manager noch nicht eingerichtet haben, finden Sie die entsprechenden Schritte im Implementierungsleitfaden.
Vorteile
Konfigurieren und prüfen Sie ganz einfach AWS WAF-, DNS- und Sicherheitsgruppenregeln in Ihren AWS-Umgebungen mit mehreren Konten mit AWS Firewall Manager.
Nutzen Sie diese Lösung, um die Voraussetzungen für die Verwendung von Firewall Manager zu installieren, damit Sie mehr Zeit haben, sich auf Ihre spezifischen Sicherheitsanforderungen zu konzentrieren.
Nutzen Sie Ihr AWS-Shield-Advanced-Abonnement, um den DDoS-Schutz kontenübergreifend in AWS Organizations bereitzustellen.
Technische Details
Sie können diese Architektur mit dem Implementierungsleitfaden und der dazugehörigen Vorlage für AWS CloudFormation automatisch bereitstellen.
Die Architektur lässt sich in zwei Workflows unterteilen: Richtlinienmanager und Compliance-Berichtsgenerator.
Schritt 1
Parameter Store, ein Funktion von AWS Systems Manager, enthält drei Parameter: /FMS/OUs, /FMS/Regions und /FMS/Tags. Aktualisieren Sie diese Parameter mithilfe von Systems Manager.
Schritt 2
Eine Amazon EventBridge-Regel verwendet ein Ereignismuster, um das Parameteraktualisierungsereignis in System Manager zu erfassen.
Schritt 3
Eine EventBridge-Regel ruft eine AWS-Lambda-Funktion auf.
Schritt 4
Die Lambda-Funktion installiert einen Satz an vordefinierten Sicherheitsrichtlinien von AWS Firewall Manager in den benutzerspezifizierten OEs. Wenn Sie darüber hinaus über ein Abonnement für AWS Shield verfügen, stellt diese Lösung Advanced-Richtlinien zum Schutz vor DDoS-Angriffen (Distributed Denial of Service) bereit.
Schritt 5
Die Richtlinien-Manager-Lambda-Funktionholt die Manifestdatei der Richtlinie aus dem Bucket Amazon Simple Storage Service (Amazon S3) und verwendet die Manifestdatei, um Firewall-Manager-Sicherheitsrichtlinien zu erstellen.
Schritt 6
Lambda speichert die Metadaten der Richtlinien in der Amazon-DynamoDB-Tabelle.
Schritt 7
Eine zeitbasierte EventBridge -Regel ruft die Compliance-Generator- Lambda-Funktion auf.
Schritt 8
Der Compliance Generator Lambda ruft die Firewall-Manager Richtlinien in jeder Region ab und veröffentlicht die Liste der Richtlinien-IDs im Thema Amazon Simple Notification Service (Amazon SNS).
Schritt 9
Das Amazon-SNS-Thema ruft die Compliance-Generator- Lambda -Funktion mit der Nutzlast {PolicyId: string, Region: string} auf.
Schritt 10
Die ComplianceGenerator-Lambda -Funktion generiert einen Compliance-Bericht für jede der Richtlinien und lädt den Bericht im CSV-Format in einen S3-Bucket hoch.
Schritt 1
Parameter Store, ein Funktion von AWS Systems Manager, enthält drei Parameter: /FMS/OUs, /FMS/Regions und /FMS/Tags. Aktualisieren Sie diese Parameter mithilfe von Systems Manager.
Schritt 2
Eine Amazon EventBridge-Regel verwendet ein Ereignismuster, um das Parameteraktualisierungsereignis in System Manager zu erfassen.
Schritt 3
Eine EventBridge-Regel ruft eine AWS-Lambda-Funktion auf.
Schritt 4
Die Lambda-Funktion installiert einen Satz an vordefinierten Sicherheitsrichtlinien von AWS Firewall Manager in den benutzerspezifizierten OEs. Wenn Sie darüber hinaus über ein Abonnement für AWS Shield verfügen, stellt diese Lösung Advanced-Richtlinien zum Schutz vor DDoS-Angriffen (Distributed Denial of Service) bereit.
Schritt 5
Die Richtlinien-Manager-Lambda-Funktionholt die Manifestdatei der Richtlinie aus dem Bucket Amazon Simple Storage Service (Amazon S3) und verwendet die Manifestdatei, um Firewall-Manager-Sicherheitsrichtlinien zu erstellen.
Schritt 6
Lambda speichert die Metadaten der Richtlinien in der Amazon-DynamoDB-Tabelle.
Schritt 7
Eine zeitbasierte EventBridge -Regel ruft die Compliance-Generator- Lambda-Funktion auf.
Schritt 8
Der Compliance Generator Lambda ruft die Firewall-Manager Richtlinien in jeder Region ab und veröffentlicht die Liste der Richtlinien-IDs im Thema Amazon Simple Notification Service (Amazon SNS).
Schritt 9
Das Amazon-SNS-Thema ruft die Compliance-Generator- Lambda -Funktion mit der Nutzlast {PolicyId: string, Region: string} auf.
Schritt 10
Die ComplianceGenerator-Lambda -Funktion generiert einen Compliance-Bericht für jede der Richtlinien und lädt den Bericht im CSV-Format in einen S3-Bucket hoch.
Ähnliche Inhalte
In diesem Kurs bietet eine Übersicht über die AWS-Sicherheitstechnologie, Anwendungsfälle, Vorteile und Services. Der Abschnitt zum Infrastrukturschutz umfasst AWS WAF zum Filtern des Datenverkehrs.
Dieser Kurs führt Sie in AWS Organizations ein, den Dienst, der eine richtlinienbasierte Verwaltung für mehrere AWS-Konten bietet. Wir besprechen die wichtigsten Features und die Terminologie, überprüfen den Zugang und die Nutzung des Dienstes und bieten eine Demonstration an.
Diese Prüfung testet Ihre technische Kompetenz bei der Sicherung der AWS-Plattform. Sie eignet sich für jeden, der im Bereich Sicherheit Erfahrung hat.
War diese Seite hilfreich?
- Datum der Veröffentlichung