Blog de Amazon Web Services (AWS)

AWS Network Firewall – Nuevo Servicio Gestionado de Firewall para VPC

Por Channy Yun, Principal Developer Advocate, Amazon Web Services

Nuestros clientes desean contar con un servicio de firewall escalable y de alta disponibilidad para proteger sus redes virtuales en la nube. La seguridad es la prioridad número uno de AWS, que ha proporcionado varias funciones de firewall que satisfacen necesidades específicas de seguridad, como Security Groups para proteger instancias de Amazon Elastic Compute Cloud (EC2), ACL de red para proteger subredes de Amazon Virtual Private Cloud (VPC), AWS Web Application Firewall (WAF) para proteger las aplicaciones web que se ejecutan en Amazon CloudFront, Application Load Balancer (ALB) o Amazon API Gateway, y AWS Shield para protegerse contra ataques de Denegación de Servicio Distribuidos (DDoS).

Hemos escuchado a nuestros clientes pedir una forma más sencilla de escalar la seguridad de la red en todos los recursos de sus cargas de trabajo, independientemente de los servicios de AWS que estén usando. También quieren protecciones personalizadas para proteger sus cargas de trabajo únicas, o para cumplir con los mandatos gubernamentales o las regulaciones comerciales. Estos clientes necesitan tener la capacidad de hacer cosas como filtrado de URL para tráfico saliente, coincidencia de patrones en datos de paquetes más allá de IP/puerto/protocolo y capacidad de alertar sobre vulnerabilidades específicas para protocolos distintos a HTTP/S.

Hoy, me complace anunciar AWS Network Firewall, un servicio de firewall de red gestionado y de alta disponibilidad para su nube privada virtual (VPC). Permite implementar y gestionar fácilmente aspectos como la inspección stateful, la prevención y detección de intrusiones y el filtrado web para proteger sus redes virtuales en AWS. Network Firewall escala automáticamente con el tráfico, lo que garantiza una alta disponibilidad sin inversión adicional en infraestructura de seguridad por parte del cliente.

Con AWS Network Firewall, es posible implementar reglas personalizadas para impedir que las VPC accedan a dominios no autorizados, bloquear miles de direcciones IP maliciosas conocidas o identificar actividades maliciosas mediante la detección basada en firmas. AWS Network Firewall permite visualizar la actividad del firewall en tiempo real a través de métricas de CloudWatch y ofrece una mayor visibilidad del tráfico de red mediante el envío de registros a Amazon S3, Amazon CloudWatch y Kinesis Firehose. Network Firewall está integrado con AWS Firewall Manager, lo que ofrece a clientes que utilizan AWS Organizations la posibilidad de habilitar y supervisar la actividad del firewall en todas sus VPCs y cuentas de AWS de manera centralizada. Network Firewall es interoperable con su ecosistema de seguridad existente, incluidos partners de AWS como CrowdStrike, Palo Alto Networks y Splunk. También es posible importar reglas existentes desde conjuntos de reglas Suricata, mantenidos por la comunidad.

Conceptos de Network Firewall

AWS Network Firewall ejecuta motores de reglas de inspección de tráfico stateless y stateful. Los motores utilizan reglas y otras opciones que se configuran dentro de una política de firewall.

Se debe utilizar un firewall por cada Zona de Disponibilidad dentro de la VPC. Para cada zona de disponibilidad, se elige una subred donde alojar el endpoint del firewall que filtrará el tráfico. El endpoint del firewall de una Zona de Disponibilidad puede proteger todas las subredes dentro de dicha zona, excepto aquella en la que se encuentra.

Puede administrar AWS Network Firewall con los siguientes componentes centrales.

  • Firewall – un firewall aplica el comportamiento de protección definido en una política de firewall sobre la VPC que desea proteger. Para cada Zona de Disponibilidad en la que desee protección, debe provisionar un Firewall de red con una subred pública dedicada al endpoint del firewall. Para utilizar el firewall, actualice las tablas de enrutamiento de VPC para enviar tráfico entrante y saliente a través de los endpoints del firewall.
  • Firewall policy – una política de firewall define el comportamiento del firewall en una colección de grupos de reglas stateless y stateful, así como otras configuraciones. Puede asociar cada firewall con una única política, pero puede usar una misma política para más de un firewall.
  • Grupo de reglas – un grupo de reglas es una colección de reglas stateless o stateful que definen cómo inspeccionar y controlar el tráfico de red. La configuración de reglas incluye una tupla de 5 y filtrado de nombres de dominio. También puede proporcionar reglas stateful utilizando una especificación de regla de código abierto de Suricata.

 

AWS Network Firewall: Empezando

Puede iniciar AWS Network Firewall en AWS Management Console, AWS Command Line Interface (CLI) y AWS SDKs para crear y administrar firewalls. En el panel de navegación de la consola de VPC, expanda AWS Network Firewall y, a continuación, seleccione Create firewall en el menú Firewalls.

Para crear un nuevo firewall, introduzca el nombre que desea utilizar para identificar este firewall y seleccione la VPC correspondiente en el menú desplegable. Para cada Zona de Disponibilidad (AZ) donde desee utilizar AWS Network Firewall, cree una subred pública para el endpoint del firewall. Esta subred debe tener al menos una dirección IP disponible y un tamaño distinto de cero. Mantenga estas subredes de firewall reservadas para ser usadas por Network Firewall.

En Associated firewall policy, seleccione Create and associate an empty firewall policy y elija Create firewall.

El nuevo firewall aparece en la página Firewalls. El firewall tiene una política de firewall vacía. En el siguiente paso, especificará el comportamiento del firewall en la política. Seleccione la política de firewall recién creada en el menú Firewall policies.

Puede crear o agregar nuevos grupos de reglas stateless o stateful, que pueden ser cero o más colecciones de reglas de firewall, con configuraciones de prioridad que definen el orden en que serán procesadas dentro de la política. La acción stateless por defecto define cómo Network Firewall gestiona un paquete al que no aplica ninguno de los grupos de reglas stateless.

En cuanto a la acción stateless por defecto, la política del firewall le permite especificar diferentes configuraciones predeterminadas tanto para paquetes completos como para fragmentos de paquetes. Las acciones posibles son las mismas que para las reglas stateless que se utilizan en los grupos de dichas reglas dentro de la política de firewall.

Debe especificar una de las siguientes opciones:

  • Pass – suspende todas las inspecciones del paquete y permite que vaya al destino previsto.
  • Drop – interrumpe toda inspección del paquete y lo bloquea para que no vaya al destino previsto.
  • Forward to stateful rule groups – suspende la inspección stateless del paquete y lo reenvía al motor de reglas stateful para su inspección.

Además, si lo desea, se puede especificar una acción personalizada a aplicar. Para esta acción, Network Firewall envía una dimensión de métrica de CloudWatch denominada CustomAction con un valor especificado. Después de definir y nombrar una acción personalizada, se puede usar por su nombre en el mismo contexto en el que se ha definido. Puede reutilizar una configuración de acción personalizada entre las reglas de un grupo y también reutilizar una configuración de acción personalizada entre las dos opciones de acción personalizada stateless predeterminadas para una política de firewall.

Después de definir la política de firewall, puede insertar el firewall en el flujo de tráfico de la VPC actualizando las tablas de enrutamiento de la VPC para incluir dicho firewall.

Cómo configurar grupos de reglas

Puede crear nuevos grupos de reglas stateless o stateful en el menú Grupos de reglas de Network Firewall y seleccionar Create rule group. Si selecciona stateful rule group, puede seleccionar una de las tres opciones:

  1. Formato de regla 5-tuple, que especifica IP y puerto origen, IP y puerto destino, así como protocolo, y permite especificar la acción que se debe realizar para el tráfico coincidente.
  2. Domain list, especifica una lista de nombres de dominio y la acción a realizar para el tráfico que intenta acceder a uno de los dominios.
  3. Suricata compatible IPS rules, proporcionan reglas de firewall avanzadas mediante la sintaxis de regla Suricata.

Network Firewall admite la especificación estándar de reglas stateless 5-tuple para la inspección del tráfico de red con un número de prioridad que indica el orden en que se procesará dicha regla stateless dentro del grupo correspondiente.

Del mismo modo, una regla stateful 5-tuple tiene la siguiente configuración de coincidencias, que especifica lo que el motor de reglas stateful del Network Firewall buscará dentro de un paquete. Un paquete debe satisfacer todas las configuraciones para que sea considerado como una coincidencia.

Un grupo de reglas con nombres de dominio tiene la siguiente configuración de coincidencia:

  1. Nombre de dominio: lista de cadenas que especifican los nombres de dominio que se desea que coincidan.
  2. Dirección del tráfico: dirección del flujo de tráfico que se va a inspeccionar.

El siguiente JSON muestra una definición de regla de ejemplo para un grupo de reglas de nombre de dominio.

{
  "RulesSource": {
    "RulesSourceList": {
      "TargetType": "FQDN_SNI","HTTP_HOST",
      "Targets": [
        "test.example.com",
        "test2.example.com"
      ],
      "GeneratedRulesType": "DENYLIST"
    }
  } 
}

Un grupo de reglas stateful con reglas tipo IPS que sea compatible con Suricata, tiene todas sus configuraciones definidas dentro del ámbito de especificación de Suricata. Por ejemplo, el comando siguiente muestra cómo detectar anomalías del protocolo SSH. Para obtener información acerca de Suricata, consulte el sitio web de Suricata.

alert tcp any any -> any 22 (msg:"ALERT TCP port 22 but not SSH"; app-layer-protocol:!ssh; sid:2271009; rev:1;)

Puede monitorizar Network Firewall mediante CloudWatch, que recopila datos en formato “raw” y los procesa para convertirlos en métricas legibles casi en tiempo real, y también AWS CloudTrail, un servicio que proporciona un registro de las llamadas a la API de AWS Network Firewall realizadas por un usuario, un rol o un servicio de AWS. CloudTrail captura todas las llamadas a la API de Network Firewall y los trata como eventos. Para obtener más información sobre el registro y monitorización, consulte la documentación.

Partners de Network Firewall

En este lanzamiento, Network Firewall se integra con una serie de partners de AWS, que nos proporcionaron muchos comentarios útiles. Aquí están algunas de las entradas del blog que escribieron para compartir sus experiencias (La lista de enlaces está actualizada a entradas publicadas a la fecha de publicación de este artículo).

Ya disponible

AWS Network Firewall ya está disponible en las regiones US East (N. Virginia), US West (Oregon) y Europe (Ireland). Eche un vistazo a la página del producto, el precio y la documentación para obtener más información. Pruebe el servicio y envíenos sus comentarios a través de sus contactos habituales de AWS Support o del foro de AWS para Amazon VPC.

Conozca todos los detalles acerca de AWS Network Firewall y empiece a usar esta nueva característica.

Channy Yun

Channy Yun

Channy Yun es Principal Developer Advocate en AWS, y le apasiona ayudar a los desarrolladores a crear aplicaciones modernas con los últimos servicios de AWS. Desarrollador pragmático y bloguero de corazón, le encanta el aprendizaje y el intercambio de tecnología impulsados por la comunidad, lo que ha canalizado a los desarrolladores a grupos de usuarios de AWS globales. Síguelo en Twitter en @channyun.