Preguntas frecuentes sobre AWS Network Firewall

AWS Network Firewall es un servicio administrado que facilita el despliegue de protecciones de red básicas para todas sus Amazon Virtual Private Clouds (VPC). El servicio se puede configurar con tan solo unos clics y se escala de manera automática con su tráfico de red, de modo que no tiene que preocuparse por implementar o administrar cualquier infraestructura. El motor de reglas flexible de Network Firewall le permite definir reglas de firewall que le brindan un control minucioso sobre el tráfico de la red, como el bloqueo de solicitudes de SMB (Server Message Block) salientes para evitar la propagación de actividades maliciosas. También puede importar reglas que ya haya escrito en formatos de reglas de código abierto comunes o importar reglas compatibles procedentes de socios de AWS. AWS Network Firewall trabaja junto a AWS Firewall Manager de modo que puede crear políticas basadas en reglas de AWS Network Firewall y luego aplicar de manera centralizada estas políticas en sus cuentas y VPC.

AWS administra la infraestructura de AWS Network Firewall, por lo que no tiene que preocuparse por crear y mantener su propia infraestructura de seguridad de red. AWS Network Firewall funciona con AWS Firewall Manager, de modo que puede administrar de forma centralizada las políticas de seguridad y aplicar automáticamente las políticas de seguridad obligatorias en las cuentas y VPC existentes y recién creadas. AWS Network Firewall cuenta con un motor de reglas muy flexible, por lo que puede crear reglas de firewall personalizadas para proteger sus cargas de trabajo únicas. AWS Network Firewall admite miles de reglas, que pueden basarse en el dominio, el puerto, el protocolo, las direcciones IP y la coincidencia de patrones.

AWS Network Firewall incluye características que brindan protección contra las amenazas comunes de la red. El firewall con estado de AWS Network Firewall puede incorporar el contexto de los flujos de tráfico, como el seguimiento de conexiones y la identificación de protocolos, para hacer cumplir políticas como evitar que sus VPC accedan a dominios mediante un protocolo no autorizado. El sistema de prevención de intrusiones (IPS) de AWS Network Firewall proporciona una inspección activa del flujo de tráfico para que pueda identificar y bloquear las vulnerabilidades mediante la detección basada en firmas. AWS Network Firewall también ofrece filtrado web que puede detener el tráfico a URL incorrectas conocidas y supervisar nombres de dominio completamente autorizados.

AWS Network Firewall le otorga control y visibilidad del tráfico de VPC a VPC para separar lógicamente las redes que alojan aplicaciones sensibles o recursos de línea de negocio. AWS Network Firewall proporciona filtros de tráfico saliente basados en dominios, URL y direcciones IP para ayudarlo a cumplir los requisitos de conformidad, detener posibles filtraciones de datos y bloquear la comunicación con host de malware conocidos. AWS Network Firewall protege AWS Direct Connect y el tráfico de la VPN de AWS que se ejecuta mediante AWS Transit Gateway desde los dispositivos cliente y sus entornos locales. AWS Network Firewall protege la disponibilidad de las aplicaciones; para ello, filtra el tráfico entrante de Internet mediante características como las reglas de la Lista de control de acceso (ACL), la inspección de estado, la detección de protocolos y la prevención de intrusiones.

AWS Network Firewall está diseñado para proteger y controlar el acceso hacia y desde su VPC, pero no para mitigar los ataques volumétricos, como la denegación de servicio distribuida (DDoS), que pueden afectar a la disponibilidad de su aplicación. Para protegerse contra los ataques DDoS y garantizar la disponibilidad de las aplicaciones, recomendamos a los clientes que consulten y cumplan nuestras prácticas recomendadas de AWS para la resiliencia frente a los ataques DDoS, y que también exploren AWS Shield Avanzado, que ofrece protección contra DDoS administrada personalizada para el tráfico específico de sus aplicaciones.

AWS Network Firewall complementa los servicios de seguridad de redes y aplicaciones existentes en AWS al proporcionar control y visibilidad del tráfico de red de la capa 3 a la capa 7 para toda la VPC. Según su caso de uso, puede optar por implementar AWS Network Firewall junto con sus controles de seguridad existentes, como los grupos de seguridad de Amazon VPC, las reglas del AWS Web Application Firewall o los dispositivos de AWS Marketplace.

El precio de AWS Network Firewall se basa en el número de firewalls implementados y la cantidad de tráfico inspeccionado. Consulte los precios de AWS Network Firewall para obtener más información.

Para obtener más información sobre la disponibilidad regional de AWS Network Firewall, consulte la tabla de regiones de AWS.

Varios socios de la red de socios de AWS (APN) ofrecen productos que complementan los servicios de AWS existentes para que pueda implementar una arquitectura de seguridad integral y sin problemas en AWS y en su entorno local. Para ver una lista actualizada de los socios de APN que ofrecen productos que complementan AWS Network Firewall, consulte los socios de AWS Network Firewall.

AWS Network Firewall ofrece un acuerdo de nivel de servicio con un compromiso de tiempo de actividad del 99,99 %. AWS Network Firewall le permite aumentar o reducir automáticamente la capacidad de su firewall en función de la carga de tráfico para mantener un rendimiento estable y predecible y minimizar los costos.

AWS Network Firewall está sujeto a cuotas de servicio para la cantidad de firewalls, políticas de firewall y grupos de reglas que puede crear y para otras configuraciones, como la cantidad de grupos de reglas sin estado o con estado que puede tener en una sola política de firewall. Para obtener más información sobre las cuotas de servicio, incluida información sobre cómo solicitar un aumento de la cuota de servicio, consulte la página de cuotas de AWS Network Firewall.

AWS Network Firewall admite dos tipos de implementación principales: centralizada y distribuida. En la distribuida, AWS Network Firewall se puede implementar en cada una de sus VPC de Amazon para que funcione más cerca de las aplicaciones. AWS Network Firewall también admite una implementación centralizada como una conexión de VPC a su AWS Transit Gateway. Con el firewall de red en modo Transit Gateway, que mantiene un enrutamiento simétrico hacia el mismo firewall zonal, puede filtrar una variedad de tráfico entrante y saliente hacia o desde puertas de enlace de Internet, puertas de enlace de Direct Connect, PrivateLink, puertas de enlace de Site-to-Site VPN, puertas de enlace de NAT e incluso entre otras VPC y subredes conectadas.

AWS Network Firewall se implementa como un servicio de punto de conexión, similar a otros servicios de red, como AWS PrivateLink. Su punto de conexión de AWS Network Firewall debe implementarse en una subred dedicada dentro de su Amazon VPC, con un tamaño mínimo de /28. AWS Network Firewall inspecciona todo el tráfico que se enruta al punto de conexión, que es el mecanismo de inserción y filtrado de rutas. A través de la consola de AWS Firewall Manager o de soluciones de socios que se integran con AWS Firewall Manager, puede crear configuraciones y políticas de forma centralizada mediante varios tipos de reglas, como listas de control de acceso (ACL) sin estado, sistemas de inspección con estado y prevención de intrusiones (IPS). Dado que AWS Network Firewall es un servicio administrado de AWS, AWS se encarga del escalado, la disponibilidad, la resiliencia y las actualizaciones de software.

Sí. AWS Network Firewall es un servicio regional que protege el tráfico de red a nivel de organización y cuenta. Para mantener la política y la supervisión en varias cuentas, debe utilizar AWS Firewall Manager.

En una política de AWS Network Firewall, se define el comportamiento de supervisión y protección de un firewall. Los detalles de ese comportamiento se definen en los grupos de reglas que se agregan a la política o en determinadas configuraciones de políticas predeterminadas. Para usar una política de firewall, se debe asociar la política a un firewall o más.

Un grupo de reglas es un conjunto reutilizable de reglas de firewall para inspeccionar y filtrar el tráfico en la red. Puede usar grupos de reglas sin estado o con estado para configurar los criterios de inspección de tráfico para sus políticas de firewall. Puede crear sus propios grupos de reglas o puede usar grupos de reglas administrados por vendedores de AWS Marketplace. Para obtener más información, consulte la Guía para desarrolladores de AWS Network Firewall.

AWS Network Firewall admite reglas con estado y sin estado. Las reglas sin estado consisten en listas de control de acceso (ACL) a la red, que pueden basarse en direcciones IP, puertos o protocolos de origen y destino. Las reglas con estado se definen mediante direcciones IP, puertos y protocolos de origen y destino, pero se diferencian de las reglas sin estado en que mantienen y protegen las conexiones o sesiones durante toda la conexión o sesión.

AWS Network Firewall también ofrece reglas administradas que proporcionan protección preconfigurada. Estas reglas las administra AWS o un socio de AWS. Es posible suscribirse a las reglas administradas por un socio de AWS a través de AWS Marketplace.

Las reglas administradas de AWS ofrecen defensa activa contra amenazas, ya que utilizan la inteligencia sobre amenazas global de AWS para una protección automática contra amenazas activas. Además, también usa grupos de reglas administradas basadas en dominios, IP y firmas de amenazas.

Las reglas administradas por los socios ofrecen reglas seleccionadas que se pueden integrar con facilidad en las políticas de AWS Network Firewall. Estas reglas ayudan a proteger las cargas de trabajo en la nube contra varios casos de uso.

Cada uno de estos tipos de reglas se puede combinar en sus políticas de firewall para crear una protección integral adaptada a sus necesidades de seguridad.

Puede registrar su actividad de AWS Network Firewall en un bucket de Amazon S3 para analizarla e investigarla más a fondo. También puede utilizar Amazon Kinesis Firehose para enviar sus registros a un tercero proveedor.

Sí. Puede usar la capacidad de integración nativa o implementar AWS Network Firewall en su VPC y, a continuación, adjuntar esa VPC a una TGW de forma manual. Para obtener más información sobre esta configuración, consulte la entrada del blog Modelos de implementación para AWS Network Firewall.

AWS Network Firewall ya utiliza el equilibrador de carga de puerta de enlace de AWS para brindar escalabilidad elástica al punto de conexión del firewall y no requiere una integración independiente. Esto se puede observar al comprobar la interfaz de red elástica (ENI) del punto de conexión del firewall, que utiliza el tipo “gateway_load_balancer_endpoint”.

El precio de AWS Network Firewall se basa en el número de firewalls implementados y la cantidad de tráfico inspeccionado. Si asocia un firewall a varias VPC, paga la tarifa por hora estándar por región y zona de disponibilidad para el punto de conexión del firewall principal en la VPC de inspección. Usted paga una tarifa por hora reducida por región y zona de disponibilidad por cada punto de conexión secundario adicional asociado a ese firewall. También paga por la cantidad de tráfico que procesa el firewall, el cual se factura por gigabyte por región y zona de disponibilidad. Consulte los precios de AWS Network Firewall para obtener más información sobre los costos al usar varios puntos de enlace.

AWS Network Firewall admite los siguientes tipos de control del tráfico saliente: filtrado de URL del protocolo HTTPS (SNI)/HTTP, listas de control de acceso (ACL), consulta de DNS y detección de protocolos.

AWS Network Firewall escala de forma automática hasta 100 Gbps de ancho de banda por zona de disponibilidad. El ancho de banda de 100 Gbps se comparte entre todos los puntos de conexión de VPC asociados, por lo que los clientes deben tener en cuenta el volumen total de tráfico previsto al planificar su implementación. El rendimiento puede verse afectado si un único punto de conexión tiene un exceso de suscripciones. Recomendamos que los clientes realicen sus propias pruebas con sus conjuntos de reglas para garantizar que el servicio cumpla con las expectativas de rendimiento.

La cuenta del propietario del firewall se factura por el firewall de inspección, así como por cualquier punto de conexión secundario asociado al firewall en cada zona de disponibilidad. Solo al propietario del firewall se le facturan todos los puntos de conexión principales y secundarios asociados, incluidas las asociaciones de puntos de conexión entre cuentas.

AWS Network Firewall admite la inspección profunda de paquetes para el tráfico cifrado.

Los registros de AWS Network Firewall se pueden almacenar de forma nativa en Amazon S3, Amazon Kinesis Data Firehose y Amazon CloudWatch. Las siguientes métricas están disponibles para cada punto de conexión de VPC: paquetes recibidos, paquetes descartados, paquetes descartados no válidos, otros paquetes descartados y paquetes procesados.

Puede configurar la inspección de la TLS de AWS Network Firewall desde la consola de Amazon VPC o la API de Network Firewall. La configuración es un proceso de 3 pasos. Siga los pasos de la documentación del servicio AWS Network Firewall para 1) aprovisionar certificados y claves, 2) crear una configuración de inspección de TLS y 3) aplicar la configuración a una política de firewall.

El servicio es compatible con las versiones 1.1, 1.2 y 1.3 de TLS, con la excepción del cliente cifrado hello (ECH) y el SNI cifrado (ESNI).

AWS Network Firewall es compatible con todos los conjuntos de cifrado compatibles con AWS Certificate Manager (ACM). Consulte las consideraciones sobre la inspección de TLS en la documentación de servicio para obtener más información.

El precio de AWS Network Firewall se basa en el número de firewalls implementados y la cantidad de tráfico inspeccionado. Consulte los precios de AWS Network Firewall para obtener más información sobre el costo de la inspección de TLS de entrada.

Esperamos mantener el rendimiento actual del ancho de banda de AWS Network Firewall con esta nueva versión de características. Recomendamos que los clientes realicen sus propias pruebas con sus conjuntos de reglas para garantizar que el servicio cumpla con las expectativas de rendimiento.

Puede activar grupos de reglas administrados de defensa activa contra amenazas en AWS Network Firewall a través de la consola de administración de AWS, la CLI de AWS o los SDK de AWS. Para AWS Network Firewall, puede seleccionar el grupo de reglas de defensa activa contra amenazas en el menú desplegable de grupos de reglas administrados por AWS al crear o actualizar una política de firewall. Una vez agregado, verá automáticamente el grupo de reglas administradas de defensa activa contra amenazas en su política de firewall. Puede configurar aún más el grupo de reglas en los modos de aplicación compatibles, como alerta o denegación.

Los grupos de reglas administrados de defensa activa contra amenazas en AWS Network Firewall se diferencian en varios aspectos de los grupos de reglas administrados existentes basados en dominios, IP y firmas de amenazas. Principalmente, las reglas de defensa activa contra amenazas se basan en la inteligencia sobre amenazas de Amazon. Esta capacidad se centra en la protección rápida contra amenazas activas identificadas por la inteligencia sobre amenazas de Amazon. Cuando se identifica una amenaza activa, AWS Network Firewall aplica de manera automática reglas administradas para bloquear la amenaza. La defensa activa contra amenazas está diseñada para complementar a otros grupos de reglas administrados y ofrecer una capa de protección adicional.

AWS Network Firewall se integra a la perfección con Amazon CloudWatch y proporciona capacidades completas de registro y supervisión que le ayudan a realizar un seguimiento de las coincidencias de las reglas y las métricas de rendimiento. A través de la sección de grupos de reglas administrados de defensa activa contra amenazas de la consola de Network Firewall, obtendrá una mejor visibilidad de su postura de seguridad, incluidos detalles sobre los grupos de indicadores, los tipos de indicadores y los nombres de amenazas específicas que se están mitigando. 

Se aplica un cargo adicional por la cantidad de tráfico procesado por el punto de conexión de firewall cuando los grupos de reglas de defensa activa contra amenazas están activados en la política de firewall. Este tráfico se factura por gigabyte y por región y zona de disponibilidad.      

Los grupos de reglas administrados de defensa activa contra amenazas utilizan una capacidad de reglas fija de 15 000, mientras que el límite total predeterminado sigue siendo de 30 000 reglas con estado por política de firewall en una región. Puedes solicitar un aumento de cuota según las reglas con estado a nivel de cuenta sin costo adicional. Para obtener más información sobre las cuotas de AWS Network Firewall y solicitar un aumento del límite de reglas con estado, consulte la documentación del servicio.