Características de AWS Network Firewall

Implemente inspección con estado junto con inspección profunda de paquetes (DPI) para evaluar los flujos de tráfico según la dirección de origen, el tipo de protocolo y la dirección del tráfico. El motor de reglas flexible admite la configuración de reglas basadas en direcciones IP de origen y destino, puertos y protocolos, y ofrece compatibilidad con el filtrado de protocolos comunes sin necesidad de especificar puertos.

Filtre el tráfico web entrante y saliente mediante inspección de encabezados HTTP para flujos sin cifrar y filtrado por Indicación de nombre de servidor (SNI) para tráfico cifrado. Aplique controles basados en dominios mediante el filtrado por nombre de dominio completo (FQDN) para administrar el acceso a sitios web y servicios específicos.

Implemente capacidades explícitas de proxy directo para autenticar clientes y controlar el tráfico saliente a Internet mediante una inspección y un filtrado integrales. El proxy de AWS Network Firewall se sitúa entre las cargas de trabajo e Internet para evitar la exfiltración de datos, filtrar dominios e inspeccionar encabezados HTTP.

Implemente la inspección de seguridad de la capa de transporte (TLS) para analizar los flujos de tráfico cifrado dentro de la VPC. La inspección nativa de seguridad de la capa de transporte (TLS) se realiza dentro de la instancia del firewall, lo que mantiene la privacidad de los datos y permite el análisis del tráfico tanto en las comunicaciones entrantes como en las salientes.

Aplique controles de tráfico basados en ubicación mediante asignación de IP a país. Cree reglas para permitir o denegar tráfico en función de regiones geográficas, a fin de cumplir los requisitos de soberanía de los datos e implementar políticas de acceso regional.

Configure controles de tráfico bidireccionales en los límites de la VPC. Aplique reglas detalladas para el tráfico entrante y supervise las comunicaciones salientes a fin de cumplir los requisitos de cumplimiento normativo y mantener la gobernanza de datos.

Aplique controles de red y de capa de aplicación mediante detección basada en firmas. El sistema de prevención de intrusiones (IPS) evalúa los patrones de tráfico frente a firmas conocidas y analiza secuencias de bytes y características de los paquetes para identificar posibles eventos de seguridad. AWS Network Firewall incluye firmas de amenazas administradas por AWS y grupos de reglas de dominios maliciosos sin costo adicional.

Implemente controles automatizados mediante la inteligencia sobre amenazas global de Amazon. Las reglas administradas por AWS identifican y responden a amenazas activas con la misma inteligencia sobre amenazas que impulsa Amazon GuardDuty, lo que ayuda a mantener controles de seguridad coherentes en la infraestructura.

Configure reglas personalizadas para implementar sus requisitos específicos de seguridad o aproveche las reglas predefinidas de AWS. La compatibilidad con Suricata permite importar firmas de IDS/IPS provenientes de la comunidad activa de seguridad de código abierto, al tiempo que mantiene la flexibilidad para actualizar y personalizar los controles según sea necesario.

Varios socios de AWS ofrecen reglas administradas a través de AWS Marketplace, lo que proporciona reglas de seguridad actualizadas automáticamente que se pueden implementar directamente en las políticas de AWS Network Firewall.

Utilice la sencilla integración con la puerta de enlace de tránsito para inspeccionar el tráfico Este-Oeste entre VPC sin necesidad de administrar VPC de inspección independientes. Implemente políticas de seguridad centralizadas para supervisar y controlar las comunicaciones internas de la red, lo cual reduce la complejidad de la arquitectura.

Aplique controles de seguridad coherentes en los puntos de conexión de VPC con una única instancia de firewall. Mantenga una aplicación coherente de políticas para los flujos de tráfico entre VPC, al tiempo que centraliza la administración de seguridad.

Garantice una protección uniforme gracias a la redundancia integrada y al Acuerdo de nivel de servicio de AWS Network Firewall. Experimente un escalado fluido por zona de disponibilidad a medida que cambian los patrones de tráfico. El sistema ajusta automáticamente la capacidad para mantener el rendimiento mientras optimiza los costos, lo que elimina la necesidad de realizar operaciones de escalado manual.

Para maximizar la eficiencia, conecte varios puntos de conexión de VPC a una única instancia de firewall. Reduzca la carga operativa y los costos mediante la administración consolidada de seguridad en varias VPC. Esta arquitectura flexible admite diversos patrones de implementación y garantiza una aplicación coherente de políticas en el entorno de AWS.

Supervise la actividad de la red mediante el registro detallado de alertas y de flujo con CloudWatch. Supervise las coincidencias de reglas y los datos de sesión mediante registros de alertas, mientras que los registros de flujo proporcionan información del estado del tráfico bidireccional. Almacene los registros en Amazon S3, Kinesis o CloudWatch para integrarlos con los flujos de trabajo de análisis existentes.

Optimice las operaciones de seguridad mediante la administración centralizada de políticas en toda la organización de AWS. Implemente reglas y controles coherentes en varias cuentas, aplicaciones y VPC mediante la administración jerárquica de políticas. Las capacidades automatizadas de supervisión del cumplimiento y de remediación ayudan a mantener los estándares de seguridad a medida que la infraestructura crece, al tiempo que proporcionan una visibilidad clara del cumplimiento de políticas en la organización.

Implemente controles de seguridad de red mediante la integración nativa con los servicios de AWS. Utilice la puerta de enlace de tránsito para una arquitectura centralizada, VPC para el enrutamiento del tráfico, IAM para la administración del acceso y CloudWatch para la supervisión operativa.

Mejore las capacidades de seguridad mediante una amplia red de soluciones e integraciones con socios. Conéctese con socios líderes en seguridad para la orquestación de políticas y la ingesta de inteligencia sobre amenazas, mientras mantiene sus inversiones de seguridad existentes. Exporte eventos de seguridad y datos de registro a la solución SIEM de su preferencia, lo que permite realizar un análisis de seguridad integral en toda la infraestructura. Consulte la lista completa de socios de AWS Network Firewall