Información general
Las automatizaciones de AWS Firewall Manager le permiten configurar, administrar y auditar, de forma centralizada, las reglas del firewall en todas las cuentas de AWS Organizations y sus recursos de una manera automatizada. Al utilizar esta solución de AWS, puede mantener una postura de seguridad uniforme en toda su organización.
Esta solución brinda reglas preestablecidas para la configuración de firewalls a nivel de aplicación para AWS WAF, la auditoría de los grupos de seguridad de Amazon Virtual Private Cloud (Amazon VPC) no utilizados y excesivamente permisivos y la configuración de un firewall DNS para bloquear las consultas de dominios incorrectos.
Esta solución también ayuda a crear un punto de referencia rápido de las reglas de seguridad de los firewalls y a proteger contra los ataques de denegación de servicio distribuidos (DDoS) con la integración con AWS Shield Avanzado. También puede automatizar la respuesta proactiva a los eventos y la detección basada en el estado con esta capacidad.
Nota: Puede utilizar esta solución si ya utiliza Firewall Manager en su organización; sin embargo, debe instalar la solución en su cuenta de administrador de Firewall Manager. Si todavía no tiene Firewall Manager configurado, consulte la guía de implementación para conocer los pasos.
Beneficios
Configure y audite fácilmente AWS WAF, DNS y las reglas del grupo de seguridad en los entornos de AWS de varias cuentas con AWS Firewall Manager.
Aproveche esta solución para instalar los requisitos previos necesarios para utilizar Firewall Manager, lo que permite invertir más tiempo en las necesidades específicas de seguridad.
Aproveche su suscripción a AWS Shield Advanced para implementar la protección contra DDoS en las cuentas de AWS Organizations, configurar comprobaciones de estado y permitir una respuesta proactiva a los eventos por parte del equipo de respuesta de Shield.
Detalles técnicos
Puede desplegar automáticamente esta arquitectura con la guía de despliegue y la plantilla de AWS CloudFormation asociada.
La solución incluye dos arquitecturas que muestran la pila principal y una pila opcional con funciones de Shield Advanced. Al implementar esta solución con los parámetros predeterminados, se implementan los siguientes componentes en su cuenta de AWS.
-
Pila principal
-
Pilas opcionales con automatizaciones para Shield Advanced
-
Pila principal
-
Haga clic para agrandar
Paso 1 (administrador de políticas)
El Almacén de parámetros, una funcionalidad de AWS Systems Manager, contiene tres parámetros: /FMS/OUs, /FMS/Regions y /FMS/Tags. Actualice estos parámetros mediante Systems Manager.
Paso 2
Con una regla de Amazon EventBridge se utiliza un patrón de eventos para capturar el evento de actualización de parámetros de Systems Manager.Paso 3
Con una regla de EventBridge se invoca una función de AWS Lambda.Paso 4
La función de Lambda instala un conjunto de políticas de seguridad predefinidas de AWS Firewall Manager en las unidades organizativas especificadas por el usuario. Además, si está suscrito a AWS Shield Advanced, esta solución implementa políticas de Shield Advanced para brindar protección ante ataques DDoS.
Paso 5
La función PolicyManager de Lambda recupera el archivo de manifiesto de políticas que se encuentra en el bucket de Amazon Simple Storage Service (Amazon S3) y lo utiliza para crear las políticas de seguridad de Firewall Manager.Paso 6 (generador de informes de conformidad)
Lambda guarda los metadatos de las políticas en la tabla de Amazon DynamoDB.Paso 7
Una regla de EventBridge basada en el tiempo invoca la función de Lambda del generador de conformidad.Paso 8
La función de Lambda del generador de conformidad recupera las políticas de Firewall Manager en cada región y publica la lista de ID de políticas en el tema de Amazon Simple Notification Service (Amazon SNS).Paso 9
El tema de Amazon SNS invoca la función de Lambda del generador de conformidad con la carga {PolicyId: string, Region: string}.Paso 10
La función de Lambda del generador de conformidad genera un informe de conformidad para cada una de las políticas y carga el informe en formato CSV en un bucket de S3.Paso 1 (administrador de políticas)
El Almacén de parámetros, una funcionalidad de AWS Systems Manager, contiene tres parámetros: /FMS/OUs, /FMS/Regions y /FMS/Tags. Actualice estos parámetros mediante Systems Manager.
Paso 2
Con una regla de Amazon EventBridge se utiliza un patrón de eventos para capturar el evento de actualización de parámetros de Systems Manager.Paso 3
Con una regla de EventBridge se invoca una función de AWS Lambda.Paso 4
La función de Lambda instala un conjunto de políticas de seguridad predefinidas de AWS Firewall Manager en las unidades organizativas especificadas por el usuario. Además, si está suscrito a AWS Shield Advanced, esta solución implementa políticas de Shield Advanced para brindar protección ante ataques DDoS.
Paso 5
La función PolicyManager de Lambda recupera el archivo de manifiesto de políticas que se encuentra en el bucket de Amazon Simple Storage Service (Amazon S3) y lo utiliza para crear las políticas de seguridad de Firewall Manager.Paso 6 (generador de informes de conformidad)
Lambda guarda los metadatos de las políticas en la tabla de Amazon DynamoDB.Paso 7
Una regla de EventBridge basada en el tiempo invoca la función de Lambda del generador de conformidad.Paso 8
La función de Lambda del generador de conformidad recupera las políticas de Firewall Manager en cada región y publica la lista de ID de políticas en el tema de Amazon Simple Notification Service (Amazon SNS).Paso 9
El tema de Amazon SNS invoca la función de Lambda del generador de conformidad con la carga {PolicyId: string, Region: string}.Paso 10
La función de Lambda del generador de conformidad genera un informe de conformidad para cada una de las políticas y carga el informe en formato CSV en un bucket de S3. -
Pilas opcionales con automatizaciones para Shield Advanced
-
Haga clic para agrandar
Paso 1 (administrador de políticas)
(Opcional) Actualice los parámetros del almacén de parámetros creados por la plantilla aws-fms-automations con los valores que desee. Los parámetros que se crean son /FMS/OUs, /FMS/Regions y /FMS/Tags.
Paso 2
Con una regla de Amazon EventBridge se utiliza un patrón de eventos para capturar el evento de actualización de parámetros de Systems Manager.
Paso 3
Con una regla de EventBridge se invoca una función de AWS Lambda.
Paso 4
La función de Lambda instala un conjunto de políticas de seguridad predefinidas de AWS Firewall Manager en las unidades organizativas especificadas por el usuario. Además, si está suscrito a AWS Shield Advanced, esta solución implementa políticas de Shield Advanced para brindar protección ante ataques DDoS.Paso 5
La función PolicyManager de Lambda recupera el archivo de manifiesto de políticas que se encuentra en el bucket de Amazon S3 y lo utiliza para crear las políticas de seguridad de AWS Firewall Manager.
Paso 6: Detección automatizada basada en la salud
La regla AWS Config de la organización captura las protecciones Shield Advanced existentes en toda su organización de AWS. Puede crear estas protecciones Shield Advanced automáticamente a través de las políticas de seguridad de Firewall Manager implementadas por esta solución o manualmente mediante la consola Shield.
Paso 7
Las protecciones de Shield Advanced capturadas por la regla de configuración de la organización se envían a la función ConfigRuleEval Lambda para su evaluación. Esta función de Lambda determina si la protección tiene o no asociadas comprobaciones de estado de Amazon Route 53.
Paso 8
Si no hay comprobaciones de estado de Route 53 asociadas a la protección Shield Advanced, la solución publica un mensaje en la cola de Amazon SQS solicitando que se creen comprobaciones de estado para la protección.Paso 9
La función ConfigRuleRemediate Lambda lee los mensajes de la cola de Amazon SQS.Paso 10
La función ConfigRuleRemediate Lambda crea una comprobación de estado calculada de Route 53 en función del tipo de recurso que protege la protección Shield Advanced.Paso 11
La función ConfigRuleRemediate Lambda asocia la comprobación de estado de Route 53 creada en el paso 10 con la protección de Shield Advanced que se está evaluando.
Paso 1 (administrador de políticas)
(Opcional) Actualice los parámetros del almacén de parámetros creados por la plantilla aws-fms-automations con los valores que desee. Los parámetros que se crean son /FMS/OUs, /FMS/Regions y /FMS/Tags.
Paso 2
Con una regla de Amazon EventBridge se utiliza un patrón de eventos para capturar el evento de actualización de parámetros de Systems Manager.
Paso 3
Con una regla de EventBridge se invoca una función de AWS Lambda.
Paso 4
La función de Lambda instala un conjunto de políticas de seguridad predefinidas de AWS Firewall Manager en las unidades organizativas especificadas por el usuario. Además, si está suscrito a AWS Shield Advanced, esta solución implementa políticas de Shield Advanced para brindar protección ante ataques DDoS.Paso 5
La función PolicyManager de Lambda recupera el archivo de manifiesto de políticas que se encuentra en el bucket de Amazon S3 y lo utiliza para crear las políticas de seguridad de AWS Firewall Manager.
Paso 6: Detección automatizada basada en la salud
La regla AWS Config de la organización captura las protecciones Shield Advanced existentes en toda su organización de AWS. Puede crear estas protecciones Shield Advanced automáticamente a través de las políticas de seguridad de Firewall Manager implementadas por esta solución o manualmente mediante la consola Shield.
Paso 7
Las protecciones de Shield Advanced capturadas por la regla de configuración de la organización se envían a la función ConfigRuleEval Lambda para su evaluación. Esta función de Lambda determina si la protección tiene o no asociadas comprobaciones de estado de Amazon Route 53.
Paso 8
Si no hay comprobaciones de estado de Route 53 asociadas a la protección Shield Advanced, la solución publica un mensaje en la cola de Amazon SQS solicitando que se creen comprobaciones de estado para la protección.Paso 9
La función ConfigRuleRemediate Lambda lee los mensajes de la cola de Amazon SQS.Paso 10
La función ConfigRuleRemediate Lambda crea una comprobación de estado calculada de Route 53 en función del tipo de recurso que protege la protección Shield Advanced.Paso 11
La función ConfigRuleRemediate Lambda asocia la comprobación de estado de Route 53 creada en el paso 10 con la protección de Shield Advanced que se está evaluando.
Contenido relacionado
Este curso brinda información general sobre los servicios, los beneficios, los casos de uso y la tecnología de seguridad de AWS. La sección de protección de infraestructuras cubre AWS WAF en cuanto al filtrado del tráfico.
Este es un curso introductorio a AWS Organizations, el servicio que ofrece administración basada en políticas para varias cuentas de AWS. Abordamos la terminología y las características clave, revisamos cómo obtener acceso al servicio y cómo usarlo, y proporcionamos una demostración.
Este examen evalúa sus conocimientos técnicos vinculados con la protección de la plataforma de AWS. Está destinado a cualquier individuo con experiencia en un rol de seguridad.
¿Le resultó útil esta página?
- Fecha de publicación