¿Qué hace esta solución de AWS?

La solución Automatizaciones para AWS Firewall Manager (sucesora de AWS Centralized WAF y VPC Security Group Management) permite configurar, administrar y auditar de forma centralizada las reglas del firewall en todas las cuentas y los recursos de AWS Organizations. Esta solución es una implementación de referencia para automatizar el proceso de configuración de las políticas de seguridad de AWS Firewall Manager.

Esta solución proporciona reglas preconfiguradas que se pueden implementar en AWS Organizations para (1) configurar firewalls en aplicaciones mediante un firewall de aplicaciones web (WAF), (2) auditar grupos de seguridad de nubes virtuales privadas (VPC) no utilizados y excesivamente permisivos, y (3) configurar DNS Firewall para bloquear consultas de dominios malos. Permite activar automáticamente los requisitos previos necesarios para utilizar Firewall Manager, de modo que se pueda dedicar más tiempo a las necesidades específicas de seguridad.

Esta solución ayuda a los clientes empresariales de AWS a crear una referencia rápida de reglas de seguridad de firewall en los recursos de las capas 3-7, así como a mantener una posición de seguridad coherente dentro de sus organizaciones. Además, esta solución implementa políticas de Shield Advanced para los clientes suscritos a AWS Shield Advanced, a fin de protegerse ante ataques de denegación de servicio distribuidos (DDoS) en contra de sus cuentas de AWS.

Nota: Esta solución se debe instalar en la cuenta de administrador de Firewall Manager. Si todavía no tiene Firewall Manager configurado, consulte la Guía de implementación para conocer los pasos.

Beneficios

Configure las políticas de los grupos de seguridad, DNS y WAF

Configure y audite fácilmente las reglas de los grupos de seguridad, DNS y WAF en los entornos de AWS de varias cuentas con AWS Firewall Manager.

Automatice la instalación de AWS Firewall Manager

Utilice esta solución para instalar los requisitos previos necesarios para utilizar AWS Firewall Manager.

Implemente protección ante ataques DDoS en las cuentas

en blanco
Aproveche su suscripción a AWS Shield Advanced para implementar protección ante ataques DDoS en las cuentas de AWS Organizations.

Información general sobre la solución de AWS

En el siguiente diagrama se muestra la arquitectura que puede implementar automáticamente con la guía de implementación de la solución y la plantilla de AWS CloudFormation correspondiente.

Automatizaciones de AWS Firewall Manager para AWS Organizations | Diagrama de la arquitectura
 Haga clic para agrandar

Arquitectura de la solución Automatizaciones para AWS Firewall Manager

La arquitectura se puede agrupar en dos flujos de trabajo distintos: el administrador de políticas y el generador de informes de cumplimiento.

Administrador de políticas

Cuando la plantilla de AWS CloudFormation se implementa, se crea un AWS Systems Manager Parameter Store que contiene tres parámetros, cada uno con valores predeterminados. Los parámetros que se crean son /FMS/OUs, /FMS/Regions y /FMS/Tags.

1. Puede actualizar estos parámetros mediante Systems Manager:      

  • Para el parámetro /FMS/OUs, agregue ID de unidades organizativas para aplicar políticas y conjuntos de reglas a múltiples unidades organizativas.      
  • Para el parámetro /FMS/Regions, especifique los nombres de las regiones de AWS.
  • Para el parámetro /FMS/Tags, cree etiquetas de inclusión y exclusión y agregue etiquetas a recursos específicos dentro de las cuentas para indicar los recursos a los que se deben aplicar o no aplicar las políticas y conjuntos de reglas, respectivamente. 

2. Una regla de Amazon EventBridge utiliza un patrón de eventos para capturar el evento de actualización de parámetros de System Manager.

3. Una regla de Amazon EventBridge invoca una función de AWS Lambda.

4. La función Lambda instala un conjunto de políticas de seguridad predefinidas de AWS Firewall Manager en las unidades organizativas especificadas por el usuario. Las políticas incluyen una lista de control de acceso (ACL) web de AWS WAF que consiste en conjuntos de reglas administradas por AWS y políticas de auditoría de grupos de seguridad de VPC. Además, si cuenta con una suscripción a AWS Shield Advanced, esta solución implementa políticas avanzadas de protección contra ataques de denegación de servicio distribuidos (DDoS).

5. La función PolicyManager de Lambda recupera el archivo de manifiesto de políticas que se encuentra en el bucket de Amazon S3 y lo utiliza para crear las políticas de seguridad de AWS Firewall Manager.

6. AWS Lambda guarda los metadatos de las políticas en la tabla de Amazon DynamoDB. Para obtener una lista completa de las políticas y conjuntos de reglas que se instalan, así como información sobre los resultados predeterminados de las políticas recomendadas y dónde se encuentran.

Generador de informes de conformidad

Cuando se implementa la pila de CloudFormation, se crea una regla de Amazon CloudWatch Events basada en el tiempo, una función Lambda, un tema SNS y un bucket de Amazon S3.

1. Una regla de Amazon EventBridge basada en el tiempo invoca la función Lambda del generador de conformidad.

2. El generador de conformidad Lambda recupera las políticas de Firewall Manager en cada región y publica la lista de ID de políticas en el tema SNS.

3. El tema SNS invoca la función de generador de conformidad de Lambda con la carga {PolicyId: string, Region: string}.

4. El generador de conformidad genera un informe de conformidad para cada una de las políticas y carga el informe en formato CSV en un bucket de S3.

Automatizaciones para AWS Firewall Manager

Versión 2.0.2
Última actualización: 05/2022
Autor: AWS

Tiempo estimado de implementación: 3 min.

Utilice el siguiente botón para suscribirse a las actualizaciones de la solución.

Nota: Para suscribirse a las actualizaciones de RSS, debe disponer de un complemento de RSS habilitado para el navegador que utilice.  

¿Ha sido de ayuda esta implementación de soluciones?
Proporcione su opinión 
Icono de creación
Implemente usted mismo una solución

Consulte nuestra biblioteca de Implementaciones de soluciones de AWS para obtener respuestas a problemas de arquitectura comunes.

Más información 
Buscar un socio de APN
Buscar un socio de APN

Encuentre socios consultores y tecnológicos certificados por AWS que lo ayudarán a comenzar.

Más información 
Ícono de exploración
Explore las ofertas de asesoramiento sobre soluciones

Explore nuestra cartera de ofertas de asesoramiento para obtener ayuda autorizada por AWS con la implementación de la solución.

Más información