Généralités

Q : Qu'est-ce qu'AWS Firewall Manager ?

AWS Firewall Manager est un service de gestion de la sécurité qui vous permet de configurer et de gérer de manière centralisée les règles de pare-feu dans vos comptes et vos applications dans AWS Organization. Lorsque de nouvelles applications sont créées, Firewall Manager facilite également la mise en conformité des nouvelles applications et ressources en appliquant un ensemble commun de règles de sécurité. Vous disposez maintenant d'un service unique permettant d'établir des règles de pare-feu, de créer des stratégies de sécurité et de les appliquer de façon cohérente et hiérarchisée sur l'ensemble de l'infrastructure.

Q : Quels sont les principaux avantages d'AWS Firewall Manager ?

AWS Firewall Manager s'intègre à AWS Organizations pour que vous puissiez mettre en œuvre des règles AWS WAF, des protections AWS Shield Advanced, des groupes de sécurité de VPC, des pare-feux réseau AWS et des règles de pare-feu DNS Amazon Route 53 Resolver dans plusieurs comptes et ressources AWS depuis un emplacement unique. Firewall Manager surveille les nouvelles ressources ou les nouveaux comptes créés pour garantir leur conformité avec un ensemble obligatoire de politiques de sécurité dès le premier jour. Vous pouvez regrouper les règles, créer des stratégies et appliquer de manière centralisée ces stratégies à l'ensemble de votre infrastructure. Par exemple, vous pouvez déléguer la création de règles spécifiques à une application dans un compte tout en ayant la possibilité d'appliquer des stratégies de sécurité globales aux comptes. Votre équipe dédiée à la sécurité peut être avertie des menaces contre l'entreprise afin de répondre et de juguler rapidement les attaques.

Firewall Manager s'intègre également aux règles gérées pour AWS WAF, ce qui vous permet de déployer facilement des règles WAF préconfigurées pour vos applications.

Les administrateurs de sécurité peuvent exploiter Firewall Manager pour appliquer un ensemble de base de règles des groupes de sécurité pour les instances EC2, les équilibreurs de charge d'application et les interfaces réseau Elastic (ENI) dans vos VPC Amazon. Parallèlement, vous pouvez également auditer les groupes de sécurité existants dans vos VPC pour détecter les règles trop permissives et les corriger depuis un emplacement unique.

Vous pouvez exploiter Firewall Manager pour déployer de manière centralisée les points de terminaison pour AWS Network Firewall et les règles associées sur les VPC de votre organisation, afin de contrôler le trafic entrant et sortant de votre réseau. En même temps, vous pouvez également utiliser Firewall Manager pour associer les VPC de vos comptes aux règle de pare-feu DNS Route 53 Resolver afin de bloquer les requêtes DNS faites pour les domaines malveillants connus et d'autoriser les requêtes pour les domaines fiables.

Q : Que permet de configurer AWS Firewall Manager ?

À l'aide d'AWS Firewall Manager, vous pouvez configurer de manière centralisée des règles AWS WAF, des protections AWS Shield Advanced, des groupes de sécurité Amazon Virtual Private Cloud (VPC), des pare-feux réseau AWS et des règles de pare-feu DNS Amazon Route 53 Resolver dans plusieurs comptes et ressources AWS au sein de votre organisation.

Q : Est-ce qu'AWS Firewall Manager permet de configurer des groupes de sécurité VPC ou des listes ACL réseau ?

Oui, AWS Firewall Manager prend effectivement en charge la configuration des groupes de sécurité VPC. Toutefois, à ce jour, il ne prend pas en charge les ACL de réseau.

Q : Sur quelles ressources AWS Firewall Manager permet-il de configurer des règles ?

À l'aide d'AWS Firewall Manager, vous pouvez 

  • facilement déployer des règles AWS WAF dans Application Load Balancer, vos passerelles API et vos distributions Amazon CloudFront. 
  • Vous pouvez créer des protections AWS Shield Advanced pour vos Application Load Balancers, vos Classic Load Balancers ELB, vos adresses IP Elastic et vos distributions CloudFront. 
  • Vous pouvez également configurer de nouveaux groupes de sécurité Amazon Virtual Private Cloud (VPC) et auditer les groupes de sécurité existants pour vos instances Amazon EC2, Application Load Balancers (ALB) et vos types de ressources ENI. 
  • Vous pouvez également déployer des pare-feu réseau AWS sur les comptes et les VPC de votre organisation.
  • Enfin, grâce à AWS Firewall Manager, vous pouvez également associer des règles de pare-feu DNS Amazon Route 53 Resolver aux VPC de votre organisation.

Q : Combien coûte AWS Firewall Manager ?

La tarification d'AWS Firewall Manager est disponible ici.

Q : Dans quelles régions le service AWS Firewall Manager est-il disponible ?

Veuillez consulter le tableau des régions AWS pour connaître la disponibilité actuelle d'AWS Firewall Manager dans les différentes régions.

Activation d'AWS Firewall Manager

Q : Quels sont les prérequis pour AWS Firewall Manager ?

Il existe trois prérequis obligatoires et un prérequis facultatif pour utiliser AWS Firewall Manager.

  • AWS Organizations - Vos comptes doivent faire partie d'AWS Organizations et toutes les fonctionnalités doivent être actives. Consultez la documentation AWS Organizations pour en savoir plus.
  • Configuration du compte administrateur d'AWS Firewall Manager : Firewall Manager doit être associé au compte principal de votre organisation AWS ou à un compte membre disposant des autorisations appropriées. Le compte associé à Firewall Manager est appelé compte administrateur de Firewall Manager. Consultez la documentation pour plus d’informations.
  • Activation d'AWS Config sur les comptes - Activez AWS Config pour chaque compte membre de votre organisation. Consultez la documentation AWS Config.
  • Activation d'AWS Resource Access Manager (facultatif) - Pour permettre à Firewall Manager de configurer de manière centralisée les pare-feux réseau AWS ou d'associer des règles de pare-feu DNS Amazon Route 53 Resolver à vos comptes et vos VPC, vous devez d'abord autoriser le partage des ressources à l'aide d'AWS Resource Access Manager.

Q : Comment utiliser AWS Firewall Manager ?

  • Tout d'abord, veillez à remplir les prérequis mentionnés cités plus haut.
  • Deuxièmement, créez un type de stratégie pour AWS WAF, AWS Shield Advanced, le groupe de sécurité VPC, AWS Network Firewall ou le pare-feu DNA Amazon Route 53 Resolver.
  • Troisièmement, selon la stratégie, spécifiez l'ensemble des règles ou des protections. Par exemple, pour une stratégie destinée à AWS WAF, spécifiez les groupes de règles (personnalisées ou gérées) que vous souhaitez déployer sur les différents comptes. De même, pour une stratégie de groupe de sécurité VPC, mentionnez le groupe de sécurité que vous souhaitez répliquer dans chaque ressource au sein des comptes. Pour les pare-feux réseau AWS, spécifiez les groupes de règles (dynamiques ou statiques) que vous souhaitez déployer sur les VPC de vos comptes. Pour le pare-feu DNS Amazon Route 53 Resolver, spécifiez l'ensemble de règles (groupe de règles) que vous souhaitez associer aux VPC de vos comptes.
  • Quatrièmement, spécifiez la portée de la stratégie en sélectionnant les comptes, le type de ressources et, éventuellement, les balises de ressources où vous souhaitez déployer la stratégie.
  • Enfin, vous pouvez vérifier et créer la stratégie. Firewall Manager applique automatiquement les règles et protections à toutes les ressources des différents comptes. De plus, une fois la configuration terminée, Firewall Manager affiche un tableau de bord de conformité qui indique les comptes/ressources qui ne sont pas conformes ainsi que les comptes/ressources conformes.

Q : Puis-je créer une stratégie Firewall Manager sans l'appliquer automatiquement ?

Oui. Vous pouvez configurer une stratégie Firewall Manager selon deux modes :

  • application automatique, qui vous permet de surveiller automatiquement tout écart à la stratégie et d'appliquer les règles aux ressources non conformes ;
  • application manuelle, qui crée une nouvelle stratégie et les règles/protections associées sur chaque compte sans mettre en application ces règles sur les ressources du compte. Une fois la stratégie créée en application manuelle, vous avez la possibilité de prendre des mesures manuellement pour n'importe quel compte local, ou vous pouvez modifier à tout moment la stratégie pour l'appliquer automatiquement.

Q : Combien de comptes AWS Firewall Manager peut-il gérer ?

Chaque stratégie Firewall Manager peut être limitée à 2 500 comptes, limite par défaut pour le nombre de comptes dans AWS Organizations.

Q : Combien de ressources AWS Firewall Manager peut-il gérer ?

Pour le moment, il n'y a aucune limite au nombre de ressources gérées par Firewall Manager.

Q : Puis-je créer des stratégies de protection sur plusieurs régions ?

Non, les stratégies de protection d'AWS Firewall Manager sont spécifiques à chaque région. Chaque stratégie Firewall Manager ne peut inclure que des ressources uniquement disponibles dans une région AWS donnée. Vous pouvez créer une nouvelle stratégie pour chaque région dans laquelle vous travaillez.

Q : Puis-je exclure des comptes ou des ressources de la portée de la stratégie ?

Oui. Vous pouvez exclure des comptes. Vous avez également la possibilité d'utiliser des balises pour spécifier les ressources à exclure de la portée de la stratégie.

Tableau de bord et visibilité

Q : Puis-je voir le statut de conformité par rapport à une stratégie précise ?

Avec Firewall Manager, il est possible de voir rapidement le statut de conformité pour chaque en regardant le nombre de comptes inclus dans la portée de la stratégie et combien parmi ces derniers sont conformes. En outre, pour chaque stratégie configurée sur Firewall Manager, vous disposez d'un tableau de bord de conformité. Le tableau de bord de conformité central vous permet de voir quels comptes ne sont pas conformes à une stratégie donnée, quelles ressources précises ne sont pas conformes et il donne également le motif de non-conformité d'une ressource donnée. Vous pouvez également afficher les événements non conformes pour chaque compte sur AWS Security Hub.

Q : Est-ce qu'AWS Firewall Manager émet des notifications lorsqu'une ressource n'est pas conforme ?

Oui. Vous pouvez créer de nouveaux canaux de notification SNS pour recevoir des notifications en temps réel lorsque de nouvelles ressources non conformes sont découvertes. De même, chaque compte faisant partie d'une stratégie Firewall Manager reçoit des notifications lorsque des événements non conformes se produisent sur AWS Security Hub.

Q : Comment voir les menaces qui pèsent sur mon organisation ?

Pour chaque stratégie Firewall Manager créée, vous pouvez regrouper des métriques CloudWatch pour chaque règle du groupe de règles, ce qui permet d'indiquer le nombre de requêtes ayant été autorisées ou bloquées dans toute l'organisation. Vous disposez ainsi d'une plateforme centralisée pour la configuration d'alertes de menaces sur votre organisation.

En savoir plus sur la tarification d'AWS Firewall Manager

Consultez la page de tarification
Prêt à créer ?
Démarrer avec AWS Firewall Manager
D'autres questions ?
Nous contacter