Présentation
La solution Automations for AWS Firewall Manager vous permet de centraliser la configuration, la gestion et le contrôle des règles de pare-feu de l'ensemble de vos comptes et ressources dans AWS Organizations. Elle est une implémentation de référence pour automatiser le processus de configuration des politiques de sécurité AWS Firewall Manager.
Automations for AWS Firewall Manager fournit des règles préconfigurées qui peuvent être déployées dans AWS Organizations pour effectuer les opérations suivantes :
- Configurer les pares-feux au niveau de l'application pour AWS WAF.
- Auditer les groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) non utilisés et trop permissifs.
- Configurer le pare-feu du système de nom de domaine (DNS) pour bloquer les requêtes de mauvais domaines.
Elle facilite la création d'une base pratique des règles de sécurité du pare-feu pour les ressources des couches 3 à 7 et le maintien d'une posture de sécurité cohérente au sein de l'organisation. Pour les clients ayant souscrit au service, elle autorise en outre le déploiement de politiques AWS Shield Advanced afin de protéger leurs comptes AWS contre les attaques par déni de service distribué (DDoS).
Remarque : vous pouvez utiliser cette solution si vous avez déjà utilisé Firewall Manager dans votre organisation. Cependant, vous devez installer la solution dans votre compte d'administrateur Firewall Manager. Si vous n'avez pas encore configuré Firewall Manager, reportez-vous au guide d'implémentation pour ces étapes.
Avantages
Configurez et auditez facilement les règles WAF, DNS et Security Group dans vos environnements AWS multicompte à l'aide d'AWS Firewall Manager.
Elle vous permet d'activer automatiquement les éléments nécessaires à l'utilisation de Firewall Manager.Vous pouvez ainsi vous concentrer sur vos besoins de sécurité spécifiques.
Profitez de votre abonnement AWS Shield Advanced pour protéger vos comptes AWS Organizations contre les attaques DDoS.
Détails techniques
Le modèle AWS CloudFormation déploie une architecture qui peut être groupée en deux flux de travail séparés : gestionnaire de Politiques et générateur de rapports de conformité.
Étape 1 (Gestionnaire de politiques)
Un AWS Systems Manager Parameter Store contenant trois paramètres : /FMS/OUs, /FMS/Regions, et /FMS/Tags. Vous pouvez les mettre à jour par le biais de Systems Manager.
Étape 2 (Gestionnaire de politiques)
Une règle Amazon EventBridge utilise un modèle d'événement pour capturer l'événement de mise à jour des paramètres de System Manager.
Étape 3 (Gestionnaire de politiques)
Une règle Amazon EventBridge appelle une fonction AWS Lambda.
Étape 4 (Gestionnaire de politiques)
La fonction Lambda installe un ensemble de politiques de sécurité prédéfinie AWS Firewall Manager dans les unités d'organisation définies par l'utilisateur. En outre, si vous êtes abonné à AWS Shield Advanced, cette solution déploie des politiques avancées pour se protéger contre les attaques par déni de service distribué (DDoS).
Étape 5 (Gestionnaire de politiques)
La fonction Lambda du gestionnaire de politiques récupère le fichier manifeste de la politique à partir du compartiment Amazon Simple Storage Service (Amazon S3) et utilise le fichier manifeste pour créer des politiques de sécurité AWS Firewall Manager.
Étape 6 (Gestionnaire de politiques)
AWS Lambda enregistre les métadonnées des politiques dans la table Amazon DynamoDB. Pour obtenir la liste complète des politiques et des ensembles de règles installés et des informations sur les résultats par défaut des politiques recommandées et leur emplacement.
Étape 1 (Générateur de rapports de conformité)
Une règle Amazon EventBridge temporelle appelle la fonction Lambda du générateur de conformité.
Étape 2 (Générateur de rapports de conformité)
La fonction Lambda du générateur de conformité récupère les politiques de Firewall Manager dans chaque région et publie la liste des ID de politique dans la rubrique Amazon SNS.
Étape 3 (Générateur de rapports de conformité)
La rubrique SNS appelle la fonction Lambda du générateur de conformité avec l'application. {PolicyId: string, Region: string}.
Étape 4 (Générateur de rapport de conformité)
Le générateur de conformité génère un rapport de conformité pour chacune des politiques et charge le rapport au format CSV dans un compartiment Amazon S3.
Étape 1 (Gestionnaire de politiques)
Un AWS Systems Manager Parameter Store contenant trois paramètres : /FMS/OUs, /FMS/Regions, et /FMS/Tags. Vous pouvez les mettre à jour par le biais de Systems Manager.
Étape 2 (Gestionnaire de politiques)
Une règle Amazon EventBridge utilise un modèle d'événement pour capturer l'événement de mise à jour des paramètres de System Manager.
Étape 3 (Gestionnaire de politiques)
Une règle Amazon EventBridge appelle une fonction AWS Lambda.
Étape 4 (Gestionnaire de politiques)
La fonction Lambda installe un ensemble de politiques de sécurité prédéfinie AWS Firewall Manager dans les unités d'organisation définies par l'utilisateur. En outre, si vous êtes abonné à AWS Shield Advanced, cette solution déploie des politiques avancées pour se protéger contre les attaques par déni de service distribué (DDoS).
Étape 5 (Gestionnaire de politiques)
La fonction Lambda du gestionnaire de politiques récupère le fichier manifeste de la politique à partir du compartiment Amazon Simple Storage Service (Amazon S3) et utilise le fichier manifeste pour créer des politiques de sécurité AWS Firewall Manager.
Étape 6 (Gestionnaire de politiques)
AWS Lambda enregistre les métadonnées des politiques dans la table Amazon DynamoDB. Pour obtenir la liste complète des politiques et des ensembles de règles installés et des informations sur les résultats par défaut des politiques recommandées et leur emplacement.
Étape 1 (Générateur de rapports de conformité)
Une règle Amazon EventBridge temporelle appelle la fonction Lambda du générateur de conformité.
Étape 2 (Générateur de rapports de conformité)
La fonction Lambda du générateur de conformité récupère les politiques de Firewall Manager dans chaque région et publie la liste des ID de politique dans la rubrique Amazon SNS.
Étape 3 (Générateur de rapports de conformité)
La rubrique SNS appelle la fonction Lambda du générateur de conformité avec l'application. {PolicyId: string, Region: string}.
Étape 4 (Générateur de rapport de conformité)
Le générateur de conformité génère un rapport de conformité pour chacune des politiques et charge le rapport au format CSV dans un compartiment Amazon S3.
Rubriques connexes
Ce cours fournit une vue d'ensemble des technologies de sécurité, des cas d'utilisation, des avantages et des services AWS. La section portant sur la protection des infrastructures aborde l'utilisation d'AWS WAF pour le filtrage du trafic.
Ce cours présente AWS Organizations, le service dédié à la gestion par politiques de plusieurs comptes AWS. Nous y abordons ses fonctions principales, sa terminologie, ses modalités d'accès et d'utilisation, tout en proposant une démonstration.
Cet examen met à l'épreuve votre expertise technique dans le domaine de la sécurisation de la plateforme AWS. Il est destiné à toute personne occupant un poste dans la sécurité et ayant de l'expérience.