Présentation
Automations for AWS Firewall Manager vous permet de centraliser et d’automatiser la configuration, la gestion et le contrôle des règles de pare-feu de l'ensemble de vos comptes et ressources dans AWS Organizations. En utilisant cette solution AWS, vous pouvez maintenir une posture de sécurité cohérente dans l'ensemble de votre organisation.
Cette solution fournit des règles prédéfinies pour configurer des pare‑feux au niveau de l’application pour AWS WAF, auditer les groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) inutilisés et trop permissifs, et configurer un pare‑feu DNS pour bloquer les requêtes relatives à des domaines défectueux.
En option, cette solution vous permet de créer rapidement une base de référence des règles de sécurité du pare‑feu et de vous protéger contre les attaques en déni de service distribué (DDoS) grâce à l’intégration à AWS Shield Advanced. Grâce à cette fonctionnalité, vous pouvez également automatiser la réponse proactive aux événements ainsi que la détection basée sur l’état.
Remarque : vous pouvez utiliser cette solution si vous avez déjà utilisé Firewall Manager dans votre organisation. Cependant, vous devez installer la solution dans votre compte administrateur Firewall Manager. Si vous n'avez pas encore configuré Firewall Manager, reportez-vous au guide d'implémentation pour ces étapes.
Avantages
Configurez et auditez facilement les règles AWS WAF, DNS et de groupe de sécurité dans vos environnements AWS multicompte à l'aide d'AWS Firewall Manager.
Elle vous permet d'activer automatiquement les éléments nécessaires à l'utilisation de Firewall Manager.Vous pouvez ainsi vous concentrer sur vos besoins de sécurité spécifiques.
Tirez parti de votre abonnement AWS Shield Advanced pour déployer une protection contre les attaques DDoS sur plusieurs comptes d’AWS Organizations, configurer des surveillances d’état et permettre à l’équipe de support SRT (Shield Response Team) de réagir de manière proactive aux événements.
Informations techniques
Vous pouvez déployer automatiquement cette architecture à l’aide du guide d’implémentation et du modèle AWS CloudFormation associé.
La solution comprend deux architectures qui présentent la pile principale et une pile optionnelle avec des fonctionnalités Shield Advanced. Le déploiement de l’ensemble des piles de la solution avec les paramètres par défaut entraîne le déploiement des composants suivants sur votre compte AWS.
-
Pile principale
-
Piles optionnelles avec automatisations pour Shield Advanced
-
Pile principale
-
Étape 1 : Gestionnaire de politiques
Parameter Store, une fonctionnalité d’AWS Systems Manager, contient trois paramètres : /FMS/OUs, /FMS/Regions et /FMS/Tags. Vous pouvez les mettre à jour par le biais de Systems Manager.
Étape 2
Une règle Amazon EventBridge utilise un modèle d’événement pour capturer l’événement de mise à jour des paramètres de Systems Manager.Étape 3
Une règle EventBridge invoque une fonction AWS Lambda.Étape 4
La fonction Lambda installe un ensemble de politiques de sécurité prédéfinies AWS Firewall Manager dans les unités d’organisation définies par l’utilisateur. De plus, à condition d’avoir un abonnement AWS Shield, cette solution déploie des politiques Advanced de protection contre les attaques DDoS.
Étape 5
La fonction Lambda PolicyManager récupère le fichier manifeste de politique à partir du compartiment Amazon Simple Storage Service (Amazon S3) et l’utilise pour créer des politiques de sécurité Firewall Manager.Étape 6 : Générateur de rapports de conformité
Lambda enregistre les métadonnées des politiques dans la table Amazon DynamoDB.Étape 7
Une règle EventBridge temporelle invoque la fonction Lambda du générateur de conformité .Étape 8
La fonction Lambda ComplianceGenerator récupère les politiques Firewall Manager dans chaque région et publie la liste des ID de politique dans la rubrique Amazon Simple Notification Service (Amazon SNS).Étape 9
La rubrique Amazon SNS invoque la fonction Lambda du générateur de conformité avec la charge utile {PolicyId: string, Region: string}.Étape 10
La fonction Lambda ComplianceGenerator génère un rapport de conformité pour chacune des politiques et charge le rapport au format CSV dans un compartiment S3. -
Piles optionnelles avec automatisations pour Shield Advanced
-
Étape 1 : Gestionnaire de politiques
(Facultatif) Mettez à jour les paramètres Parameter Store créés par le modèle aws-fms-automations selon vos besoins. Les paramètres créés incluent /FMS/OUs, /FMS/Regions et /FMS/Tags.
Étape 2
Une règle EventBridge utilise un modèle d’événement pour capturer les événements de mise à jour des paramètres Systems Manager et de chargement S3.
Étape 3
Une règle EventBridge invoque une fonction Lambda.
Étape 4
La fonction Lambda installe un ensemble de politiques de sécurité prédéfinies Firewall Manager dans les unités d’organisation définies par l’utilisateur. De plus, à condition d’avoir un abonnement Shield, cette solution déploie des politiques Advanced de protection contre les attaques DDoS.Étape 5
La fonction Lambda PolicyManager récupère le fichier manifeste de politique à partir du compartiment S3 et utilise le fichier manifeste pour créer des politiques de sécurité Firewall Manager.
Étape 6 : Détection automatique basée sur l’état
La règle AWS Config de l’organisation capture les protections Shield Advanced existantes au sein de votre organisation AWS. Vous pouvez créer ces protections Shield Advanced automatiquement via les politiques de sécurité Firewall Manager déployées par cette solution, ou manuellement à l’aide de la console Shield.
Étape 7
Les protections Shield Advanced capturées par la règle Config de l’organisation sont envoyées à la fonction Lambda ConfigRuleEval pour évaluation. Cette fonction Lambda détermine si des surveillances de l’état Amazon Route 53 y sont associées.
Étape 8
Si aucune surveillance de l’état Route 53 n’est associée à la protection Shield Advanced, la solution publie un message dans la file d’attente Amazon SQS demandant la création de surveillances de l’état pour la protection.Étape 9
La fonction Lambda ConfigRuleRemediate lit les messages de la file d’attente Amazon SQS.Étape 10
La fonction Lambda ConfigRuleRemediate crée une surveillance de l’état Route 53 calculée en fonction du type de ressource protégée par la protection Shield Advanced.Étape 11
La fonction Lambda ConfigRuleRemediate associe la surveillance de l’état Route 53 précédemment créée à la protection Shield Advanced en cours d’évaluation.
Rubriques connexes
Ce cours fournit une vue d'ensemble des technologies de sécurité, des cas d'utilisation, des avantages et des services AWS. La section portant sur la protection des infrastructures aborde l'utilisation d'AWS WAF pour le filtrage du trafic.
Ce cours présente AWS Organizations, le service dédié à la gestion par politiques de plusieurs comptes AWS. Nous y abordons ses fonctions principales, sa terminologie, ses modalités d'accès et d'utilisation, tout en proposant une démonstration.
Cet examen met à l'épreuve votre expertise technique dans le domaine de la sécurisation de la plateforme AWS. Il est destiné à toute personne occupant un poste dans la sécurité et ayant de l'expérience.
Cette page vous a-t-elle été utile ?
- Date de publication