Présentation
Automations for AWS Firewall Manager vous permet de centraliser et d’automatiser la configuration, la gestion et le contrôle des règles de pare-feu de l'ensemble de vos comptes et ressources dans AWS Organizations. En utilisant cette solution AWS, vous pouvez maintenir une posture de sécurité cohérente dans l'ensemble de votre organisation.
Cette solution fournit des règles prédéfinies pour configurer des pare-feux au niveau de l'application pour AWS WAF, auditer les groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) inutilisés et trop permissifs, et configurer un pare-feu DNS pour bloquer les requêtes relatives à des domaines défectueux.
Cette solution vous permet également de créer rapidement une base de référence des règles de sécurité du pare-feu et de vous protéger contre les attaques par déni de service distribué (DDoS) grâce à l'intégration à AWS Shield Advanced.
Remarque : vous pouvez utiliser cette solution si vous avez déjà utilisé Firewall Manager dans votre organisation; Cependant, vous devez installer la solution dans votre compte d'administrateur Firewall Manager. Si vous n'avez pas encore configuré Firewall Manager, reportez-vous au guide d'implémentation pour ces étapes.
Avantages
Configurez et auditez facilement les règles AWS WAF, DNS et de groupe de sécurité dans vos environnements AWS multicompte à l'aide d'AWS Firewall Manager.
Elle vous permet d'activer automatiquement les éléments nécessaires à l'utilisation de Firewall Manager.Vous pouvez ainsi vous concentrer sur vos besoins de sécurité spécifiques.
Profitez de votre abonnement AWS Shield Advanced pour protéger vos comptes AWS Organizations contre les attaques DDoS.
Détails techniques
Vous pouvez déployer automatiquement cette architecture à l'aide du guide d'implémentation et du modèle AWS CloudFormation qui l'accompagne.
L'architecture peut être divisée en deux flux de travail : le gestionnaire de politiques et le générateur de rapport de conformité.
Étape 1
Parameter Store , une fonctionnalité d'AWS Systems Manager, contient trois paramètres : /FMS/OUs, /FMS/Regions et /FMS/tags. Vous pouvez les mettre à jour par le biais de Systems Manager.
Étape 2
Une règle Amazon EventBridge utilise un modèle d'événement pour capturer l'événement de mise à jour des paramètres de Systems Manager.
Étape 3
Une règle EventBridge invoque une fonction AWS Lambda.
Étape 4
La fonction Lambda installe un ensemble de politiques de sécurité prédéfinie AWS Firewall Manager dans les unités d'organisation définies par l'utilisateur. En outre, si vous êtes abonné à AWS Shield, cette solution déploie des politiques avancées pour se protéger contre les attaques par déni de service distribué (DDoS).
Étape 5
La fonctionLambda PolicyManager récupère le fichier manifeste de la politique à partir du compartiment Amazon Simple Storage Service (Amazon S3) et utilise le fichier manifeste pour créer des politiques de sécurité Firewall Manager.
Étape 6
Lambda enregistre les métadonnées des politiques dans la table Amazon DynamoDB.
Étape 7
Une règle EventBridge temporelle invoque la fonction Lambda du générateur de conformité .
Étape 8
La fonction Lambda du générateur de conformité récupère les politiques de Firewall Manager dans chaque région et publie la liste des ID de politique dans la rubrique Amazon Simple Notification Service (Amazon SNS).
Étape 9
La rubrique Amazon SNS invoque la fonction Lambda du générateur de conformité avec la charge utile {PolicyId: string, Region: string}.
Étape 10
La fonction Lambdadu générateur de conformité génère un rapport de conformité pour chacune des politiques et télécharge le rapport au format CSV dans un compartiment S3.
Étape 1
Parameter Store , une fonctionnalité d'AWS Systems Manager, contient trois paramètres : /FMS/OUs, /FMS/Regions et /FMS/tags. Vous pouvez les mettre à jour par le biais de Systems Manager.
Étape 2
Une règle Amazon EventBridge utilise un modèle d'événement pour capturer l'événement de mise à jour des paramètres de Systems Manager.
Étape 3
Une règle EventBridge invoque une fonction AWS Lambda.
Étape 4
La fonction Lambda installe un ensemble de politiques de sécurité prédéfinie AWS Firewall Manager dans les unités d'organisation définies par l'utilisateur. En outre, si vous êtes abonné à AWS Shield, cette solution déploie des politiques avancées pour se protéger contre les attaques par déni de service distribué (DDoS).
Étape 5
La fonctionLambda PolicyManager récupère le fichier manifeste de la politique à partir du compartiment Amazon Simple Storage Service (Amazon S3) et utilise le fichier manifeste pour créer des politiques de sécurité Firewall Manager.
Étape 6
Lambda enregistre les métadonnées des politiques dans la table Amazon DynamoDB.
Étape 7
Une règle EventBridge temporelle invoque la fonction Lambda du générateur de conformité .
Étape 8
La fonction Lambda du générateur de conformité récupère les politiques de Firewall Manager dans chaque région et publie la liste des ID de politique dans la rubrique Amazon Simple Notification Service (Amazon SNS).
Étape 9
La rubrique Amazon SNS invoque la fonction Lambda du générateur de conformité avec la charge utile {PolicyId: string, Region: string}.
Étape 10
La fonction Lambdadu générateur de conformité génère un rapport de conformité pour chacune des politiques et télécharge le rapport au format CSV dans un compartiment S3.
Rubriques connexes
Ce cours fournit une vue d'ensemble des technologies de sécurité, des cas d'utilisation, des avantages et des services AWS. La section portant sur la protection des infrastructures aborde l'utilisation d'AWS WAF pour le filtrage du trafic.
Ce cours présente AWS Organizations, le service dédié à la gestion par politiques de plusieurs comptes AWS. Nous y abordons ses fonctions principales, sa terminologie, ses modalités d'accès et d'utilisation, tout en proposant une démonstration.
Cet examen met à l'épreuve votre expertise technique dans le domaine de la sécurisation de la plateforme AWS. Il est destiné à toute personne occupant un poste dans la sécurité et ayant de l'expérience.
Cette page vous a-t-elle été utile ?
- Date de publication