Domande frequenti su AWS Firewall Manager

D: Cos'è AWS Firewall Manager?

AWS Firewall Manager è un servizio per la gestione della sicurezza che consente di configurare e gestire a livello centrale le regole del firewall per tutti gli account e le applicazioni in AWS Organizations. Quando vengono create nuove applicazioni, Firewall Manager semplifica inoltre la conformità immediata delle nuove applicazioni e risorse implementando regole condivise di sicurezza. Ora hai a disposizione un unico servizio per creare regole del firewall, creare policy di sicurezza e applicarle in modo coerente e gerarchico all'intera infrastruttura.

D: Quali sono i vantaggi principali dell'utilizzo di AWS Firewall Manager?

AWS Firewall Manager è integrato con AWS Organizations in modo da poter abilitare le regole di AWS WAF, le protezioni di AWS Shield Advanced, i gruppi di sicurezza VPC, i firewall di rete AWS e Amazon Route 53 Resolver per Firewall DNS in più account e risorse AWS da un'unica posizione. AWS Firewall Manager monitora la presenza di nuove risorse o nuovi account creati per garantire da subito la conformità a un insieme obbligatorio di policy di sicurezza. È possibile raggruppare le regole, creare policy e applicarle a livello centrale all'intera infrastruttura. Ad esempio, è possibile delegare la creazione di regole specifiche di un'applicazione all'interno di un determinato account mantenendo al contempo la possibilità di applicare policy di sicurezza globali a tutti gli account. Il team di sicurezza può ricevere notifiche relative a potenziali minacce all'organizzazione in modo da poter rispondere e limitare rapidamente i danni un attacco.

AWS Firewall Manager si integra anche con le regole gestite per AWS WAF, che consente di distribuire facilmente regole WAF preconfigurate alle applicazioni.

Gli amministratori della sicurezza possono sfruttare AWS Firewall Manager per applicare un set di base di regole dei gruppi di sicurezza per istanze EC2, Application Load Balancer e interfacce di rete elastica (ENI) ai tuoi VPC Amazon. Allo stesso tempo, puoi anche controllare i gruppi di sicurezza esistenti nei VPC per verificare la presenza di regole troppo permissive e risolverle da un unico punto.

Inoltre, puoi utilizzare AWS Firewall Manager per distribuire gli endpoint per i firewall di rete AWS e le regole associate nei VPC dell'azienda a livello centrale, in modo da controllare il traffico in entrata e in uscita sulla tua rete. Allo stesso tempo, con Firewall Manager è possibile associare i VPC in tutti gli account alle regole del Route 53 Resolver per Firewall DNS per bloccare le query DNS fatte per domini dannosi noti e per consentire le query per domini affidabili.

D: Quali elementi permette di configurare AWS Firewall Manager?

Tramite AWS Firewall Manager è possibile configurare a livello centralizzato le regole di AWS WAF, le protezioni di AWS Shield Advanced, i gruppi di sicurezza di Amazon Virtual Private Cloud (VPC), i firewall di rete AWS e le regole di Amazon Route 53 Resolver per Firewall DNS in più account e risorse dell'azienda.

D: AWS Firewall Manager permette di configurare gruppi di sicurezza VPC o liste di controllo degli accessi di rete?

Sì, AWS Firewall Manager supporta la configurazione dei gruppi di sicurezza VPC. Tuttavia, ad oggi non supporta le liste di controllo degli accessi di rete.

D: Quali sono le risorse AWS per cui AWS Firewall Manager consente di configurare regole?

Grazie ad AWS Firewall Manager è possibile 

• Eseguire il lancio delle regole AWS WAF in Application Load Balancer, API Gateway e delle distribuzioni Amazon CloudFront. 
• Creare protezioni AWS Shield Advanced per Application Load Balancer, ELB Classic Load Balancer, indirizzi IP elastici e distribuzioni CloudFront. 
• Configurare nuovi gruppi di sicurezza di Amazon Virtual Private Cloud (VPC) e controllare i gruppi di sicurezza VPC esistenti per verificare la presenza di tipi di risorse Amazon EC2, Application Load Balancer (ALB) e ENI. 
• Distribuire i firewall di AWS Network Firewall tra diversi account e VPC nella tua azienda.
  
• Infine, con AWS Firewall Manager è possibile associare i VPC della tua azienda alle regole di Amazon Route 53 Resolver per Firewall DNS.
  

D: Quanto costa AWS Firewall Manager?

I prezzi di AWS Firewall Manager sono disponibili su questa pagina.

D: In quali regioni è disponibile AWS Firewall Manager?

Per informazioni sulla disponibilità di AWS Firewall Manager, consulta la tabella delle regioni AWS.

D: Quali sono i requisiti preliminari per poter utilizzare AWS Firewall Manager?

Per utilizzare AWS Firewall Manager, esistono tre requisiti preliminari obbligatori e uno facoltativo.

• AWS Organizations: gli account devono far parte di AWS Organizations e tutte le relative funzionalità devono essere abilitate. Consulta la documentazione di AWS Organizations per ulteriori dettagli.
• Imposta l'account amministratore di AWS Firewall Manager: Firewall Manager deve essere associato all'account di gestione dell'organizzazione AWS o a un account membro che disponga delle autorizzazioni appropriate. L'account associato a Firewall Manager è chiamato account amministratore di Firewall Manager. Per ulteriori informazioni, consulta la documentazione.
  
• Abilita AWS Config sugli account: abilita AWS Config per ciascun account membro dell'organizzazione. Consulta la documentazione di AWS Config.
• Abilita AWS Resource Access Manager (facoltativo): per abilitare AWS Firewall Manager per la configurazione centralizzata di AWS Network Firewall o per associare le regole di Amazon Route 53 Resolver per Firewall DNS in tutti gli account e VPC, è innanzitutto necessario abilitare la condivisione delle risorse utilizzando AWS Resource Access Manager.

D: Come si utilizza AWS Firewall Manager?

• Prima di tutto, devi soddisfare i requisiti preliminari elencati in alto.
• In secondo luogo, bisogna creare un tipo di policy per AWS WAF, AWS Shield Advanced, il gruppo di sicurezza VPC, il firewall di rete AWS o Amazon Route 53 Resolver per Firewall DNS.
• In terzo luogo, a seconda della policy, devi specificare l'insieme di regole o di protezioni. Ad esempio, per una policy per AWS WAF, specifica i gruppi di regole (predefiniti o gestiti) da distribuire in tutti gli account. Analogamente, per una policy del gruppo di sicurezza VPC, fai riferimento al gruppo di sicurezza da replicare in ogni risorsa all'interno degli account. Per AWS Network Firewall, specifica i gruppi di regole (stateful e stateless) da distribuire in tutti i VPC degli account. Per Amazon Route 53 Resolver per Firewall DNS, specifica i gruppi di regole da associare ai VPC nei tuoi account.
• In quarto luogo, specifica l'ambito di applicazione della policy selezionando gli account, il tipo di risorsa e, in via facoltativa, i tag di risorsa in cui distribuire la policy.
• Infine, sarà possibile rivedere e creare la policy. AWS Firewall Manager applicherà automaticamente le regole e le protezioni a tutte le risorse in tutti gli account. Una volta completata questa operazione, AWS Firewall Manager mostra un pannello di controllo di conformità che indica gli account e le risorse non conformi e quelli conformi.

D: È possibile creare una policy di Firewall Manager senza la correzione automatica?

Sì; la configurazione di una policy di Firewall Manager può avvenire in due modi:

• Correzione automatica, che consente di monitorare automaticamente le deviazioni dalla policy e applicare regole alle risorse non conformi
• Correzione manuale, che crea una nuova policy e le regole o le protezioni associate in ciascun account, ma non applica le regole alle risorse dell'account. Dopo che la policy è stata creata con correzione manuale, è possibile scegliere di intraprendere un'azione manuale per ciascun account locale o modificare la policy in qualsiasi momento per applicare la correzione automatica.
  

D: Quanti account può gestire AWS Firewall Manager?

L'ambito di applicazione di ciascuna policy di AWS Firewall Manager può arrivare a un massimo di 2.500 account, che rappresenta il limite predefinito per il numero di account in AWS Organizations.

D: Quante risorse può gestire AWS Firewall Manager?

Al momento non è prevista alcuna limitazione al numero di risorse che possono essere gestite da Firewall Manager.

D: È possibile creare policy di sicurezza tra più regioni?

No, le policy di sicurezza di gestione dei firewall AWS sono specifiche per regione. Ogni policy Firewall Manager può includere esclusivamente risorse disponibili nella regione AWS specificata. Tuttavia, è possibile creare una policy per ciascuna regione in cui si opera.

D: È possibile escludere account o risorse dall'ambito di applicazione di una policy?

Sì. È possibile escludere account. È anche possibile utilizzare i tag per specificare quali risorse escludere dall'ambito di applicazione di una policy.

D: Cos’è una policy di sicurezza Firewall Manager?

Una policy di sicurezza Firewall Manager comprende una serie di configurazioni che permette ai clienti di specificare gli account e le risorse da associare a un insieme di regole firewall, con configurazioni aggiuntive personalizzate per ogni tipologia di firewall. Attualmente Firewall Manager supporta AWS WAF, AWS Shield Avanzato, i gruppi di sicurezza nel VPC, Firewall di rete AWS, DNS Firewall per risolutore Amazon Route 53 e firewall di terze parti di Marketplace AWS.

D: In che modo è possibile visualizzare lo stato di conformità di una determinata policy?

Con Firewall Manager è possibile visualizzare rapidamente lo stato di conformità di ciascuna policy visualizzando quanti account sono inclusi nell'ambito di applicazione di una policy e quanti di tali account sono conformi. Inoltre, per ciascuna policy configurata in Firewall Manager, è disponibile un pannello di controllo relativo alla conformità. Il pannello di controllo centrale di conformità permette di visualizzare gli account non conformi a una determinata policy e le specifiche risorse non conformi; inoltre, fornisce informazioni sul motivo della mancata conformità di una determinata risorsa. È anche possibile visualizzare gli eventi non conformi per ogni account in AWS Security Hub.

D: AWS Firewall Manager invia notifiche quando una risorsa non è conforme?

Sì, è possibile creare nuovi canali di notifica SNS per ricevere notifiche in tempo reale quando vengono rilevate risorse non conformi. Analogamente, tutti gli account inclusi nell'ambito di applicazione di una policy di AWS Firewall Manager ricevono una notifica in caso di eventi non conformi in AWS Security Hub.

D: In che modo è possibile visualizzare tutte le minacce a livello di organizzazione?

Per ogni policy di Firewall Manager che viene creata, è possibile aggregare parametri di CloudWatch su singole regole in gruppi di regole, per indicare quante richieste sono state accettate o bloccate a livello di organizzazione. È pertanto disponibile uno strumento centralizzato da cui impostare avvisi per minacce all'interno dell'organizzazione.