Panoramica
Automazioni per Gestione dei firewall AWS consente di configurare, gestire ed effettuare audit centralizzati delle regole del firewall in tutti gli account e le risorse di AWS Organizations in modo automatizzato. Utilizzando questa soluzione AWS, è possibile mantenere un livello di sicurezza coerente in tutta l'organizzazione.
Questa soluzione fornisce regole preimpostate per configurare i firewall a livello di applicazione per AWS WAF, controllare i gruppi di sicurezza di Amazon Virtual Private Cloud (Amazon VPC) inutilizzati ed eccessivamente permissivi e configurare un firewall DNS per bloccare le query relative a domini dannosi.
Questa soluzione consente facoltativamente di creare rapidamente una baseline di regole di sicurezza del firewall e di proteggere dagli attacchi DDoS (Distributed Denial of Service) tramite l'integrazione con AWS Shield Avanzato. Con questa funzionalità è anche possibile automatizzare la risposta agli eventi proattiva e il rilevamento in base allo stato di integrità.
Nota: è possibile utilizzare questa soluzione se nell'organizzazione si utilizza già Gestione dei firewall; tuttavia, è necessario installare la soluzione nel proprio account amministratore di Gestione dei firewall. Se non hai già configurato Gestione dei firewall, consulta la Guida all'implementazione in cui sono riportate tutte le operazioni.
Vantaggi
Configura ed verifica facilmente le regole AWS WAF, DNS e dei gruppi di sicurezza in ambienti AWS multi-account utilizzando Gestione dei firewall AWS.
Sfrutta questa soluzione per installare i prerequisiti necessari per utilizzare Gestione dei firewall, così puoi dedicare più tempo a concentrarti sulle tue specifiche esigenze di sicurezza.
Sfrutta l'abbonamento ad AWS Shield Avanzato per implementare la protezione da attacchi DDoS negli account in AWS Organizations, configurare controlli dell'integrità e abilitare la risposta agli eventi proattiva da Shield Response Team.
Dettagli tecnici
Questa architettura può essere implementata automaticamente consultando la guida all'implementazione e il modello AWS CloudFormation allegato.
La soluzione include due architetture che mostrano lo stack principale e uno stack facoltativo con funzionalità di Shield Avanzato. L'implementazione degli stack della soluzione con i parametri predefiniti consente di implementare i seguenti componenti nel tuo account AWS.
-
Stack principale
-
Stack facoltativi con le automazioni per Shield Avanzato
-
Stack principale
-
Fai clic per ingrandire
Fase 1: gestione delle policy
Parameter Store, una funzionalità di AWS Systems Manager, contiene tre parametri: /FMS/UO, /FMS/Regions e /FMS/tags. Aggiorna questi parametri utilizzando Systems Manager.
Fase 2
Una regola Amazon EventBridge utilizza un pattern di eventi per cogliere l'evento di aggiornamento del parametro di Systems Manager.Fase 3
Una regola EventBridge invoca una funzione AWS Lambda.Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento ad AWS Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.
Fase 5
La funzione Lambda PolicyManager recupera il file manifesto della policy dal bucket Amazon Simple Storage Service (Amazon S3) e lo utilizza per creare policy di sicurezza di Gestione dei firewall.Fase 6: generatore di report di conformità
Lambda salva i metadati delle policy nella tabella di Amazon DynamoDB.Fase 7
Una regola EventBridge a tempo richiama la funzione Lambda Generatore di conformità.Fase 8
Il Generatore di conformità di Lambda recupera le policy di Gestione dei firewall in ciascuna regione e pubblica un elenco degli ID delle policy nell'argomento Amazon Simple Notification Service (Amazon SNS).Fase 9
L'argomento Amazon SNS richiama la funzione Lambda Generatore di conformità con il payload {PolicyId: string, Region: string}.Fase 10
La funzione Lambda Generatore di conformità genera un report di conformità per ognuna delle policy e carica il report in formato CSV su un bucket S3.Fase 1: gestione delle policy
Parameter Store, una funzionalità di AWS Systems Manager, contiene tre parametri: /FMS/UO, /FMS/Regions e /FMS/tags. Aggiorna questi parametri utilizzando Systems Manager.
Fase 2
Una regola Amazon EventBridge utilizza un pattern di eventi per cogliere l'evento di aggiornamento del parametro di Systems Manager.Fase 3
Una regola EventBridge invoca una funzione AWS Lambda.Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento ad AWS Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.
Fase 5
La funzione Lambda PolicyManager recupera il file manifesto della policy dal bucket Amazon Simple Storage Service (Amazon S3) e lo utilizza per creare policy di sicurezza di Gestione dei firewall.Fase 6: generatore di report di conformità
Lambda salva i metadati delle policy nella tabella di Amazon DynamoDB.Fase 7
Una regola EventBridge a tempo richiama la funzione Lambda Generatore di conformità.Fase 8
Il Generatore di conformità di Lambda recupera le policy di Gestione dei firewall in ciascuna regione e pubblica un elenco degli ID delle policy nell'argomento Amazon Simple Notification Service (Amazon SNS).Fase 9
L'argomento Amazon SNS richiama la funzione Lambda Generatore di conformità con il payload {PolicyId: string, Region: string}.Fase 10
La funzione Lambda ComplianceGenerator genera un report di conformità per ognuna delle policy e carica il report in formato CSV su un bucket S3. -
Stack facoltativi con le automazioni per Shield Avanzato
-
Fai clic per ingrandire
Fase 1: gestione delle policy
Aggiorna i parametri di Parameter Store creati dal modello aws-fms-automations con i valori desiderati. I parametri creati includono /FMS/OUs, /FMS/Regions e /FMS/Tags.
Fase 2
Una regola EventBridge utilizza un pattern di eventi per cogliere gli eventi di aggiornamento del parametro di Systems Manager e di caricamento di S3.
Fase 3
Una regola EventBridge invoca una funzione Lambda.
Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento a Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.Fase 5
La funzione Lambda PolicyManager recupera il file manifesto della policy dal bucket S3 e lo utilizza per creare policy di sicurezza di Gestione dei firewall.
Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.
Fase 7
Le protezioni Shield Avanzato acquisite dalla regola Config dell'organizzazione sono inviate alla funzione Lambda ConfigRuleEval per la valutazione. Questa funzione Lambda determina se la protezione ha controlli dell'integrità Amazon Route 53 associati o meno.
Fase 8
Se non sono presenti controlli dell'integrità Route 53 associati alla protezione Shield Avanzato, la soluzione pubblica un messaggio nella coda Amazon SQS per richiedere la creazione di controlli di integrità per la protezione.Fase 9
La funzione Lambda ConfigRuleRemediate legge i messaggi della coda Amazon SQS.Fase 10
La funzione Lambda ConfigRuleRemediate crea un controllo dell'integrità Route 53 calcolato in base al tipo di risorsa che la protezione Shield Avanzato tutela.Fase 11
La funzione Lambda ConfigRuleRemediate associa il controllo dell'integrità Route 53 creato alla Fase 10 alla protezione Shield Avanzato in fase di valutazione.
Fase 1: gestione delle policy
Aggiorna i parametri di Parameter Store creati dal modello aws-fms-automations con i valori desiderati. I parametri creati includono /FMS/OUs, /FMS/Regions e /FMS/Tags.
Fase 2
Una regola EventBridge utilizza un pattern di eventi per cogliere gli eventi di aggiornamento del parametro di Systems Manager e di caricamento di S3.
Fase 3
Una regola EventBridge invoca una funzione Lambda.
Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento a Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.Fase 5
La funzione Lambda PolicyManager recupera il file manifesto della policy dal bucket S3 e lo utilizza per creare policy di sicurezza di Gestione dei firewall.
Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.
Fase 7
Le protezioni Shield Avanzato acquisite dalla regola Config dell'organizzazione sono inviate alla funzione Lambda ConfigRuleEval per la valutazione. Questa funzione Lambda determina se la protezione ha controlli dell'integrità Amazon Route 53 associati o meno.
Fase 8
Se non sono presenti controlli dell'integrità Route 53 associati alla protezione Shield Avanzato, la soluzione pubblica un messaggio nella coda Amazon SQS per richiedere la creazione di controlli di integrità per la protezione.Fase 9
La funzione Lambda ConfigRuleRemediate legge i messaggi della coda Amazon SQS.Fase 10
La funzione Lambda ConfigRuleRemediate crea un controllo dell'integrità Route 53 calcolato in base al tipo di risorsa che la protezione Shield Avanzato tutela.Fase 11
La funzione Lambda ConfigRuleRemediate associa il controllo dell'integrità Route 53 creato alla Fase 10 alla protezione Shield Avanzato in fase di valutazione.
Contenuto correlato
Questo corso fornisce una panoramica delle tecnologie, dei casi d'uso, dei vantaggi e dei servizi nell'ambito della sicurezza di AWS. La sezione sulla protezione dell'infrastruttura copre AWS WAF per il filtraggio del traffico.
Questo corso presenta AWS Organizations, il servizio che offre una gestione basata sulle policy per più account AWS. Saranno discusse le funzionalità principali e la terminologia, verrà spiegato come accedere e utilizzare il servizio e sarà fornita una dimostrazione.
Questo esame mette alla prova le competenze tecniche necessarie per proteggere la piattaforma AWS. Si tratta di un esame indicato per chi ricopre un ruolo di sicurezza.
Questa pagina è stata utile?
- Data di pubblicazione