Automazioni per Gestione dei firewall AWS

Configura, gestisci e controlla centralmente le regole del firewall su tutti gli account e le risorse

Panoramica

Automazioni per Gestione dei firewall AWS consente di configurare, gestire ed effettuare audit centralizzati delle regole del firewall in tutti gli account e le risorse di AWS Organizations in modo automatizzato. Utilizzando questa soluzione AWS, è possibile mantenere un livello di sicurezza coerente in tutta l'organizzazione.

Questa soluzione fornisce regole preimpostate per configurare i firewall a livello di applicazione per AWS WAF, controllare i gruppi di sicurezza di Amazon Virtual Private Cloud (Amazon VPC) inutilizzati ed eccessivamente permissivi e configurare un firewall DNS per bloccare le query relative a domini dannosi.

Questa soluzione consente facoltativamente di creare rapidamente una baseline di regole di sicurezza del firewall e di proteggere dagli attacchi DDoS (Distributed Denial of Service) tramite l'integrazione con AWS Shield Avanzato. Con questa funzionalità è anche possibile automatizzare la risposta agli eventi proattiva e il rilevamento in base allo stato di integrità.

Nota: è possibile utilizzare questa soluzione se nell'organizzazione si utilizza già Gestione dei firewall; tuttavia, è necessario installare la soluzione nel proprio account amministratore di Gestione dei firewall. Se non hai già configurato Gestione dei firewall, consulta la Guida all'implementazione in cui sono riportate tutte le operazioni.

Vantaggi

Configura le policy AWS WAF, DNS e dei gruppi di sicurezza

Configura ed verifica facilmente le regole AWS WAF, DNS e dei gruppi di sicurezza in ambienti AWS multi-account utilizzando Gestione dei firewall AWS.

Automatizzazione dell'installazione di Gestione dei firewall

Sfrutta questa soluzione per installare i prerequisiti necessari per utilizzare Gestione dei firewall, così puoi dedicare più tempo a concentrarti sulle tue specifiche esigenze di sicurezza.

Implementa la protezione da attacchi DDoS negli account

Sfrutta l'abbonamento ad AWS Shield Avanzato per implementare la protezione da attacchi DDoS negli account in AWS Organizations, configurare controlli dell'integrità e abilitare la risposta agli eventi proattiva da Shield Response Team.

Dettagli tecnici

Questa architettura può essere implementata automaticamente consultando la guida all'implementazione e il modello AWS CloudFormation allegato.

La soluzione include due architetture che mostrano lo stack principale e uno stack facoltativo con funzionalità di Shield Avanzato. L'implementazione degli stack della soluzione con i parametri predefiniti consente di implementare i seguenti componenti nel tuo account AWS.

Stack principale
Stack facoltativi con le automazioni per Shield Avanzato

Stack principale
Fase 8
Il Generatore di conformità di Lambda recupera le policy di Gestione dei firewall in ciascuna regione e pubblica un elenco degli ID delle policy nell'argomento Amazon Simple Notification Service (Amazon SNS).

Fase 1: gestione delle policy
Parameter Store, una funzionalità di AWS Systems Manager, contiene tre parametri: /FMS/UO, /FMS/Regions e /FMS/tags. Aggiorna questi parametri utilizzando Systems Manager.

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento ad AWS Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.

Fase 8
Il Generatore di conformità di Lambda recupera le policy di Gestione dei firewall in ciascuna regione e pubblica un elenco degli ID delle policy nell'argomento Amazon Simple Notification Service (Amazon SNS).

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento ad AWS Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.

Fai clic per ingrandire

Fase 1: gestione delle policy
Parameter Store, una funzionalità di AWS Systems Manager, contiene tre parametri: /FMS/UO, /FMS/Regions e /FMS/tags. Aggiorna questi parametri utilizzando Systems Manager.

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento ad AWS Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento ad AWS Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.
Stack facoltativi con le automazioni per Shield Avanzato
Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.

Fase 7
Le protezioni Shield Avanzato acquisite dalla regola Config dell'organizzazione sono inviate alla funzione Lambda ConfigRuleEval per la valutazione. Questa funzione Lambda determina se la protezione ha controlli dell'integrità Amazon Route 53 associati o meno.

Fase 1: gestione delle policy
Aggiorna i parametri di Parameter Store creati dal modello aws-fms-automations con i valori desiderati. I parametri creati includono /FMS/OUs, /FMS/Regions e /FMS/Tags.

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento a Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.

Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.

Fase 7
Le protezioni Shield Avanzato acquisite dalla regola Config dell'organizzazione sono inviate alla funzione Lambda ConfigRuleEval per la valutazione. Questa funzione Lambda determina se la protezione ha controlli dell'integrità Amazon Route 53 associati o meno.

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento a Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.

Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.

Fai clic per ingrandire

Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.

Fase 7
Le protezioni Shield Avanzato acquisite dalla regola Config dell'organizzazione sono inviate alla funzione Lambda ConfigRuleEval per la valutazione. Questa funzione Lambda determina se la protezione ha controlli dell'integrità Amazon Route 53 associati o meno.

Fase 1: gestione delle policy
Aggiorna i parametri di Parameter Store creati dal modello aws-fms-automations con i valori desiderati. I parametri creati includono /FMS/OUs, /FMS/Regions e /FMS/Tags.

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento a Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.

Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.

Fase 7
Le protezioni Shield Avanzato acquisite dalla regola Config dell'organizzazione sono inviate alla funzione Lambda ConfigRuleEval per la valutazione. Questa funzione Lambda determina se la protezione ha controlli dell'integrità Amazon Route 53 associati o meno.

Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall predefinite nelle unità organizzative specificate dall'utente. Inoltre, se hai un abbonamento a Shield, questa soluzione distribuisce le policy avanzate per proteggerti dagli attacchi di tipo DDoS.

Fase 6: rilevamento in base allo stato di integrità
La regola di AWS Config dell'organizzazione acquisisce le protezioni Shield Avanzato esistenti nell'organizzazione AWS. È possibile creare queste protezioni Shield Avanzato automaticamente tramite le policy di sicurezza di Gestione dei firewall implementate da questa soluzione, oppure manualmente utilizzando la console di Shield.

Contenuto correlato

Formazione

Getting Started with AWS Security, Identity, and Compliance (Nozioni di base su sicurezza, identità e conformità AWS)

Questo corso fornisce una panoramica delle tecnologie, dei casi d'uso, dei vantaggi e dei servizi nell'ambito della sicurezza di AWS. La sezione sulla protezione dell'infrastruttura copre AWS WAF per il filtraggio del traffico.

Iscriviti ora

Formazione

Introduzione ad AWS Organizations

Questo corso presenta AWS Organizations, il servizio che offre una gestione basata sulle policy per più account AWS. Saranno discusse le funzionalità principali e la terminologia, verrà spiegato come accedere e utilizzare il servizio e sarà fornita una dimostrazione.

Iscriviti ora

Formazione

AWS Certified Security - Specialty

Questo esame mette alla prova le competenze tecniche necessarie per proteggere la piattaforma AWS. Si tratta di un esame indicato per chi ricopre un ruolo di sicurezza.

Prenota il tuo esame

Questa pagina è stata utile?

Feedback

Casi d'uso per questa soluzione AWS

Application Security

Cloud Foundations
Infrastructure, Application & Data Security

Small & Medium Business
Network Security

Cloud Foundations

Ulteriori informazioni…

Informazioni su questa implementazione

- Versione: 2.1.2
- Data di rilascio: 2/2025
- Autore: AWS
- Tempo di implementazione stimato: 5 minuti
- Costo stimato: consulta i dettagli