Panoramica
Automazioni per Gestione dei firewall AWS consente di configurare, gestire ed effettuare audit centralizzati delle regole del firewall in tutti gli account e le risorse di AWS Organizations in modo automatizzato. Utilizzando questa soluzione AWS, è possibile mantenere un livello di sicurezza coerente in tutta l'organizzazione.
Questa soluzione fornisce regole preimpostate per configurare i firewall a livello di applicazione per AWS WAF, controllare i gruppi di sicurezza di Amazon Virtual Private Cloud (Amazon VPC) inutilizzati ed eccessivamente permissivi e configurare un firewall DNS per bloccare le query relative a domini dannosi.
Inoltre, questa soluzione consente di creare rapidamente una baseline di regole di sicurezza del firewall e di proteggere dagli attacchi DDoS (Distributed Denial of Service) tramite l'integrazione con AWS Shield Avanzato.
Nota: è possibile utilizzare questa soluzione se nell'organizzazione si utilizza già Gestione dei firewall; tuttavia, è necessario installare la soluzione nel proprio account amministratore di Gestione dei firewall. Se non hai già configurato Gestione dei firewall, consulta la Guida all'implementazione in cui sono riportate tutte le operazioni.
Vantaggi
Configura ed verifica facilmente le regole AWS WAF, DNS e dei gruppi di sicurezza in ambienti AWS multi-account utilizzando Gestione dei firewall AWS.
Sfrutta questa soluzione per installare i prerequisiti necessari per utilizzare Gestione dei firewall, così puoi dedicare più tempo a concentrarti sulle tue specifiche esigenze di sicurezza.
Sfrutta l'abbonamento ad AWS Shield Avanzato per implementare la protezione da attacchi DDoS negli account in AWS Organizations.
Dettagli tecnici
Questa architettura può essere implementata automaticamente consultando la Guida all'implementazione e il modello AWS CloudFormation allegato.
L'architettura può essere suddivisa in due flussi di lavoro separati: gestione delle policy e generatore dei report di conformità.
Fase 1
Parameter Store, una funzionalità di AWS Systems Manager, contiene tre parametri: /FMS/UO, /FMS/Regions e /FMS/tags. Aggiorna questi parametri utilizzando Systems Manager.
Fase 2
Una regola Amazon EventBridge utilizza un pattern di eventi per cogliere l'evento di aggiornamento del parametro di Systems Manager.
Fase 3
Una regola EventBridge richiama una funzione AWS Lambda.
Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative (UO) specificate dall'utente. Inoltre, se si dispone di un abbonamento ad AWS Shield, questa soluzione implementa le policy avanzate per proteggere dagli attacchi di tipo DDoS (Distributed Denial of Service).
Fase 5
La funzione Lambda PolicyManager recupera il file manifesto della policy dal bucket Amazon Simple Storage Service (Amazon S3) e lo utilizza per creare policy di sicurezza di Gestione dei firewall.
Fase 6
Lambda salva i metadati delle policy nella tabella di Amazon DynamoDB.
Fase 7
Una regola EventBridge a tempo richiama la funzione Lambda Generatore di conformità.
Fase 8
Il Generatore di conformità di Lambda recupera le policy di Gestione dei Firewall in ciascuna Regione e pubblica un elenco degli ID delle policy nell'argomento Amazon Simple Notification Service (Amazon SNS).
Fase 9
L'argomento Amazon SNS richiama la funzione Lambda Generatore di conformità con il payload {PolicyId: string, Region: string}.
Fase 10
La funzione Lambda Generatore di conformità genera un report di conformità per ognuna delle policy e carica il report in formato CSV su un bucket S3.
Fase 1
Parameter Store, una funzionalità di AWS Systems Manager, contiene tre parametri: /FMS/UO, /FMS/Regions e /FMS/tags. Aggiorna questi parametri utilizzando Systems Manager.
Fase 2
Una regola Amazon EventBridge utilizza un pattern di eventi per cogliere l'evento di aggiornamento del parametro di Systems Manager.
Fase 3
Una regola EventBridge richiama una funzione AWS Lambda.
Fase 4
La funzione Lambda installa un set di policy di sicurezza Gestione dei firewall AWS predefinite nelle unità organizzative (UO) specificate dall'utente. Inoltre, se si dispone di un abbonamento ad AWS Shield, questa soluzione implementa le policy avanzate per proteggere dagli attacchi di tipo DDoS (Distributed Denial of Service).
Fase 5
La funzione Lambda PolicyManager recupera il file manifesto della policy dal bucket Amazon Simple Storage Service (Amazon S3) e lo utilizza per creare policy di sicurezza di Gestione dei firewall.
Fase 6
Lambda salva i metadati delle policy nella tabella di Amazon DynamoDB.
Fase 7
Una regola EventBridge a tempo richiama la funzione Lambda Generatore di conformità.
Fase 8
Il Generatore di conformità di Lambda recupera le policy di Gestione dei Firewall in ciascuna Regione e pubblica un elenco degli ID delle policy nell'argomento Amazon Simple Notification Service (Amazon SNS).
Fase 9
L'argomento Amazon SNS richiama la funzione Lambda Generatore di conformità con il payload {PolicyId: string, Region: string}.
Fase 10
La funzione Lambda Generatore di conformità genera un report di conformità per ognuna delle policy e carica il report in formato CSV su un bucket S3.
Contenuto correlato
Questo corso fornisce una panoramica delle tecnologie, dei casi d'uso, dei vantaggi e dei servizi nell'ambito della sicurezza di AWS. La sezione sulla protezione dell'infrastruttura copre AWS WAF per il filtraggio del traffico.
Questo corso presenta AWS Organizations, il servizio che offre una gestione basata sulle policy per più account AWS. Saranno discusse le funzionalità principali e la terminologia, verrà spiegato come accedere e utilizzare il servizio e sarà fornita una dimostrazione.
Questo esame mette alla prova le competenze tecniche necessarie per proteggere la piattaforma AWS. Si tratta di un esame indicato per chi ricopre un ruolo di sicurezza.
Questa pagina è stata utile?
- Data di pubblicazione