Cosa consente di fare questa soluzione AWS?

La soluzione Automazioni per AWS Firewall Manager (successiva ad AWS Centralized WAF e VPC Security Group Management) permette di configurare, gestire e verificare in maniera centralizzata le regole del firewall di tutti gli account e le risorse su AWS Organizations. Si tratta di una soluzione di implementazione di referenza per automatizzare il processo di impostazione delle policy di sicurezza di AWS Firewall Manager.

Questa soluzione fornisce regole preconfigurate che possono essere distribuite su AWS Organizations per (1) configurare i firewall a livello di applicazione per Web Application Firewall (WAF), (2) verificare i gruppi di sicurezza virtual private cloud (VPC) non utilizzati ed eccessivamente permissivi e (3) configurare i Firewall DNS per bloccare le query per i domini negativi. Permette di abilitare automaticamente i prerequisiti richiesti per l'utilizzo di Firewall Manager, in modo da poter dedicare più tempo a questioni di sicurezza specifiche.

Questa soluzione aiuta i clienti aziendali AWS a creare una linea di base rapida delle regole di sicurezza del firewall sulle risorse di livello da 3 a 7 e a mantenere un assetto di sicurezza concreto all'interno dell'organizzazione. Inoltre, è una soluzione che distribuisce le policy Shield Advanced per i clienti che si iscrivono ad AWS Shield Advanced per proteggerli dagli attacchi di tipo DDoS (Distributed Denial of Service) nei loro account AWS.

Nota: questa soluzione deve essere installata nell'account amministratore di Firewall Manager. Se non hai già configurato Firewall Manager, consulta la guida all'implementazione in cui sono riportate tutte le operazioni.

Vantaggi

Configura le policy WAF, DNS e dei gruppi di sicurezza

Configura ed verifica facilmente le regole WAF, DNS e dei gruppi di sicurezza in ambienti AWS multi-account utilizzando AWS Firewall Manager.

Automatizza l'installazione di AWS Firewall Manager

Sfrutta questa soluzione per installare i prerequisiti necessari per utilizzare AWS Firewall Manager.

Implementa la protezione da attacchi DDoS negli account

vuoto
Sfrutta l'abbonamento ad AWS Shield Advanced per implementare la protezione da attacchi DDoS negli account in AWS Organizations.

Panoramica della soluzione AWS

Il diagramma seguente presenta l'architettura che è possibile implementare in modo automatico grazie alla guida all'implementazione della soluzione e al relativo modello AWS CloudFormation.

Architettura della soluzione Automazioni per AWS Firewall Manager

L'architettura può essere suddivisa in due flussi di lavoro separati: gestione delle policy e generatore dei report di conformità.

Gestione delle policy

Durante l'implementazione del modello AWS CloudFormation, viene creato un AWS Systems Manager Parameter Store con tre parametri, ognuno con valori predefiniti. I parametri creati includono /FMS/OUs, /FMS/Regions e /FMS/Tags.

1. È possibile aggiornare questi parametri utilizzando Systems Manager:      

  • Per i parametri FMS/OUs, aggiungi gli ID delle unità organizzative per applicare le policy e le regole impostate per diverse unità organizzative.      
  • Per i parametri FMS/Regions, indica i nomi delle Regioni AWS.
  • Per i parametri FMS/Tags, crea tag di inclusione ed esclusione e aggiungi tag per specificare le risorse all'interno degli account al fine di indicare a quali policy e regole impostate devono essere applicate o meno le risorse. 

2. Una regola Amazon EventBridge utilizza un pattern di eventi per cogliere l'evento di aggiornamento del parametro di System Manager.

3. Una regola Amazon EventBridge richiama una funzione AWS Lambda.

4. La funzione Lambda installa un set di policy di sicurezza AWS Firewall Manager predefinite nelle unità organizzative specificate dall'utente. Le policy includono una lista di controllo accessi (ACL) AWS Web WAF che consiste in set di regole gestite di AWS e policy di audit del gruppo di sicurezza VPC. Inoltre, se hai un abbonamento ad AWS Shield Advanced, questa soluzione implementa le policy avanzate per proteggerti dagli attacchi di tipo DDoS (Distributed Denial of Service).

5. La funzione Lambda per la gestione delle policy recupera il file manifesto della policy dal bucket Amazon S3 e lo utilizza per creare policy di sicurezza AWS Firewall Manager.

6. AWS Lambda salva i metadati delle policy nella tabella di Amazon DynamoDB. Per un elenco completo dei set di policy e regole installate e per maggiori informazioni sui risultati delle policy di default consigliate e su dove si trovano.

Generatore di report di conformità

Quando si implementa la pila di CloudFormation, questa crea una regola Amazon CloudWatch Events basata sul tempo, una funzione Lambda, un argomento SNS e un bucket Amazon S3.

1. Una regola Amazon EventBridge a tempo richiama la funzione generatore di conformità Lambda.

2. Il generatore di conformità Lambda recupera le policy Firewall Manager in ciascuna Regione e pubblica un elenco degli ID delle policy nell'argomento SNS.

3. L'argomento SNS invoca la funzione generatore di conformità Lambda con il payload {Policyld: string, Region: string}.

4. Il generatore di conformità genera un report di conformità per ognuna delle policy e carica il report in formato CSV su un bucket S3.

Automazioni per AWS Firewall Manager

Versione 2.0.2
Ultimo aggiornamento: 05/2022
Autore: AWS

Tempo di distribuzione stimato: 3 minuti

Utilizza il pulsante in basso per iscriverti e ricevere aggiornamenti in merito alla soluzione.

Nota: per iscriversi e ricevere gli aggiornamenti RSS, è necessario disporre di un plug-in RSS abilitato per il browser in uso.  

Questa implementazione di soluzioni ti è stata utile?
Dacci un feedback 
Icona Costruisci
Distribuisci una soluzione tu stesso

Sfoglia il nostro portfolio di implementazioni di soluzioni AWS per ottenere risposte a problemi architetturali comuni.

Ulteriori informazioni 
Trova un partner APN
Trova un partner APN

Trova partner tecnologici e di consulenza con certificazione AWS che ti aiutino a iniziare.

Ulteriori informazioni 
Icona Esplora
Esplora le offerte di consulenza in merito alle soluzioni

Sfoglia il nostro portfolio di offerte di consulenza per ottenere assistenza testata da AWS con la distribuzione della soluzione.

Ulteriori informazioni