AWS Firewall Manager の最新情報 – VPC Security Groups のサポート

私は皆さまに、昨年、AWS Firewall Manager をご紹介し、それをAWS WAF ルールと AWS Shield の高度な保護を一元的に設定し、管理するために使用する方法を示しました。AWS Firewall Manager は AWS Organizations を利用して、一貫した方法で、複数の AWS アカウントにわたってポリシーを構築し、適用できるようにします。

セキュリティグループのサポート
現在は、AWS Firewall Manager をさらにより便利にして、VPC Security Groups の利用のための組織全体のポリシーを定義、管理、監査するための機能を与えます。

このポリシーを使用して、指定されたアカウントとリソースにセキュリティグループを適用し、セキュリティグループで使用されるルールを確認して管理し、その後、未使用で冗長なセキュリティグループを見つけてクリーンアップできます。誤って設定されたルールが検出されるときにリアルタイムの通知を受けて、Firewall Manager コンソールの中で是正措置を講じることができます。

この機能を利用するために、AWS Organization をもつ必要があり、AWS Config がそのすべてのアカウントに対して有効化されていなければりません。AWS アカウントをファイアウォール管理者としても指定しなければなりません。このアカウントには、AWS WAF ルール、シールドアドバンスト保護、セキュリティグループルールを所属する組織全体にデプロイする許可があります。

ポリシーの作成と使用
組織のルートアカウントにログインした後で、Firewall Manager コンソールを開いて、[Go to AWS Firewall Manager] をクリックします。

次に、[AWS FMS] セクションの [Security Policies] をクリックして開始します。コンソールは既存のポリシー (該当する場合) を表示し、[Create policy] をクリックして先に進みます。

[Security group] を [Policy type] として選択し、[Common security groups] を [Security group policy type] として選択し、ターゲットリージョンを選び、[Next] をクリックして先に進みます (まもなく、ほかのポリシータイプで試してみます)。

ポリシーに名前 (OrgDefault) を指定し、セキュリティグループ (SSH_Only) を選び、グループのルールが変更されないように保護し、[Next] をクリックします。

ここで、ポリシーの範囲を定義します。ご覧のとおり、アカウント、リソース タイプ、さらにはタグ付きのリソースを選択して、[Next] をクリックします。

また、特別な方法でタグが付けられているリソースを除外することも選択できます。これは、リソースの制限付きグループの特別なアクセス権を提供する組織全体のポリシーを作成するために使用できます。

自分のポリシーを見直し、[Config] を有効にして、関連する料金を支払い、[Create policy] をクリックする必要があります。

このポリシーは直ちに有効になり、3 ~ 5 分いないにコンプライアンスの評価を開始します。[Firewall Manager Policies] ページには、概要が示されます。

詳細については、ポリシーをクリックすることができます。

ポリシーにはまた、自動修復オプションもあります。ポリシーが作成されたときにこれが有効になっている間に、ポリシーが有効になるまで待ち、先に進み、自動修復を有効にするときに、何が起こるのかを確認できるようにすることをお勧めします。

ほかの2つのセキュリティグループポリシータイプを見てみましょう。

セキュリティグループルールの監査と施行 – このポリシータイプは、1 つまたは 2 つの方法で使用できる監査セキュリティグループを中心にしています。

作成できるルールに制限を設定するガードレールを確立するときに、このポリシータイプを使用できます。たとえば、特定の IP アドレスのセット（組織で使用される /24 など）からの受信アクセスを許可するポリシールールを作成し、それを使用してより制限のゆるいリソースを検出できます。.

未使用で冗長なセキュリティグループの監査とクリーンアップ – このポリシータイプは、使用されていない、または冗長であるセキュリティグループを探します。

今すぐ利用可能です
この機能は現在、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、欧州 (アイルランド)、欧州 (フランクフルト)、欧州 (ロンドン)、アジアパシフィック (シドニー)、アジアパシフィック (東京)、アジアパシフィック (シンガポール)、アジアパシフィック (ソウル) の各リージョンで使用可能であり、すぐに使い始めることができます。1 か月あたり 100 USD を請求されます。

— Jeff