Perguntas frequentes sobre o AWS Firewall Manager

P: O que é o AWS Firewall Manager?

O AWS Firewall Manager é um serviço de gerenciamento de segurança que permite a configuração e o gerenciamento centralizado de regras do firewall em todas as contas e aplicações na Organização da AWS. À medida que novos aplicativos e recursos são criados, o Firewall Manager facilita a promoção de sua conformidade forçando um conjunto comum de regras de segurança. Agora você tem um único serviço para criar regras de firewall, criar políticas de segurança e aplicá-las de maneira consistente e hierárquica em toda a sua infraestrutura.

P: Quais são os principais benefícios do AWS Firewall Manager?

O AWS Firewall Manager está integrado ao AWS Organizations para que você possa habilitar regras do AWS WAF, proteções do AWS Shield Advanced, grupos de segurança da VPC, firewalls de rede da AWS e regras de Firewall de DNS do Amazon Route 53 Resolver em várias contas e recursos da AWS em um único lugar. O Firewall Manager monitora a criação de novos recursos ou contas para garantir que cumpram um conjunto obrigatório de políticas de segurança a partir do primeiro dia. Você pode agrupar regras, criar políticas e aplicá-las de forma centralizada em toda a sua infraestrutura. Por exemplo, você pode delegar a criação de regras específicas de uma determinada aplicação em uma conta, sem perder a capacidade de aplicar políticas globais de segurança em todas as contas. Sua equipe de segurança pode ser notificada de ameaças à organização para responder a um ataque e mitigá-lo rapidamente.

O Firewall Manager também é integrado às regras gerenciadas para o AWS WAF, o que permite implantar facilmente regras pré-configuradas do WAF na frente das aplicações.

Os administradores de segurança podem aproveitar o Firewall Manager para aplicar um conjunto básico de regras de grupo de segurança para instâncias EC2, Application Load Balancers e Elastic Network Interfaces (ENIs) em seus Amazon VPCs. Ao mesmo tempo, você também pode auditar quaisquer grupos de segurança existentes em suas VPCs quanto a regras permissivas e corrigi-las em um único lugar.

Você pode utilizar o Firewall Manager para implantar endpoints e regras associadas ao AWS Network Firewall de maneira centralizada nas VPCs em sua organização, para controlar o tráfego que entra e sai de sua rede. Ao mesmo tempo, você também pode usar o Firewall Manager para associar as VPCs em suas contas às regras de Firewall de DNS do Route 53 Resolver para bloquear consultas de DNS feitas a domínios mal-intencionados conhecidos e permitir consultas a domínios confiáveis.

P: O que é configurado pelo AWS Firewall Manager?

Usando o AWS Firewall Manager, você pode configurar de maneira centralizada regras do AWS WAF, proteções do AWS Shield Advanced, grupos de segurança do Amazon Virtual Private Cloud (VPC), firewalls de rede da AWS e regras de Firewall de DNS do Amazon Route 53 Resolver em contas e recursos da sua organização.

P: O AWS Firewall Manager configura grupos de segurança de VPC ou ACLs de rede?

Sim, o AWS Firewall Manager é compatível com a configuração de grupos de segurança de VPC. Contudo, ele não é compatível com ACLs de rede atualmente.

P: Em quais recursos da AWS o AWS Firewall Manager pode configurar regras?

Usando o AWS Firewall Manager, você pode 

• Implantar com facilidade regras do AWS WAF em distribuições do Application Load Balancer, API Gateways e Amazon CloudFront. 
• Além disso, você pode igualmente criar proteções do AWS Shield Advanced para Application Load Balancers, ELB Classic Load Balancers, endereços Elastic IP e distribuições do CloudFront. 
• Você pode configurar novos grupos de segurança do Amazon Virtual Private Cloud (VPC) e auditar quaisquer grupos de segurança de VPC existentes para seus tipos de recursos do Amazon EC2, do Application Load Balancer (ALBs) e da ENI. 
• Você também pode implantar firewalls de rede da AWS em contas e VPCs em sua organização.
  
• Por fim, com o AWS Firewall Manager, você também pode associar as regras do Firewall de DNS do Amazon Route 53 Resolver em VPCs na sua organização.
  

P: Quanto custa o AWS Firewall Manager?

A definição de preço do AWS Firewall Manager está disponível aqui.

P: Em quais regiões o AWS Firewall Manager está disponível?

Consulte a tabela de regiões da AWS para ver a disponibilidade atual de regiões para o AWS Firewall Manager.

P: Quais são os pré-requisitos do AWS Firewall Manager?

Existem três pré-requisitos obrigatórios e um pré-requisito opcional para usar o AWS Firewall Manager.

• AWS Organizations – suas contas devem fazer parte do AWS Organizations e ter todos os recursos habilitados. Consulte a documentação do AWS Organizations para obter mais detalhes.
• Defina a conta do administrador do AWS Firewall Manager – o Firewall Manager deve estar associado à conta de gerenciamento da organização na AWS ou associado a uma conta membro que tem as permissões adequadas. A conta associada ao Firewall Manager é denominada conta do administrador do Firewall Manager. Consulte a guia de documentação para obter mais informações.
  
• Habilite o AWS Config nas contas – habilite o AWS Config para cada conta membro na organização. Consulte a documentação do AWS Config.
• Habilite o AWS Resource Access Manager (opcional): para habilitar o Firewall Manager para configurar AWS Network Firewalls ou associar as regras de Firewall de DNS do Amazon Route 53 Resolver em contas e VPCs, você deve primeiro habilitar o compartilhamento de recursos usando o AWS Resource Access Manager.

P: Como faço para usar o AWS Firewall Manager?

• Primeiro, cumpra os pré-requisitos mencionados acima.
• Em segundo lugar, crie um tipo de política para o AWS WAF, AWS Shield Advanced, grupo de segurança de VPC, AWS Network Firewall ou Firewall de DNS do Amazon Route 53 Resolver.
• Terceiro, dependendo da política, especifique o conjunto de regras ou proteções. Por exemplo, para uma política para AWS WAF, especifique os grupos de regras (personalizados ou gerenciados) que você deseja implantar nas contas. Da mesma forma, para uma política de grupo de segurança VPC, faça referência ao grupo de segurança que você deseja replicar em cada recurso dentro das contas. Para AWS Network Firewall, especifique os grupos de regras (com e sem estado) que você deseja implantar em VPCs em suas contas. Para o Firewall de DNS do Amazon Route 53 Resolver, especifique o conjunto de regras (grupos de regras) que você deseja associar às suas VPCs em suas contas.
• Quarto, especifique o escopo da política escolhendo as contas, o tipo de recurso e, opcionalmente, as tags de recurso, onde deseja que a política seja implantada.
• Finalmente, você pode revisar e criar a política. O Firewall Manager aplicará automaticamente as regras e proteções a todos os recursos das contas. Depois de concluído, o Firewall Manager também mostra um painel de conformidade indicando todas as contas/os recursos que não são compatíveis e aqueles que são compatíveis.

P: Posso criar uma política do Firewall Manager sem remediação automática?

Sim. Você pode configurar uma política do Firewall Manager de duas formas:

• Remediação automática, que permite monitorar automaticamente desvios em políticas e aplicar regras em recursos que não estão em conformidade
• Remediação manual, que cria uma nova política e as regras/proteções associadas em cada conta, mas não aplica as regras nos recursos da conta. Após a criação da política com remediação manual, você pode optar por tomar medidas manuais para cada conta local ou, a qualquer momento, você pode editar a política para que ela passe a fazer remediação automática.
  

P: Quantas contas o AWS Firewall Manager pode gerenciar?

Cada política do Firewall Manager pode ter como escopo no máximo 2.500 contas, que é o limite padrão para o número de contas no AWS Organizations.

P: Quantos recursos o AWS Firewall Manager pode gerenciar?

No momento, não há limite para o número de recursos gerenciados pelo Firewall Manager.

P: Posso criar políticas de segurança entre regiões?

Não. As políticas de segurança do AWS Firewall Manager são específicas da região. Cada política do Firewall Manager pode incluir apenas os recursos disponíveis nessa região da AWS especificada. Você pode criar uma nova política para cada região em que opera.

P: Posso excluir contas ou recursos do escopo da política?

Sim. Você pode excluir contas. Você também pode usar etiquetas para especificar os recursos que devem ser excluídos do escopo da política.

P: O que é uma política de segurança do Firewall Manager?

A política de segurança do Firewall Manager é um conjunto de configurações que permite que o cliente especifique as contas e recursos que precisam ser associados a um conjunto de regras de firewall, com outras configurações personalizadas para cada tipo de firewall. Atualmente, o Firewall Manager oferece suporte ao AWS WAF, ao AWS Shield Avançado, a grupos de segurança da VPC, ao AWS Network Firewall, ao Amazon Route 53 Resolver DNS Firewall e a firewalls de terceiros do AWS Marketplace.

P: Como posso ver o status de conformidade de uma determinada política?

Com o Firewall Manager, você pode ver rapidamente o status de conformidade de cada política verificando quantas contas estão incluídas no escopo da política e quantas dessas contas estão em conformidade. Além disso, para cada política configurada no Firewall Manager, você tem um painel de conformidade. O painel central de conformidade permite ver quais contas não estão em conformidade com uma determinada política e quais recursos específicos não estão em conformidade, além de fornecer informações sobre o motivo da não conformidade de um recurso específico. Você também pode visualizar eventos não compatíveis para cada conta no AWS Security Hub.

P: O AWS Firewall Manager gera notificações sobre a não conformidade de um recurso?

Sim. Você pode criar novos canais de notificação de SNS para receber notificações em tempo real quando recursos que não estão em conformidade são descobertos. Da mesma forma, cada conta com escopo definido como parte de uma política do Firewall Manager é notificada para eventos não compatíveis no AWS Security Hub.

P: Como posso ver todas as ameaças em toda a organização?

Para cada política do Firewall Manager criada, você pode agregar métricas do CloudWatch para cada regra em um grupo de regras, indicando quantas solicitações foram permitidas ou bloqueadas em toda a organização. Dessa forma, você tem um local central para configurar alertas de ameaças em toda a organização.