Geral

O que é o AWS Firewall Manager?

O AWS Firewall Manager é um serviço de gerenciamento de segurança que permite a configuração e o gerenciamento centralizado de regras do firewall em todas as contas e aplicações na organização AWS. À medida que novos aplicativos e recursos são criados, o Firewall Manager facilita a promoção de sua conformidade forçando um conjunto comum de regras de segurança. Agora, você dispõe de um único serviço para criar e aplicar regras de firewall e políticas de segurança de forma consistente e hierárquica em toda a sua infraestrutura.

Quais são os principais benefícios do AWS Firewall Manager?

O AWS Firewall Manager é integrado ao AWS Organizations, dessa forma, você pode ativar as regras do AWS WAF, proteções avançadas do AWS Shield, grupos de segurança de VPC e firewalls de rede da AWS em várias contas e recursos da AWS de um único lugar. O Firewall Manager monitora a criação de novos recursos ou contas para garantir que cumpram um conjunto obrigatório de políticas de segurança a partir do primeiro dia. Você pode agrupar regras, criar políticas e aplicá-las de forma centralizada em toda a sua infraestrutura. Por exemplo, você pode delegar a criação de regras específicas de uma determinada aplicação em uma conta, sem perder a capacidade de aplicar políticas globais de segurança em todas as contas. Sua equipe de segurança pode ser notificada de ameaças à organização para responder a um ataque e mitigá-lo rapidamente.

O Firewall Manager também é integrado às regras gerenciadas para o AWS WAF, o que permite implantar facilmente regras pré-configuradas do WAF na frente das aplicações.

Os administradores de segurança podem aproveitar o Firewall Manager para aplicar um conjunto básico de regras de grupo de segurança para instâncias EC2, Application Load Balancers e Elastic Network Interfaces (ENIs) em seus Amazon VPCs. Ao mesmo tempo, você também pode auditar quaisquer grupos de segurança existentes em suas VPCs quanto a regras permissivas e corrigi-las em um único lugar.

Você também pode aproveitar o Firewall Manager para implantar regras de forma centralizada para AWS Network Firewalls em suas VPCs em sua organização, para controlar o tráfego que sai e entra em sua rede.

O que é configurado pelo AWS Firewall Manager?

Usando o AWS Firewall Manager, você pode configurar centralmente regras AWS WAF, proteções AWS Shield Advanced, grupos de segurança Amazon Virtual Private Cloud (VPC) e AWS Network Firewalls em contas e recursos em sua organização.

O AWS Firewall Manager configura grupos de segurança de VPC ou ACLs de rede?

Sim, o AWS Firewall Manager é compatível com a configuração de grupos de segurança de VPC. Contudo, não é compatível com ACLs de rede atualmente.

Em quais recursos da AWS o AWS Firewall Manager pode configurar regras?

Com o AWS Firewall Manager, você pode distribuir de forma centralizada regras AWS WAF em distribuições do Application Load Balancer, API Gateways e Amazon CloudFront. Além disso, você pode igualmente criar proteções avançadas do AWS Shield para Application Load Balancers, ELB Classic Load Balancers, endereços Elastic IP e distribuições do CloudFront. Você também pode configurar novos grupos de segurança do Amazon Virtual Private Cloud (VPC) e auditar quaisquer grupos de segurança de VPC existentes para seus tipos de recursos do Amazon EC2, do Application Load Balancer (ALBs) e do ENI. Por fim, com o AWS Firewall Manager, você também pode implantar centralmente o AWS Network Firewalls em contas e em VPCs em sua organização.

Quanto custa o AWS Firewall Manager?

A definição de preço do AWS Firewall Manager está disponível aqui.

Em quais regiões o AWS Firewall Manager está disponível?

Consulte a tabela de regiões da AWS para ver a disponibilidade atual de regiões para o AWS Firewall Manager.

Habilitação do AWS Firewall Manager

Quais são os pré-requisitos do AWS Firewall Manager?

Existem três pré-requisitos obrigatórios e um pré-requisito opcional para usar o AWS Firewall Manager.

  • AWS Organizations – suas contas devem fazer parte do AWS Organizations e ter todos os recursos habilitados. Consulte a documentação do AWS Organizations para obter mais detalhes.
  • Defina a conta do administrador do AWS Firewall Manager – o Firewall Manager deve estar associado à conta mestre da organização na AWS ou associado a uma conta membro que tem as permissões adequadas. A conta associada ao Firewall Manager é denominada conta do administrador do Firewall Manager. Consulte o guia de documentação para obter mais informações.
  • Habilite o AWS Config nas contas – habilite o AWS Config para cada conta membro na organização. Consulte a documentação do AWS Config.
  • Ativar o AWS Resource Access Manager (opcional) - para ativar o Firewall Manager para configurar centralmente o AWS Network Firewall em todas as contas, você deve primeiro ativar o compartilhamento de recursos usando o AWS Resource Access Manager.

Como faço para usar o AWS Firewall Manager?

  • Primeiro, cumpra os pré-requisitos mencionados acima.
  • Em segundo lugar, crie um tipo de política para AWS WAF, AWS Shield Advanced, grupo de segurança de VPC ou AWS Network Firewall.
  • Terceiro, dependendo da política, especifique o conjunto de regras ou proteções. Por exemplo, para uma política para AWS WAF, especifique os grupos de regras (personalizados ou gerenciados) que você deseja implantar nas contas. Da mesma forma, para uma política de grupo de segurança VPC, faça referência ao grupo de segurança que você deseja replicar em cada recurso dentro das contas. Para AWS Network Firewall, especifique os grupos de regras (com e sem estado) que você deseja implantar em VPCs em suas contas.
  • Quarto, especifique o escopo da política escolhendo as contas, o tipo de recurso e, opcionalmente, as tags de recurso, onde deseja que a política seja implantada.
  • Finalmente, você pode revisar e criar a política. O Firewall Manager aplicará automaticamente as regras e proteções a todos os recursos das contas. Depois de concluído, o Firewall Manager também mostra um painel de conformidade indicando todas as contas/recursos que não estão em conformidade e aqueles que são compatíveis.

Posso criar uma política do Firewall Manager sem remediação automática?

Sim. Você pode configurar uma política do Firewall Manager de duas formas:

  • Remediação automática, que permite monitorar automaticamente desvios em políticas e aplicar regras em recursos que não estão em conformidade
  • Remediação manual, que cria uma nova política e as regras/proteções associadas em cada conta, mas não aplica as regras nos recursos da conta. Após a criação da política com remediação manual, você pode optar por tomar medidas manuais para cada conta local ou, a qualquer momento, você pode editar a política para que ela passe a fazer remediação automática.

Quantas contas o AWS Firewall Manager consegue gerenciar?

Cada política do Firewall Manager pode ter como escopo no máximo 2.500 contas, que é o limite padrão para o número de contas no AWS Organizations.

Quantos recursos o AWS Firewall Manager consegue gerenciar?

No momento, não há limite para o número de recursos gerenciados pelo Firewall Manager.

Posso criar políticas de proteção em todas as regiões?

Não. As políticas de proteção do AWS Firewall Manager são específicas da região. Cada política do Firewall Manager pode incluir apenas os recursos disponíveis nessa região da AWS especificada. Você pode criar uma nova política para cada região em que opera.

Posso excluir contas ou recursos do escopo da política?

Sim. Você pode excluir contas. Você também pode usar tags para especificar os recursos que devem ser excluídos do escopo da política.

Painel e visibilidade

Como posso ver o status de conformidade de uma determinada política?

Com o Firewall Manager, você pode ver rapidamente o status de conformidade de cada política verificando quantas contas estão incluídas no escopo da política e quantas dessas contas estão em conformidade. Além disso, para cada política configurada no Firewall Manager, você tem um painel de conformidade. O painel central de conformidade permite ver quais contas não estão em conformidade com uma determinada política e quais recursos específicos não estão em conformidade, além de fornecer informações sobre o motivo da não conformidade de um recurso específico. Você também pode visualizar eventos não compatíveis para cada conta no AWS Security Hub.

O AWS Firewall Manager gera notificações sobre a não conformidade de um recurso?

Sim. Você pode criar novos canais de notificação de SNS para receber notificações em tempo real quando recursos que não estão em conformidade são descobertos. Da mesma forma, cada conta com escopo definido como parte de uma política do Firewall Manager é notificada para eventos não compatíveis no AWS Security Hub.

Como posso ver todas as ameaças em toda a organização?

Para cada política do Firewall Manager criada, você pode agregar métricas do CloudWatch para cada regra em um grupo de regras, indicando quantas solicitações foram permitidas ou bloqueadas em toda a organização. Dessa forma, você tem um local central para configurar alertas de ameaças em toda a organização.

Saiba mais sobre a definição de preço do AWS Firewall Manager

Acesse a página de definição de preço