Visão geral
O Automations for AWS Firewall Manager permite que você configure, gerencie e audite as regras de firewall de maneira centralizada em todas as suas contas e recursos do AWS Organizations de forma automatizada. Ao usar essa solução da AWS, é possível manter uma postura de segurança consistente em toda a sua organização.
Essa solução fornece regras predefinidas para configurar firewalls em nível de aplicativo para o AWS WAF, auditar grupos de segurança da Amazon Virtual Private Cloud (Amazon VPC) não utilizados e excessivamente permissivos e configurar um firewall de DNS para bloquear consultas de domínios inválidos.
Essa solução ajuda você a criar uma linha de base rápida de regras de segurança de firewall e a proteger contra ataques distribuídos de negação de serviço (DDoS) por meio da integração com o AWS Shield Avançado. Você também pode automatizar a resposta proativa a eventos e a detecção baseada na integridade com esse recurso.
Observação: você pode usar essa solução se já usa o Firewall Manager em sua organização. No entanto, você deve instalar a solução em sua conta de administrador do Firewall Manager. Se você ainda não tiver configurado o Firewall Manager, consulte o guia de implementação para conhecer as etapas.
Benefícios
Configure e audite facilmente regras do AWS WAF, DNS e grupos de segurança em seus ambientes AWS de várias contas usando o AWS Firewall Manager.
Utilize essa solução para instalar os pré-requisitos necessários para usar o Firewall Manager, para que você possa dedicar mais tempo às suas necessidades específicas de segurança.
Aproveite sua assinatura do AWS Shield Avançado para implantar a proteção contra DDoS em contas no AWS Shield Avançado, configurar verificações de integridade e permitir uma resposta proativa a eventos da equipe de resposta do Shield.
Detalhes técnicos
É possível implantar automaticamente essa arquitetura ao usar o guia de implementação e o modelo do AWS CloudFormation que o acompanha.
A solução inclui duas arquiteturas que mostram a pilha primária e uma pilha opcional com os recursos do Shield Avançado. A implantação de todas as pilhas da solução com os parâmetros padrão implanta os seguintes componentes na sua conta da AWS.
-
Pilha primária
-
Pilhas opcionais com automações para o Shield Avançado
-
Pilha primária
-
Clique para aumentar
Etapa 1 (gerenciador de políticas)
O Parameter Store, um recurso do AWS Systems Manager, contém três parâmetros: /FMS/OUs, /FMS/Regions e /FMS/tags. Atualize esses parâmetros usando o Systems Manager.
Etapa 2
Uma regra do Amazon EventBridge usa um padrão de evento para capturar o evento de atualização de parâmetro do System Manager.Etapa 3
Uma regra do EventBridge invoca uma função do AWS Lambda.Etapa 4
A função do Lambda instala um conjunto de políticas de segurança predefinidas do AWS Firewall Manager nas unidades organizacionais especificadas pelo usuário. Além disso, se você tiver uma assinatura do AWS Shield, esta solução implantará as políticas do Avançado para proteger contra ataques de DDoS.
Etapa 5
A função PolicyManager do Lambda busca o arquivo manifesto de política do bucket do Amazon Simple Storage Service (Amazon S3) e o utiliza para criar políticas de segurança do Firewall Manager.Etapa 6: Gerador de relatório de compatibilidade
O Lambda salva metadados das políticas na tabela do Amazon DynamoDB.Etapa 7
Uma regra do EventBridge baseada em tempo invoca a função do Compliance Generator do Lambda.Etapa 8
O Compliance Generator do Lambda busca as políticas do Firewall Manager em cada região e publica a lista de IDs de política no tópico do Amazon Simple Notification Service (Amazon SNS).Etapa 9
O tópico do Amazon SNS invoca a função do Compliance Generator do Lambda com a carga útil {PolicyId: string, Region: string}.Etapa 10
A função Compliance Generator do Lambda gera um relatório de compatibilidade para cada uma das políticas e o carrega em formato CSV em um bucket do S3.Etapa 1 (gerenciador de políticas)
O Parameter Store, um recurso do AWS Systems Manager, contém três parâmetros: /FMS/OUs, /FMS/Regions e /FMS/tags. Atualize esses parâmetros usando o Systems Manager.
Etapa 2
Uma regra do Amazon EventBridge usa um padrão de evento para capturar o evento de atualização de parâmetro do System Manager.Etapa 3
Uma regra do EventBridge invoca uma função do AWS Lambda.Etapa 4
A função do Lambda instala um conjunto de políticas de segurança predefinidas do AWS Firewall Manager nas unidades organizacionais especificadas pelo usuário. Além disso, se você tiver uma assinatura do AWS Shield, esta solução implantará as políticas do Avançado para proteger contra ataques de DDoS.
Etapa 5
A função PolicyManager do Lambda busca o arquivo manifesto de política do bucket do Amazon Simple Storage Service (Amazon S3) e o utiliza para criar políticas de segurança do Firewall Manager.Etapa 6: Gerador de relatório de compatibilidade
O Lambda salva metadados das políticas na tabela do Amazon DynamoDB.Etapa 7
Uma regra do EventBridge baseada em tempo invoca a função do Compliance Generator do Lambda.Etapa 8
O Compliance Generator do Lambda busca as políticas do Firewall Manager em cada região e publica a lista de IDs de política no tópico do Amazon Simple Notification Service (Amazon SNS).Etapa 9
O tópico do Amazon SNS invoca a função do Compliance Generator do Lambda com a carga útil {PolicyId: string, Region: string}.Etapa 10
A função Compliance Generator do Lambda gera um relatório de compatibilidade para cada uma das políticas e o carrega em formato CSV em um bucket do S3. -
Pilhas opcionais com automações para o Shield Avançado
-
Clique para aumentar
Etapa 1 (gerenciador de políticas)
(Opcional) Atualize os parâmetros do Parameter Store criados pelo modelo aws-fms-automations com os valores desejados. Os parâmetros criados incluem /FMS/OUs, /FMS/Regiões e /FMS/Tags.
Etapa 2
Uma regra do EventBridge usa um padrão de evento para capturar o evento de atualização de parâmetro do System Manager e upload do S3 .
Etapa 3
Uma regra do EventBridge invoca uma função do Lambda.
Etapa 4
A função do Lambda instala um conjunto de políticas de segurança predefinidas do Firewall Manager nas unidades organizacionais especificadas pelo usuário. Além disso, se você tiver uma assinatura do Shield, esta solução implantará as políticas do Shield Advanced para proteger contra ataques de DDoS.Etapa 5
A função PolicyManager do Lambda busca o arquivo manifesto de política do bucket do S3 e o utiliza para criar políticas de segurança do Firewall Manager.
Etapa 6: Detecção automatizada baseada na saúde
A regra do AWS Config da organização captura as proteções Shield Avançado existentes em toda a sua organização da AWS. Você pode criar essas proteções do Shield Avançado automaticamente por meio das políticas de segurança do Firewall Manager implantadas por esta solução ou manualmente usando o console do Shield.
Etapa 7
As proteções do Shield Avançado capturadas pela regra do Config da organização são enviadas para a função ConfigRuleEval do Lambda para avaliação. Essa função do Lambda determina se a proteção tem ou não verificações de saúde do Amazon Route 53 associadas a ela.
Etapa 8
Se não houver verificações de integridade do Route 53 associadas à proteção do Shield Avançado, a solução publicará uma mensagem na fila do Amazon SQS solicitando a criação de verificações de integridade para a proteção.Etapa 9
A função ConfigRuleRemediate do Lambda lê mensagens da fila do Amazon SQS.Etapa 10
A função ConfigRuleRemediate do Lambda cria uma verificação de integridade calculada do Route 53 com base no tipo de recurso que a proteção do Shield Avançado protege.Etapa 11
A função ConfigRuleRemediate do Lambda associa a verificação de integridade do Route 53 criada na Etapa 10 à proteção do Shield Avançado que está sendo avaliada.
Etapa 1 (gerenciador de políticas)
(Opcional) Atualize os parâmetros do Parameter Store criados pelo modelo aws-fms-automations com os valores desejados. Os parâmetros criados incluem /FMS/OUs, /FMS/Regiões e /FMS/Tags.
Etapa 2
Uma regra do EventBridge usa um padrão de evento para capturar o evento de atualização de parâmetro do System Manager e upload do S3.
Etapa 3
Uma regra do EventBridge invoca uma função do Lambda.
Etapa 4
A função do Lambda instala um conjunto de políticas de segurança predefinidas do Firewall Manager nas unidades organizacionais especificadas pelo usuário. Além disso, se você tiver uma assinatura do Shield, esta solução implantará as políticas do Shield Advanced para proteger contra ataques de DDoS.Etapa 5
A função PolicyManager do Lambda busca o arquivo manifesto de política do bucket do S3 e o utiliza para criar políticas de segurança do Firewall Manager.
Etapa 6: Detecção automatizada baseada na saúde
A regra do AWS Config da organização captura as proteções Shield Avançado existentes em toda a sua organização da AWS. Você pode criar essas proteções do Shield Avançado automaticamente por meio das políticas de segurança do Firewall Manager implantadas por esta solução ou manualmente usando o console do Shield.
Etapa 7
As proteções do Shield Avançado capturadas pela regra do Config da organização são enviadas para a função ConfigRuleEval do Lambda para avaliação. Essa função do Lambda determina se a proteção tem ou não verificações de saúde do Amazon Route 53 associadas a ela.
Etapa 8
Se não houver verificações de integridade do Route 53 associadas à proteção do Shield Avançado, a solução publicará uma mensagem na fila do Amazon SQS solicitando a criação de verificações de integridade para a proteção.Etapa 9
A função ConfigRuleRemediate do Lambda lê mensagens da fila do Amazon SQS.Etapa 10
A função ConfigRuleRemediate do Lambda cria uma verificação de integridade calculada do Route 53 com base no tipo de recurso que a proteção do Shield Avançado protege.Etapa 11
A função ConfigRuleRemediate do Lambda associa a verificação de integridade do Route 53 criada na Etapa 10 à proteção do Shield Avançado que está sendo avaliada.
Conteúdo relacionado
Este curso fornece uma visão geral das tecnologias de segurança da AWS, além de casos de uso, benefícios e serviços. A seção de proteção de infraestrutura abrange o AWS WAF para filtragem de tráfego.
Este curso apresenta o AWS Organizations, o serviço que oferece gerenciamento com base em políticas para várias contas da AWS. Discutimos os principais recursos e terminologia, analisamos como acessar e usar o serviço e fornecemos uma demonstração.
Este exame testa sua experiência técnica na proteção de produtos e serviços da AWS. Ele é indicado para qualquer profissional que ocupe uma função especializada na área de segurança.
Esta página foi útil?
- Data de publicação