O que faz esta implantação de soluções da AWS?

A solução AWS Firewall Manager for AES Organizations (sucessora do gerenciamento centralizado de grupos de segurança de VPC e WAF da AWS) permite que você configure, gerencie e audite as regras de firewall de maneira centralizada em todas as suas contas e recursos no AWS Organizations. Essa solução é uma implementação de referência para automatizar o processo de configuração das políticas de segurança do AWS Firewall Manager.

Ela fornece regras pré-configuradas que podem ser implantadas em AWS Organizations para (1) configurar firewalls em nível de aplicação para o Web Application Firewall (WAF); (2) auditar grupos de segurança da Virtual Private Cloud (VPC) não utilizados e muito permissivos.; (3) e configurar o firewall DNS para bloquear consultar de domínios ruins. Também permite que você ative automaticamente os pré-requisitos necessários para usar o Firewall Manager para que possa passar mais tempo se concentrando em suas necessidades de segurança específicas.

Essa solução ajuda os clientes corporativos da AWS a criar uma linha de base rápida de regras de segurança de firewall em recursos das camadas 3-7 e manter um procedimento de segurança consistente em sua organização. Além disso, esta solução implanta políticas do Shield Advanced para clientes que assinam o AWS Shield Advanced, para proteção contra ataques DDoS (Distributed Denial of Service) às suas contas da AWS.

Observação: esta solução deve ser instalada em sua conta de administrador do Firewall Manager. Se você ainda não configurou o Firewall Manager, consulte o Guia de implementação para obter as etapas.

Benefícios

Configurar WAF, DNS e políticas de grupo de segurança

Configure e audite facilmente regras de grupo de segurança, DNS e WAF em seus ambientes da AWS de várias contas usando o AWS Firewall Manager.

Automatizar a instalação do AWS Firewall Manager

Aproveite essa solução para instalar os pré-requisitos necessários para usar o AWS Firewall Manager.

Implantar a proteção contra DDoS nas contas

em branco
Aproveite a assinatura do AWS Shield Advanced para implantar a proteção contra DDoS em contas no AWS Organizations.

Visão geral da Implementação de soluções da AWS

O diagrama abaixo apresenta a arquitetura que pode ser implantada automaticamente usando o guia de implementação da solução e o respectivo modelo do AWS CloudFormation.

AWS Firewall Manager Automations for AWS Organizations | Diagrama de arquitetura
 Clique para aumentar

Arquitetura de implementação do AWS Firewall Manager Automations for AWS Organizations Solutions

A arquitetura pode ser agrupada em dois fluxos de trabalho separados: gerenciador de políticas e gerador de relatórios de compatibilidade.

Gerenciador de políticas

Quando o modelo do AWS CloudFormation é implantado, é criado um AWS Systems Manager Parameter Store contendo três parâmetros, cada um com valores padrão. Os parâmetros criados incluem /FMS/OUs, /FMS/Regiões e /FMS/Tags.

1. É possível atualizar esses parâmetros usando o Systems Manager.      

  • Para o parâmetro /FMS/OUs, adicione IDs de unidade organizacional para aplicar políticas e conjuntos de regras a várias OUs.      
  • Para o parâmetro /FMS/Regiões, especifique os nomes da região da AWS.
  • Para o parâmetro /FMS/Etiquetas, crie etiquetas de inclusão e exclusão e adicione etiquetas a recursos específicos nas contas para indicar os recursos para os quais as políticas e os conjuntos de regras devem ser aplicados ou não. respectivamente. 

2. Uma regra do Amazon EventBridge usa um padrão de evento para capturar o evento de atualização de parâmetro do System Manager.

3. Uma regra do Amazon EventBridge chama uma função do AWS Lambda.

4. A função do Lambda instala um conjunto de políticas de segurança predefinidas doAWS Firewall Manager nas unidades organizacionais especificadas pelo usuário. As políticas incluem uma ACL da Web do AWS WAF que consiste em conjuntos de regras gerenciadas pela AWS e políticas de auditoria de grupo de segurança de VPC. Além disso, se você tiver uma assinatura do AWS Shield Advanced, essa solução implantará as políticas do Advanced para proteger contra ataques de Distributed Denial of Service (DDoS – Ataques distribuídos de negação de serviço).

5. A função PolicyManager do Lambda busca o arquivo manifesto de política do bucket do Amazon S3 e o utiliza para criar políticas de segurança do AWS Firewall Manager.

6. O AWS Lambda salva metadados das políticas na tabela do Amazon DynamoDB. Para obter uma lista completa de políticas e conjuntos de regras que estão instalados e informações sobre os resultados padrão de política recomendados e onde eles estão contidos.

Gerador de relatório de compatibilidade

Quando a pilha do CloudFormation é implantada, ela cria uma regra do Amazon CloudWatch Events com base em tempo, uma função Lambda, um tópico SNS e um bucket do Amazon S3.

1. Uma regra Amazon EventBridge baseada em tempo invoca a função do gerador de compatibilidade do Lambda.

2. O gerador de compatibilidade do Lambda busca as políticas do Firewall Manager em cada região e publica a lista de IDs de política no tópico SNS.

3. O tópico SNS invoca a função do Lambda do gerador de compatibilidade com a carga útil {PolicyId: string, Region: string}.

4. O gerador de compatibilidade gera um relatório de compatibilidade para cada uma das políticas e o carrega em formato CSV em um bucket S3.

AWS Firewall Manager Automations for AWS Organizations

Versão 2.0.0
Última atualização: 08/2021
Autor: AWS

Tempo de implantação estimado: 3 min

Use o botão abaixo para assinar atualizações de soluções.

Observação: para assinar atualizações RSS, você deve ter um plug-in RSS habilitado para o navegador que está usando.  

Essa implementação de soluções ajudou você?
Fornecer feedback 
Ícone Construir
Implante você mesmo uma solução

Explore nossa biblioteca de Implementações de soluções da AWS para obter respostas para problemas comuns de arquitetura.

Saiba mais 
Encontre um parceiro da APN
Encontre um parceiro da APN

Encontre parceiros de consultoria e tecnologia certificados pela AWS para ajudar você a começar.

Saiba mais 
Ícone Explorar
Explore ofertas de consultoria de soluções

Explore nosso portfólio de Ofertas de consultoria para obter ajuda aprovada pela AWS com a implantação de soluções.

Saiba mais