Visão geral
O Automations for AWS Firewall Manager permite que você configure, gerencie e audite as regras de firewall de maneira centralizada em todas as suas contas e recursos do AWS Organizations de forma automatizada. Ao usar essa solução da AWS, é possível manter uma postura de segurança consistente em toda a sua organização.
Essa solução fornece regras predefinidas para configurar firewalls em nível de aplicativo para o AWS WAF, auditar grupos de segurança da Amazon Virtual Private Cloud (Amazon VPC) não utilizados e excessivamente permissivos e configurar um firewall de DNS para bloquear consultas de domínios inválidos.
Essa solução também ajuda você a criar uma linha de base rápida de regras de segurança de firewall e a proteger contra ataques distribuídos de negação de serviço (DDoS) por meio da integração com o AWS Shield Avançado.
Observação: você pode usar essa solução se já usa o Firewall Manager em sua organização. No entanto, você deve instalar a solução em sua conta de administrador do Firewall Manager. Se você ainda não tiver configurado o Firewall Manager, consulte o guia de implementação para conhecer as etapas.
Benefícios
Configure e audite facilmente regras do AWS WAF, DNS e grupos de segurança em seus ambientes AWS de várias contas usando o AWS Firewall Manager.
Utilize essa solução para instalar os pré-requisitos necessários para usar o Firewall Manager, para que você possa dedicar mais tempo às suas necessidades específicas de segurança.
Aproveite a assinatura do AWS Shield Avançado para implantar a proteção contra DDoS em contas no AWS Organizations.
Detalhes técnicos
Você pode implantar essa arquitetura automaticamente usando o guia de implementação e o modelo que acompanha o AWS CloudFormation.
A arquitetura pode ser dividida em dois fluxos de trabalho: Gerenciador de políticas e gerador de relatórios de conformidade.
Etapa 1
O Parameter Store, um recurso do AWS Systems Manager, contém três parâmetros: /FMS/OUs, /FMS/Regions e /FMS/tags. Atualize esses parâmetros usando o Systems Manager.
Etapa 2
Uma regra do Amazon EventBridge usa um padrão de evento para capturar o evento de atualização de parâmetro do System Manager.
Etapa 3
Uma regra do EventBridge invoca uma função do AWS Lambda.
Etapa 4
A função do Lambda instala um conjunto de políticas de segurança predefinidas do AWS Firewall Manager nas unidades organizacionais especificadas pelo usuário. Além disso, se você tiver uma assinatura do AWS Shield, essa solução implantará as políticas do Advanced para proteger contra ataques de Distributed Denial of Service (DDoS – Ataques distribuídos de negação de serviço).
Etapa 5
A função PolicyManager do Lambda busca o arquivo manifesto de política do bucket do Amazon Simple Storage Service (Amazon S3) e o utiliza para criar políticas de segurança do Firewall Manager.
Etapa 6
O AWS Lambda salva metadados das políticas na tabela do Amazon DynamoDB.
Etapa 7
Uma regra do EventBridge baseada em tempo invoca a função do Compliance Generator do Lambda.
Etapa 8
O Compliance Generator do Lambda busca as políticas do Firewall Manager em cada região e publica a lista de IDs de política no tópico do Amazon Simple Notification Service (Amazon SNS).
Etapa 9
O tópico do Amazon SNS invoca a função do Compliance Generator do Lambda com a carga útil {PolicyId: string, Region: string}.
Etapa 10
A função Compliance Generator do Lambda gera um relatório de compatibilidade para cada uma das políticas e o carrega em formato CSV em um bucket do S3.
Etapa 1
O Parameter Store, um recurso do AWS Systems Manager, contém três parâmetros: /FMS/OUs, /FMS/Regions e /FMS/tags. Atualize esses parâmetros usando o Systems Manager.
Etapa 2
Uma regra do Amazon EventBridge usa um padrão de evento para capturar o evento de atualização de parâmetro do System Manager.
Etapa 3
Uma regra do EventBridge invoca uma função do AWS Lambda.
Etapa 4
A função do Lambda instala um conjunto de políticas de segurança predefinidas do AWS Firewall Manager nas unidades organizacionais especificadas pelo usuário. Além disso, se você tiver uma assinatura do AWS Shield, essa solução implantará as políticas do Advanced para proteger contra ataques de Distributed Denial of Service (DDoS – Ataques distribuídos de negação de serviço).
Etapa 5
A função PolicyManager do Lambda busca o arquivo manifesto de política do bucket do Amazon Simple Storage Service (Amazon S3) e o utiliza para criar políticas de segurança do Firewall Manager.
Etapa 6
O AWS Lambda salva metadados das políticas na tabela do Amazon DynamoDB.
Etapa 7
Uma regra do EventBridge baseada em tempo invoca a função do Compliance Generator do Lambda.
Etapa 8
O Compliance Generator do Lambda busca as políticas do Firewall Manager em cada região e publica a lista de IDs de política no tópico do Amazon Simple Notification Service (Amazon SNS).
Etapa 9
O tópico do Amazon SNS invoca a função do Compliance Generator do Lambda com a carga útil {PolicyId: string, Region: string}.
Etapa 10
A função Compliance Generator do Lambda gera um relatório de compatibilidade para cada uma das políticas e o carrega em formato CSV em um bucket do S3.
Conteúdo relacionado
Este curso fornece uma visão geral das tecnologias de segurança da AWS, além de casos de uso, benefícios e serviços. A seção de proteção de infraestrutura abrange o AWS WAF para filtragem de tráfego.
Este curso apresenta o AWS Organizations, o serviço que oferece gerenciamento com base em políticas para várias contas da AWS. Discutimos os principais recursos e terminologia, analisamos como acessar e usar o serviço e fornecemos uma demonstração.
Este exame testa sua experiência técnica na proteção de produtos e serviços da AWS. Ele é indicado para qualquer profissional que ocupe uma função especializada na área de segurança.
Esta página foi útil?
- Data de publicação