Общие

Что такое AWS Firewall Manager?

AWS Firewall Manager – это сервис управления безопасностью, который обеспечивает централизованную настройку правил брандмауэра и управление ими для различных приложений и аккаунтов в AWS Organization. AWS Firewall Manager упрощает работу по приведению новых приложений и связанных ресурсов в соответствие со стандартным набором обязательных правил безопасности. Этот сервис предназначен для централизованного создания правил брандмауэра и политик безопасности, а также их согласованного применения в порядке иерархии ко всей инфраструктуре.

Каковы основные преимущества AWS Firewall Manager?

AWS Firewall Manager интегрирован с AWS Organizations, что позволяет применять правила AWS WAF, средства защиты AWS Shield Advanced, группы безопасности VPC и сетевые брандмауэры AWS для различных аккаунтов и ресурсов AWS из одного и того же места. Firewall Manager отслеживает создание новых ресурсов и аккаунтов, чтобы обеспечить их соответствие обязательному набору политик безопасности с первого же дня. Сервис позволяет группировать правила, создавать политики и обеспечивать их централизованное применение ко всей инфраструктуре. Например, можно делегировать возможность создавать правила для конкретных приложений в пределах одного аккаунта, но сохранить при этом возможность применять единые политики безопасности для всех аккаунтов. Специалисты по безопасности могут получать уведомления об угрозах для организации и имеют возможность быстро реагировать и нейтрализовывать атаки.

Сервис Firewall Manager интегрирован с управляемыми правилами для AWS WAF. Это упрощает развертывание готовых правил WAF для приложений.

Администраторы безопасности могут с помощью Firewall Manager применять базовый набор правил группы безопасности для инстансов EC2, балансировщиков нагрузки приложений и эластичных сетевых интерфейсов (ENI) в ваших Amazon VPC. В то же время вы также можете проверять любые существующие группы безопасности в ваших VPC на предмет нестрогих правил и исправлять их из одной точки.

С помощью Firewall Manager вы также можете централизовано разворачивать правила для сетевых брандмауэров AWS в VPC вашей организации, чтобы контролировать исходящий и входящий трафик сети.

Что можно настроить с помощью AWS Firewall Manager?

Используя AWS Firewall Manager, можно централизованно настраивать правила AWS WAF, средства защиты AWS Shield Advanced, группы безопасности Amazon Virtual Private Cloud (VPC) и сетевые брандмауэры AWS для разных учетных записей и ресурсов вашей организации.

Можно ли с помощью AWS Firewall Manager настроить группы безопасности VPC или списки контроля доступа сети?

Да, AWS Firewall Manager поддерживает настройку группы безопасности VPC. Однако на данный момент настройка списков контроля доступа сети не поддерживается.

Для каких ресурсов AWS можно задать правила с помощью AWS Firewall Manager?

С помощью AWS Firewall Manager можно без труда централизованно развертывать правила AWS WAF для балансировщиков Application Load Balancer, шлюзов API и баз раздачи Amazon CloudFront. Вы можете создать средства защиты AWS Shield Advanced для балансировщиков Application Load Balancer и ELB Classic Load Balancer, а также эластичных IP-адресов Elastic IP Addresses и баз раздачи CloudFront. Также можно настроить новые группы безопасности Amazon Virtual Private Cloud (VPC) и провести аудит любых существующих групп безопасности для таких типов ресурсов как Amazon EC2, балансировщики нагрузки приложения (ALB) и ENI. Наконец, с помощью AWS Firewall Manager вы также можете централизованно развертывать сетевые брандмауэры AWS для учетных записей и VPC вашей организации.

Сколько стоит использование сервиса AWS Firewall Manager?

Цены на AWS Firewall Manager доступны по ссылке.

В каких регионах доступен сервис AWS Firewall Manager?

Актуальные сведения о доступности сервиса AWS Firewall Manager по регионам см. в таблице регионов AWS.

Включение AWS Firewall Manager

Каковы предварительные требования для использования AWS Firewall Manager?

Использование AWS Firewall Manager предусматривает предварительное выполнение трех обязательных условий и одного дополнительного.

  • AWS Organizations. Аккаунты должны быть частью сервиса AWS Organizations, при этом все их функции должны быть включенными. Подробнее см. в документации AWS Organizations.
  • Настройка аккаунта администратора AWS Firewall Manager. Firewall Manager должен быть связан с главным аккаунтом организации в AWS Organizations или с аккаунтом участника, имеющим соответствующие разрешения. Аккаунт, связанный с Firewall Manager, называется аккаунтом администратора Firewall Manager. Для получения дополнительной информации ознакомьтесь с документацией.
  • Включение AWS Config для аккаунтов. Включите AWS Config для каждого аккаунта-участника в своей организации. См. документацию для AWS Config.
  • Включение AWS Resource Access Manager (необязательно) – Прежде чем включить Firewall Manager для настройки AWS Network Firewall для разных учетных записей, необходимо сначала активировать совместное использование ресурсов с помощью AWS Resource Access Manager.

Как использовать сервис AWS Firewall Manager?

  • Во-первых, необходимо выполнить предварительные условия, указанные выше.
  • Во-вторых, создайте тип политики для AWS WAF, AWS Shield Advanced, группы безопасности VPC или сетевого брандмауэра AWS.
  • В-третьих, в зависимости от политики укажите набор правил или средств защиты. Например, для политики для AWS WAF укажите группы правил (настраиваемые или управляемые), которые необходимо развернуть в учетных записях. Точно так же укажите для групповой политики безопасности VPC группу безопасности, которую необходимо реплицировать в каждом ресурсе учетных записей. Для AWS Network Firewall укажите группы правил (с отслеживанием состояния и без отслеживания состояния), которые хотите развернуть в VPC своих учетных записей.
  • В-четвертых, укажите область действия политики, выбрав учетные записи, тип ресурса и, при необходимости, теги ресурсов, где собираетесь применить политику.
  • После этого можно просмотреть и создать политику. Firewall Manager автоматически применяет правила и средства защиты ко всем ресурсам в учетных записях. После завершения Firewall Manager также отображает панель мониторинга соответствия, на которой выводятся, любые учетные записи / ресурсы, которые соответствуют либо не соответствуют требованиям.

Можно ли создать политику Firewall Manager, но не выполнять автоматическое исправление настроек?

Да. Политику Firewall Manager можно настроить в двух режимах.

  • Режим автоматического исправления позволяет автоматически отслеживать изменения в политике и применять правила к ресурсам, которые не соответствуют требованиям.
  • Режим ручного исправления создает новую политику и связанные группы правил / средства защиты в каждом аккаунте, но не обеспечивает принудительное применение правил к ресурсам в аккаунте. После создания политики с ручным исправлением можно вручную выполнять действие для каждого локального аккаунта либо в любой момент изменить исходную политику, выбрав автоматическое исправление.

Каким количеством аккаунтов может управлять AWS Firewall Manager?

Каждую политику Firewall Manager можно применять не более чем для 2500 аккаунтов, что соответствует лимиту по умолчанию для количества аккаунтов в AWS Organizations.

Каким количеством ресурсов может управлять AWS Firewall Manager?

В настоящее время ограничение на количество ресурсов, которыми управляет Firewall Manager, отсутствует.

Можно ли создавать политики защиты, действующие для всех регионов?

Нет. Политики защиты AWS Firewall Manager зависят от региона. Каждая политика Firewall Manager может включать только те ресурсы, которые доступные в конкретном регионе AWS. Можно создать отдельную политику для каждого региона, в котором осуществляется работа.

Можно ли исключить аккаунты или ресурсы из сферы применения политики?

Да. Аккаунты можно исключать. Чтобы указать ресурсы, которые следует исключить из области действия политики, также используйте теги.

Панель управления и наглядное представление

Как просмотреть состояние соответствия определенной политике?

С помощью Firewall Manager можно быстро увидеть состояние соответствия требованиям для каждой политики, просмотрев общее количество включенных в область действия политики аккаунтов, а также определив, какое количество из них соответствует требованиям. Кроме того, для каждой политики, настроенной в Firewall Manager, доступна отдельная панель соответствия. Центральная панель соответствия требованиям позволяет просматривать, какие аккаунты не соответствуют требованиям данной политики, какой ресурс не соответствуют требованиям и каковы причины его несоответствия. В AWS Security Hub также можно просматривать события, не соответствующие требованиям, для каждой учетной записи.

Предоставляет ли AWS Firewall Manager уведомления о несоответствии ресурса требованиям?

Да. Можно создать новые каналы уведомлений SNS для получения уведомлений о выявлении новых ресурсов, которые не соответствуют требованиям, в режиме реального времени. Точно так же каждая учетная запись, на которую распространяется действие политики Firewall Manager, получает уведомления о несоответствующих требованиям событиях в AWS Security Hub.

Как просмотреть все угрозы в рамках организации?

Для каждой созданной политики Firewall Manager можно объединить на уровне правила в группе соответствующие метрики CloudWatch, которые будут показывать количество разрешенных или заблокированных запросов по всей организации. Это позволяет централизованно настроить отправку предупреждений об угрозах в рамках организации.

Подробнее о ценах на AWS Firewall Manager

Перейти на страницу цен
Готовы приступить к разработке?
Начало работы с AWS Firewall Manager
Возникли дополнительные вопросы?
Свяжитесь с нами