Общие вопросы
Вопрос. Что такое AWS Firewall Manager?
AWS Firewall Manager – это сервис управления безопасностью, который обеспечивает централизованную настройку правил брандмауэра и управление ими для различных приложений и аккаунтов в AWS Organization. AWS Firewall Manager упрощает работу по приведению новых приложений и связанных ресурсов в соответствие со стандартным набором обязательных правил безопасности. Этот сервис предназначен для централизованного создания правил брандмауэра и политик безопасности, а также их согласованного применения в порядке иерархии ко всей инфраструктуре.
Вопрос. Каковы основные преимущества Диспетчера брандмауэра AWS?
Диспетчер брандмауэра AWS интегрирован с Организациями AWS, что позволяет применять правила Брандмауэра веб‑приложений AWS (WAF), средства защиты сервиса AWS Shield расширенный, группы безопасности VPC, списки управления доступом (ACL) к сети VPC, Сетевые брандмауэры AWS и правила брандмауэра DNS Средства распознавания Amazon Route 53 для различных аккаунтов и ресурсов AWS из одного и того же места. Диспетчер брандмауэра отслеживает создание новых ресурсов и аккаунтов, чтобы обеспечить их соответствие обязательному набору политик безопасности с первого же дня. Сервис позволяет группировать правила, создавать политики и обеспечивать их централизованное применение ко всей инфраструктуре. Например, можно делегировать возможность создавать правила для конкретных приложений в пределах одного аккаунта, но сохранить при этом возможность применять единые политики безопасности для всех аккаунтов. Специалисты по безопасности могут получать уведомления об угрозах для организации и имеют возможность быстро реагировать и нейтрализовывать атаки.
Сервис Диспетчера брандмауэра интегрирован с управляемыми правилами для AWS WAF. Это упрощает развертывание готовых правил WAF для приложений.
С помощью Диспетчера брандмауэра администраторы безопасности могут применять базовый набор правил группы безопасности для инстансов EC2, Балансировщиков нагрузки приложений и эластичных сетевых интерфейсов (ENI) в ваших Amazon VPC. В то же время вы также можете выполнять аудит любых групп безопасности в ваших VPC на предмет нестрогих правил и исправлять их из одной точки.
С помощью Диспетчера брандмауэра вы также можете централизовано разворачивать адреса и правила для Сетевых брандмауэров AWS в VPC вашей организации, чтобы контролировать исходящий и входящий трафик сети. В то же время вы можете использовать Firewall Manager, чтобы связать VPC в своих аккаунтах с правилами брандмауэра DNS Route 53 Resolver для блокировки запросов DNS, отправленных с известных мошеннических доменов, и для разрешения выполнения запросов от доверенных доменов.
Вопрос. Что можно настроить с помощью Диспетчера брандмауэра AWS?
Используя Диспетчер брандмауэра AWS, можно централизованно настраивать правила AWS WAF, средства защиты сервиса AWS Shield расширенный, группы безопасности виртуального частного облака Amazon (VPC), списки управления доступом (ACL) к сети, Сетевые брандмауэры AWS и правила брандмауэра DNS Средства распознавания Amazon Route 53 для разных учетных записей и ресурсов вашей организации.
Вопрос. Для каких ресурсов AWS можно задать правила с помощью Диспетчера брандмауэра AWS?
С помощью Диспетчера брандмауэра AWS можно сделать нижеследующее.
- Без труда централизованно развертывайте правила AWS WAF для Балансировщика нагрузки приложений, шлюзов API и баз раздачи Amazon CloudFront.
- Вы также можете поставить защиту севиса AWS Shield расширенный для Балансировщика нагрузки приложений и Эластичной балансировки нагрузки (ELB) Классического балансировщика нагрузки, а также эластичных IP-адресов и баз раздачи CloudFront.
- Можно настроить новые группы безопасности виртуального частного облака Amazon (VPC) и провести аудит любых существующих групп безопасности для таких типов ресурсов, как Эластичное облако вычислений Amazon (Amazon EC2), Балансировщики нагрузки приложения (ALB) и эластичный сетевой интерфейс (ENI).
- Вы можете настроить для своих подсетей VPC новые списки управления доступом (ACL) к сети виртуального частного облака (VPC).
- Вы также можете централизованно развертывать Сетевые брандмауэры AWS для учетных записей и VPC своей организации.
- В конце концов, с помощью AWS Firewall Manager вы можете связывать правила брандмауэра DNS Amazon Route 53 Resolver в различных VPC вашей организации.
Вопрос. Сколько стоит использование сервиса AWS Firewall Manager?
Цены на AWS Firewall Manager доступны по ссылке.
Вопрос. В каких регионах доступен сервис AWS Firewall Manager?
Актуальные сведения о доступности сервиса AWS Firewall Manager по регионам см. в таблице регионов AWS.
Включение AWS Firewall Manager
Вопрос. Каковы предварительные требования для использования AWS Firewall Manager?
Использование AWS Firewall Manager предусматривает предварительное выполнение трех обязательных условий и одного дополнительного.
- AWS Organizations. Аккаунты должны быть частью сервиса AWS Organizations, при этом все их функции должны быть включенными. Подробнее см. в документации AWS Organizations.
- Настройка аккаунта администратора AWS Firewall Manager. Firewall Manager должен быть связан с управляющим аккаунтом организации в AWS Organizations или с аккаунтом участника, имеющим соответствующие разрешения. Аккаунт, связанный с Firewall Manager, называется аккаунтом администратора Firewall Manager. Для получения дополнительной информации ознакомьтесь с документацией.
- Включение AWS Config для аккаунтов. Включите AWS Config для каждого аккаунта-участника в своей организации. См. документацию для AWS Config.
- Включение AWS Resource Access Manager (необязательно). Прежде чем включить Firewall Manager для настройки сетевых брандмауэров AWS или связывания правил брандмауэра DNS Amazon Route 53 Resolver для разных учетных записей и VPC, необходимо сначала активировать совместное использование ресурсов с помощью AWS Resource Access Manager.
Вопрос. Как использовать сервис AWS Firewall Manager?
- Во-первых, необходимо выполнить предварительные условия, указанные выше.
- Во-вторых, создайте тип политики для AWS WAF, сервиса AWS Shield расширенный, группы безопасности VPC, списков управления доступом (ACL) к сети VPC, Сетевого брандмауэра AWS или брандмауэра DNS Средства распознавания Amazon Route 53.
- В-третьих, в зависимости от политики укажите набор правил или средств защиты. Например, для политики для AWS WAF укажите группы правил (настраиваемые или управляемые), которые необходимо развернуть в учетных записях. Точно так же укажите для групповой политики безопасности VPC группу безопасности, которую необходимо реплицировать в каждом ресурсе учетных записей. Для AWS Network Firewall укажите группы правил (с отслеживанием состояния и без отслеживания состояния), которые хотите развернуть в VPC своих учетных записей. Для брандмауэра DNS Средства распознавания Amazon Route 53 укажите набор правил (группы правил), которые требуется связать с вашими VPC в аккаунтах.
- В-четвертых, укажите область действия политики, выбрав учетные записи, тип ресурса и, при необходимости, теги ресурсов, где собираетесь применить политику.
- После этого можно просмотреть и создать политику. Firewall Manager автоматически применяет правила и средства защиты ко всем ресурсам в учетных записях. После завершения Firewall Manager также отображает панель мониторинга соответствия, на которой выводятся, любые учетные записи или ресурсы, которые соответствуют либо не соответствуют требованиям.
Вопрос. Можно ли создать политику Firewall Manager и при этом не выполнять автоматическое исправление настроек?
Да. Политику Firewall Manager можно настроить в двух режимах.
- Режим автоматического исправления позволяет автоматически отслеживать изменения в политике и применять правила к ресурсам, которые не соответствуют требованиям.
- Режим ручного исправления создает новую политику и связанные группы правил / средства защиты в каждом аккаунте, но не обеспечивает принудительное применение правил к ресурсам в аккаунте. После создания политики с ручным исправлением можно вручную выполнять действие для каждого локального аккаунта либо в любой момент изменить исходную политику, выбрав автоматическое исправление.
Вопрос. Каким количеством аккаунтов может управлять AWS Firewall Manager?
Каждую политику Firewall Manager можно применять не более чем для 2500 аккаунтов, что соответствует лимиту по умолчанию для количества аккаунтов в AWS Organizations.
Вопрос. Каким количеством ресурсов может управлять AWS Firewall Manager?
В настоящее время ограничение на количество ресурсов, которыми управляет диспетчер брандмауэра, отсутствует.
Вопрос. Можно ли создавать политики защиты, действующие для всех регионов?
Нет. Политики защиты диспетчера брандмауэра AWS зависят от региона. Каждая политика диспетчера брандмауэра может включать только те ресурсы, которые доступные в конкретном регионе AWS. Можно создать отдельную политику для каждого региона, в котором осуществляется работа.
Вопрос. Можно ли исключить аккаунты или ресурсы из сферы применения политики?
Да. Аккаунты можно исключать. Чтобы указать ресурсы, которые следует исключить из области действия политики, также используйте теги.
Вопрос. Что такое политика безопасности Диспетчера брандмауэра?
Политика безопасности Диспетчера брандмауэра представляет собой набор конфигураций, позволяющих клиентам указать аккаунты и ресурсы, с которыми должен быть связан набор правил брандмауэра, с дополнительными конфигурациями, настроенными для каждого типа брандмауэра. Диспетчер брандмауэра сегодня поддерживает AWS WAF, сервис AWS Shield расширенный, группы безопасности VPC, списки управления доступом (ACL) к сети VPC, Сетевой брандмауэр AWS, брандмауэр DNS Средства распознавания Amazon Route 53 и сторонние брандмауэры Торговой площадки AWS.
Панель управления и наглядное представление
Вопрос. Как просмотреть состояние соответствия определенной политике?
С помощью Firewall Manager можно быстро увидеть состояние соответствия требованиям для каждой политики, просмотрев общее количество включенных в область действия политики аккаунтов, а также определив, какое количество из них соответствует требованиям. Кроме того, для каждой политики, настроенной в Firewall Manager, доступна отдельная панель соответствия. Центральная панель соответствия требованиям позволяет просматривать, какие аккаунты не соответствуют требованиям данной политики, какой ресурс не соответствуют требованиям и каковы причины его несоответствия. В AWS Security Hub также можно просматривать события, не соответствующие требованиям, для каждой учетной записи.
Вопрос. Предоставляет ли AWS Firewall Manager уведомления о несоответствии ресурса требованиям?
Да. Можно создать новые каналы уведомлений SNS для получения уведомлений о выявлении новых ресурсов, которые не соответствуют требованиям, в режиме реального времени. Точно так же каждая учетная запись, на которую распространяется действие политики Firewall Manager, получает уведомления о несоответствующих требованиям событиях в AWS Security Hub.
Вопрос. Как просмотреть все угрозы в рамках организации?
Для каждой созданной политики Firewall Manager можно объединить на уровне правила в группе соответствующие метрики CloudWatch, которые будут показывать количество разрешенных или заблокированных запросов по всей организации. Это позволяет централизованно настроить отправку предупреждений об угрозах в рамках организации.
Подробнее о ценах на AWS Firewall Manager