Общие вопросы

Что такое AWS Firewall Manager?

AWS Firewall Manager – это инструмент управления безопасностью, который упрощает настройку правил AWS WAF для всех используемых аккаунтов. С помощью Firewall Manager администраторы систем безопасности крупных организаций могут централизованно создавать правила для всей компании, принудительно применять их для приложений, защищенных AWS WAF, а также централизованно получать представление об атаках на балансировщики Application Load Balancer и инфраструктуру Amazon CloudFront.

Каковы основные преимущества AWS Firewall Manager?

AWS Firewall Manager интегрирован с AWS Organizations, что позволяет централизованно применять AWS WAF для различных аккаунтов и ресурсов AWS. AWS Firewall Manager отслеживает создание новых ресурсов или аккаунтов, чтобы обеспечить их соответствие обязательному набору политик безопасности с первого же дня. Теперь можно быстро и централизованно реагировать на инциденты, например блокируя некий IP-адрес или применяя пакет исправлений CVE. С помощью AWS Firewall Manager специалисты по безопасности могут получать уведомления об угрозах для организации, чтобы иметь возможность быстро реагировать и нейтрализовывать атаки. И наконец, AWS Firewall Manager интегрирован с управляемыми правилами AWS WAF, что позволяет просто развертывать наборы предварительно настроенных правил WAF перед всеми приложениями.

Что позволяет настроить AWS Firewall Manager?

AWS Firewall Manager упрощает настройку и применение правил AWS WAF, а также управляемых правил AWS WAF для группы ресурсов, которая может включать в себя ресурсы Application Load Balancer и Amazon CloudFront в нескольких аккаунтах.

Позволяет ли AWS Firewall Manager настроить группы безопасности VPC или списки контроля доступа сети?

Нет. AWS Firewall Manager не имеет возможности настраивать группы безопасности VPC или списки контроля доступа сети.

Для каких ресурсов AWS позволяет настроить правила AWS Firewall Manager?

AWS Firewall Manager поддерживает ресурсы, поддержка которых предусмотрена в AWS WAF, т. е. балансировщики Application Load Balancer и базы раздачи Amazon CloudFront.

Сколько стоит использование сервиса AWS Firewall Manager?

Цены на AWS Firewall Manager доступны по ссылке.

В каких регионах доступен сервис AWS Firewall Manager?

Актуальные сведения о доступности сервиса AWS Firewall Manager по регионам см. в таблице регионов AWS.

Включение AWS Firewall Manager

Каковы предварительные требования для использования AWS Firewall Manager?

Существуют три требования, которые должны соблюдаться для использования AWS Firewall Manager.

  • AWS Organizations. Аккаунты должны быть частью сервиса AWS Organizations, при этом для них должны быть включены все возможности. Подробнее см. в документации AWS Organizations.
  • Настройка аккаунта администратора AWS Firewall Manager. Firewall Manager должен быть связан с главным аккаунтом организации в AWS Organizations или с аккаунтом участника, имеющим соответствующие разрешения. Аккаунт, связанный с Firewall Manager, называется аккаунтом администратора Firewall Manager. Для получения дополнительной информации ознакомьтесь с документацией.
  • Включение AWS Config для аккаунтов. Включите AWS Config для каждого аккаунта-участника в своей организации. См. документацию для AWS Config.

 

Как использовать сервис AWS Firewall Manager?

  • Во-первых, требуется выполнить предварительные условия, указанные выше.
  • Во-вторых, нужно создать собственную группу правил или подписаться на группу управляемых правил, предоставленную поставщиком Marketplace посредством управляемых правил AWS WAF.
  • В-третьих, нужно указать сферу применения политики Firewall Manager, выбрав тип ресурса и (необязательно) теги.
  • После этого можно просмотреть и создать политику. Firewall Manager автоматически применит созданную группу правил WAF ко всем ресурсам для всех аккаунтов, а после выполнения этой операции Firewall Manager отобразит панель соответствия требованиям, на которой будет представлена информация о том, какие аккаунты/ресурсы соответствуют требованиям, а какие нет.

Можно ли создать политику Firewall Manager, но не выполнять автоматическое исправление настроек?

Да. Политику Firewall Manager можно настроить в двух режимах.

  • Режим автоматического исправления позволяет автоматически отслеживать изменения в политике и применять правила к ресурсам, которые не соответствуют требованиям.
  • Режим ручного исправления создает новую политику и связанные группы правил WAF в каждом аккаунте, но не обеспечивает принудительное применение правил к ресурсам в аккаунте. После создания политики с ручным исправлением можно либо выполнить действие вручную из каждого владельца локального аккаунта, либо в любой момент изменить исходную политику, выбрав автоматическое исправление.

Каким количеством аккаунтов может управлять AWS Firewall Manager?

Каждая политика Firewall Manager позволяет настраивать правила WAF не более чем для 2500 аккаунтов, что соответствует лимиту по умолчанию для количества аккаунтов в AWS Organizations.

Каким количеством ресурсов может управлять AWS Firewall Manager?

В настоящее время ограничение на количество ресурсов, которыми управляет Firewall Manager, отсутствует.

Можно ли создавать политики защиты, действующие для всех регионов?

Нет. Политики защиты AWS Firewall Manager зависят от региона. Каждая политика Firewall Manager может включать только те ресурсы, которые доступные в конкретном регионе AWS. Можно создать отдельную политику для каждого региона, в котором осуществляется работа.

Можно ли исключить аккаунты или ресурсы из сферы применения политики?

Да. Чтобы указать ресурсы, которые следует исключить из области действия политики, можно использовать теги.

Панель управления и наглядное представление

Как просмотреть состояние соответствия определенной политике?

С помощью Firewall Manager можно быстро увидеть состояние соответствия требованиям для каждой политики, просмотрев общее количество включенных в область действия политики аккаунтов, а также определив, какое количество из них соответствует требованиям. Кроме того, для каждой политики, настроенной в Firewall Manager, доступна отдельная панель соответствия. Центральная панель соответствия требованиям позволяет просматривать, какие аккаунты не соответствуют требованиям данной политики, какие конкретные ресурсы не соответствуют требованиям, а также предоставляет информацию о том, почему конкретный ресурс не соответствует требованиям.

Предоставляет ли AWS Firewall Manager уведомления о несоответствии ресурса требованиям?

Да. Можно создать новые каналы уведомлений SNS для получения в режиме реального времени уведомлений о выявлении новых ресурсов, которые не соответствуют требованиям.

Как просмотреть все угрозы в рамках организации?

Для каждой созданной политики Firewall Manager можно объединить на уровне правила в группе соответствующие метрики CloudWatch, которые будут показывать количество разрешенных или заблокированных запросов по всей организации. Это позволяет централизованно настроить отправку предупреждений об угрозах в рамках организации.

Подробнее о ценах на AWS Firewall Manager

Перейти на страницу цен
Готовы приступить к разработке?
Начать работу с AWS Firewall Manager
Есть вопросы?
Свяжитесь с нами