Вопросы и ответы по AWS Firewall Manager

Вопрос. Что такое AWS Firewall Manager?

AWS Firewall Manager – это сервис управления безопасностью, который обеспечивает централизованную настройку правил брандмауэра и управление ими для различных приложений и аккаунтов в AWS Organization. AWS Firewall Manager упрощает работу по приведению новых приложений и связанных ресурсов в соответствие со стандартным набором обязательных правил безопасности. Этот сервис предназначен для централизованного создания правил брандмауэра и политик безопасности, а также их согласованного применения в порядке иерархии ко всей инфраструктуре.

Вопрос. Каковы основные преимущества AWS Firewall Manager?

AWS Firewall Manager интегрирован с AWS Organizations, что позволяет применять правила AWS WAF, средства защиты AWS Shield Advanced, группы безопасности VPC, сетевые брандмауэры AWS и правила брандмауэра DNS Amazon Route 53 Resolver для различных аккаунтов и ресурсов AWS из одного и того же места. Firewall Manager отслеживает создание новых ресурсов и аккаунтов, чтобы обеспечить их соответствие обязательному набору политик безопасности с первого же дня. Сервис позволяет группировать правила, создавать политики и обеспечивать их централизованное применение ко всей инфраструктуре. Например, можно делегировать возможность создавать правила для конкретных приложений в пределах одного аккаунта, но сохранить при этом возможность применять единые политики безопасности для всех аккаунтов. Специалисты по безопасности могут получать уведомления об угрозах для организации и имеют возможность быстро реагировать и нейтрализовывать атаки.

Сервис Firewall Manager интегрирован с управляемыми правилами для AWS WAF. Это упрощает развертывание готовых правил WAF для приложений.

Администраторы безопасности могут с помощью Firewall Manager применять базовый набор правил группы безопасности для инстансов EC2, балансировщиков нагрузки приложений и эластичных сетевых интерфейсов (ENI) в ваших Amazon VPC. В то же время вы также можете выполнять аудит любых групп безопасности в ваших VPC на предмет нестрогих правил и исправлять их из одной точки.

С помощью Firewall Manager вы также можете централизовано разворачивать адреса и правила для сетевых брандмауэров AWS в VPC вашей организации, чтобы контролировать исходящий и входящий трафик сети. В то же время вы можете использовать Firewall Manager, чтобы связать VPC в своих аккаунтах с правилами брандмауэра DNS Route 53 Resolver для блокировки запросов DNS, отправленных с известных мошеннических доменов, и для разрешения выполнения запросов от доверенных доменов.

Вопрос. Что можно настроить с помощью AWS Firewall Manager?

Используя AWS Firewall Manager, можно централизованно настраивать правила AWS WAF, средства защиты AWS Shield Advanced, группы безопасности Amazon Virtual Private Cloud (VPC), сетевые брандмауэры AWS и правила брандмауэра Amazon Route 53 Resolver для разных учетных записей и ресурсов вашей организации.

Вопрос. Можно ли с помощью AWS Firewall Manager настроить группы безопасности VPC или списки контроля доступа сети?

Да, AWS Firewall Manager поддерживает настройку группы безопасности VPC. Однако на данный момент настройка списков контроля доступа сети не поддерживается.

Вопрос. Для каких ресурсов AWS можно задать правила с помощью AWS Firewall Manager?

С помощью AWS Firewall Manager можно сделать следующее 

• Без труда централизованно развертывайте правила AWS WAF для балансировщиков Application Load Balancer, шлюзов API и баз раздачи Amazon CloudFront. 
• Вы также можете поставить защиту AWS Shield Advanced для балансировщиков Application Load Balancer и ELB Classic Load Balancer, а также эластичных IP-адресов Elastic IP Addresses и баз раздачи CloudFront. 
• Можно настроить новые группы безопасности Amazon Virtual Private Cloud (VPC) и провести аудит любых существующих групп безопасности для таких типов ресурсов как Amazon EC2, балансировщики нагрузки приложения (ALB) и ENI. 
• Вы также можете централизованно развертывать сетевые брандмауэры AWS для учетных записей и VPC своей организации.
  
• В конце концов, с помощью AWS Firewall Manager вы можете связывать правила брандмауэра DNS Amazon Route 53 Resolver в различных VPC вашей организации.
  

Вопрос. Сколько стоит использование сервиса AWS Firewall Manager?

Цены на AWS Firewall Manager доступны по ссылке.

Вопрос. В каких регионах доступен сервис AWS Firewall Manager?

Актуальные сведения о доступности сервиса AWS Firewall Manager по регионам см. в таблице регионов AWS.

Вопрос. Каковы предварительные требования для использования AWS Firewall Manager?

Использование AWS Firewall Manager предусматривает предварительное выполнение трех обязательных условий и одного дополнительного.

• AWS Organizations. Аккаунты должны быть частью сервиса AWS Organizations, при этом все их функции должны быть включенными. Подробнее см. в документации AWS Organizations.
• Настройка аккаунта администратора AWS Firewall Manager. Firewall Manager должен быть связан с управляющим аккаунтом организации в AWS Organizations или с аккаунтом участника, имеющим соответствующие разрешения. Аккаунт, связанный с Firewall Manager, называется аккаунтом администратора Firewall Manager. Для получения дополнительной информации ознакомьтесь с документацией.
  
• Включение AWS Config для аккаунтов. Включите AWS Config для каждого аккаунта-участника в своей организации. См. документацию для AWS Config.
• Включение AWS Resource Access Manager (необязательно). Прежде чем включить Firewall Manager для настройки сетевых брандмауэров AWS или связывания правил брандмауэра DNS Amazon Route 53 Resolver для разных учетных записей и VPC, необходимо сначала активировать совместное использование ресурсов с помощью AWS Resource Access Manager.

Вопрос. Как использовать сервис AWS Firewall Manager?

• Во-первых, необходимо выполнить предварительные условия, указанные выше.
• Во-вторых, создайте тип политики для AWS WAF, AWS Shield Advanced, группы безопасности VPC, сетевого брандмауэра AWS или брандмауэра DNS Amazon Route 53 Resolver.
• В-третьих, в зависимости от политики укажите набор правил или средств защиты. Например, для политики для AWS WAF укажите группы правил (настраиваемые или управляемые), которые необходимо развернуть в учетных записях. Точно так же укажите для групповой политики безопасности VPC группу безопасности, которую необходимо реплицировать в каждом ресурсе учетных записей. Для AWS Network Firewall укажите группы правил (с отслеживанием состояния и без отслеживания состояния), которые хотите развернуть в VPC своих учетных записей. Для брандмауэра DNS Amazon Route 53 Resolver укажите набор правил (группы правил), которые требуется связать с вашими VPC в аккаунтах.
• В-четвертых, укажите область действия политики, выбрав учетные записи, тип ресурса и, при необходимости, теги ресурсов, где собираетесь применить политику.
• После этого можно просмотреть и создать политику. Firewall Manager автоматически применяет правила и средства защиты ко всем ресурсам в учетных записях. После завершения Firewall Manager также отображает панель мониторинга соответствия, на которой выводятся, любые учетные записи или ресурсы, которые соответствуют либо не соответствуют требованиям.

Вопрос. Можно ли создать политику Firewall Manager и при этом не выполнять автоматическое исправление настроек?

Да. Политику Firewall Manager можно настроить в двух режимах.

• Режим автоматического исправления позволяет автоматически отслеживать изменения в политике и применять правила к ресурсам, которые не соответствуют требованиям.
• Режим ручного исправления создает новую политику и связанные группы правил / средства защиты в каждом аккаунте, но не обеспечивает принудительное применение правил к ресурсам в аккаунте. После создания политики с ручным исправлением можно вручную выполнять действие для каждого локального аккаунта либо в любой момент изменить исходную политику, выбрав автоматическое исправление.
  

Вопрос. Каким количеством аккаунтов может управлять AWS Firewall Manager?

Каждую политику Firewall Manager можно применять не более чем для 2500 аккаунтов, что соответствует лимиту по умолчанию для количества аккаунтов в AWS Organizations.

Вопрос. Каким количеством ресурсов может управлять AWS Firewall Manager?

В настоящее время ограничение на количество ресурсов, которыми управляет диспетчер брандмауэра, отсутствует.

Вопрос. Можно ли создавать политики защиты, действующие для всех регионов?

Нет. Политики защиты диспетчера брандмауэра AWS зависят от региона. Каждая политика диспетчера брандмауэра может включать только те ресурсы, которые доступные в конкретном регионе AWS. Можно создать отдельную политику для каждого региона, в котором осуществляется работа.

Вопрос. Можно ли исключить аккаунты или ресурсы из сферы применения политики?

Да. Аккаунты можно исключать. Чтобы указать ресурсы, которые следует исключить из области действия политики, также используйте теги.

Вопрос. Что такое политика безопасности диспетчера брандмауэра?

Политика безопасности диспетчера брандмауэра представляет собой набор конфигураций, позволяющих клиентам указать аккаунты и ресурсы, с которыми должен быть связан набор правил брандмауэра, с дополнительными конфигурациями, настроенными для каждого типа брандмауэра. Диспетчер брандмауэра сегодня поддерживает AWS WAF, AWS Shield Advanced, группы безопасности VPC, AWS Network Firewall, Amazon Route 53 Resolver DNS Firewall и сторонние брандмауэры торговой площадки AWS.

Вопрос. Как просмотреть состояние соответствия определенной политике?

С помощью Firewall Manager можно быстро увидеть состояние соответствия требованиям для каждой политики, просмотрев общее количество включенных в область действия политики аккаунтов, а также определив, какое количество из них соответствует требованиям. Кроме того, для каждой политики, настроенной в Firewall Manager, доступна отдельная панель соответствия. Центральная панель соответствия требованиям позволяет просматривать, какие аккаунты не соответствуют требованиям данной политики, какой ресурс не соответствуют требованиям и каковы причины его несоответствия. В AWS Security Hub также можно просматривать события, не соответствующие требованиям, для каждой учетной записи.

Вопрос. Предоставляет ли AWS Firewall Manager уведомления о несоответствии ресурса требованиям?

Да. Можно создать новые каналы уведомлений SNS для получения уведомлений о выявлении новых ресурсов, которые не соответствуют требованиям, в режиме реального времени. Точно так же каждая учетная запись, на которую распространяется действие политики Firewall Manager, получает уведомления о несоответствующих требованиям событиях в AWS Security Hub.

Вопрос. Как просмотреть все угрозы в рамках организации?

Для каждой созданной политики Firewall Manager можно объединить на уровне правила в группе соответствующие метрики CloudWatch, которые будут показывать количество разрешенных или заблокированных запросов по всей организации. Это позволяет централизованно настроить отправку предупреждений об угрозах в рамках организации.