Перейти к главному контенту

Диспетчер брандмауэра AWS

Общие вопросы

Открыть все

    С помощью Диспетчера брандмауэра администратор безопасности может применить правила брандмауэра для сетевого брандмауэра AWS, чтобы управлять входящим и исходящим трафиком в вашей сети через аккаунты и VPC Amazon из одной точки. Любые изменения набора правил, заданного централизованно, автоматически применяются к вашим учетным записям и VPC. Это позволяет администраторам безопасности последовательно применять централизованно установленные правила брандмауэра во всей организации, даже в случае создания новых учетных записей и VPC. В то же время Диспетчер брандмауэра также сообщает о проблемах с несоответствием, в том числе о любых VPC и аккаунтах, в которых отсутствует защита сетевого брандмауэра.

    Политики AWS можно применять автоматически к уже существующим или будущим ресурсам AWS, чтобы обеспечить соответствие установленным правилам брандмауэра во всей организации. Диспетчер брандмауэра AWS предоставляет возможность применения правил AWS WAF, в т. ч. управляемых правил для AWS WAF, к аккаунтам Балансировщика нагрузки приложений, шлюзам API и Amazon CloudFront. Вы можете настроить защиту AWS Shield расширенный для классических балансировщиков нагрузки или балансировщиков нагрузки приложений, эластичных IP-адресов и дистрибуций CloudFront. Подобным образом можно также использовать AWS Firewall Manager для создания общей первичной группы безопасности для всех инстансов EC2 вашего облака VPC. С помощью Firewall Manager вы можете автоматически развертывать адреса сетевого брандмауэра и связанные правила в разных VPC. В то же время Firewall Manager позволяет связывать разные VPC с правилами брандмауэра DNS Route 53 Resolver. Можно автоматически применять правило для создаваемых ресурсов или настроить вместо этого получение уведомлений о создании нового ресурса.

    Диспетчер брандмауэра AWS позволяет группировать ресурсы по аккаунтам, типам ресурсов и/или тегам. Ваши специалисты по безопасности могут создавать политики для всех ресурсов в определенной группе или для всех аккаунтов организации.

    Диспетчер брандмауэра AWS интегрирован с Организациями AWS для автоматического получения списка аккаунтов в вашей организации AWS, что позволяет группировать ресурсы различных аккаунтов. Для начала нужно создать политики защиты, которые определяют группу ресурсов, а затем связать нужную группу с предпочитаемой политикой. В завершение требуется указать сферу применения политики для охвата определенного набора аккаунтов AWS или всех аккаунтов организации. Диспетчер брандмауэра будет развертывать средства защиты только на ресурсах в аккаунтах в рамках сферы действия политики.

    Диспетчер брандмауэра AWS позволяет применять политики защиты в иерархической последовательности, что разрешает делегировать задачи, связанные с созданием правил для конкретных приложений, сохраняя при этом возможность принудительно применять определенные правила централизованно. Централизованно применяемые правила постоянно контролируются на предмет любого случайного удаления или неправильного применения, что гарантирует их единообразное применение.

    Диспетчер брандмауэра AWS предоставляет визуальную панель управления, с помощью которой можно быстро просматривать, какие ресурсы AWS защищены, определять ресурсы, которые не соответствуют требованиям, и принимать соответствующие меры. Можно также получать уведомления об изменениях в своих конфигурациях с помощью потоков уведомлений SNS.

    С помощью Диспетчера брандмауэра AWS вы можете создавать политики для настройки ограничений, в соответствии с которыми можно разрешать или запрещать определенные группы безопасности в различных облаках VPC. AWS Firewall Manager выполняет постоянное наблюдение за группами безопасности, благодаря чему вы сможете вовремя выявлять слишком общие правила доступа и оптимизировать работу брандмауэра. Вы сможете получать оповещения о тех аккаунтах и ресурсах, которые не соответствуют заданным требованиям, а также у вас будет возможность разрешить Диспетчеру брандмауэра AWS автоматически устранять потенциальные уязвимости.

    Диспетчер брандмауэра AWS позволяет централизованно развертывать и отслеживать сторонние облачные брандмауэры AWS Marketplace во всех виртуальных частных облаках (VPC) в организации. Этот сервис является решением для управления отдельным брандмауэром, который позволяет развертывать брандмауэры, оптимизированные для AWS, а также сторонние брандмауэры, подписанные на Торговую площадку AWS, и управлять ими. Вы можете автоматизировать межаккаунтное развертывание брандмауэров, связывание правил и настройку маршрутов VPC по мере создания новых аккаунтов и VPC в организации.