AWS Firewall Manager 常見問答集

問︰什麼是 AWS Firewall Manager？

AWS Firewall Manager 是一種安全管理服務，可讓您在 AWS Organization 中跨帳戶和應用程式集中設定和管理防火牆規則。隨著新應用程式的建立，Firewall Manager 透過強制執行一組通用的安全規則，輕鬆讓新應用程式和資源合規。現在，您可以使用單一服務來建立防火牆規則、建立安全政策，並在整個基礎架構中以一致、分層的方式加以執行。

問︰AWS Firewall Manager 的主要優勢是什麼？

AWS Firewall Manager 已經與 AWS Organizations 整合，因此您可從單一位置跨多個 AWS 帳戶和資源啟用 AWS WAF 規則、AWS Shield Advanced 保護、VPC 安全群組和 AWS Network Firewall 和 Amazon Route 53 Resolver DNS Firewall 規則。Firewall Manager 會監控新資源或已建立的帳戶，以確保它們從一開始便符合一組強制性的安全政策。您可組合規則、建立政策並集中在整個基礎架構中套用這些政策。例如，您可在帳號內委派建立專用規則，同時依然留有在所有帳號實施全球安全政策的能力。您的安全團隊可以收到有關組織受到威脅的通知，以便他們能夠做出反應並快速阻擋攻擊。

Firewall Manager 也與 AWS WAF 受管規則整合，讓您在應用程式前部署預先配置的 WAF 規則時更為便捷。

安全管理員可以利用 Firewall Manager 為 Amazon VPC 中的 EC2 執行個體、Application Load Balancer 和彈性網路界面 (ENI) 套用基準安全群組規則集。同時，您還可以稽核 VPC 中的任何現有安全群組是否存在過於寬鬆的規則，並可以從單一位置進行補救。

您可以利用 Firewall Manager 在您組織中的所有 VPC 上集中部署 AWS Network Firewall 端點和關聯的規則，以控制離開和進入您網路的流量。 同時，您還可以使用 Firewall Manager，將您帳戶中的 VPC 與 Route 53 Resolver DNS Firewall 規則關聯，以封鎖對已知惡意網域進行的 DNS 查詢並允許對受信任網域的查詢。

問︰AWS Firewall Manager 設定哪些項目？

藉助 AWS Firewall Manager，您可以跨組織中的帳戶和資源集中設定 AWS WAF 規則、AWS Shield Advanced 保護、Amazon Virtual Private Cloud (VPC) 安全群組、AWS Network Firewall 和 Amazon Route 53 Resolver DNS Firewall 規則。

問︰AWS Firewall Manager 是否會設定 VPC 安全群組或網路 ACL？

是。AWS Firewall Manager 確實支援 VPC 安全群組的組態。但它目前不支援網絡 ACL。

問︰AWS Firewall Manager 可以在哪些 AWS 資源上設定規則？

使用 AWS Firewall Manager 時，您可以 

• 輕鬆集中設定 Application Load Balancer、API 閘道和 Amazon CloudFront 分發的 AWS WAF 規則。 
• 您可以為 Application Load Balancer 和 ELB Classic Load Balancer、彈性 IP 地址或 CloudFront 分發建立 AWS Shield Advanced 保護。 
• 您可以為 Amazon EC2、Application Load Balancer (ALB) 和 ENI 資源類型設定新的 Amazon Virtual Private Cloud (VPC) 安全群組並稽核任何現有安全群組。 
• 您還可以跨組織中的帳戶和 VPC 部署 AWS Network Firewall。
  
• 最後，藉助 AWS Firewall Manager，您還可以跨組織中的 VPC 與 Amazon Route 53 Resolvers DNS Firewall 規則關聯。
  

問︰AWS Firewall Manager 的費用為何？

這裡提供 AWS Firewall Manager 的定價。

問︰哪些區域提供 AWS Firewall Manager？

請參閱 AWS 區域表，了解目前提供 AWS Firewall Manager 的區域。

問︰AWS Firewall Manager 的先決條件是什麼？

若要使用 AWS Firewall Manager，需要滿足三個必要先決條件和一個選擇性先決條件。

• AWS Organizations – 您的帳戶必須是 AWS Organizations 的一部分，並且已啟用所有功能。如需詳細資訊，請參閱 AWS Organizations 文件。
• 設定 AWS Firewall Manager 管理員帳戶 – AWS Firewall Manager 必須與您 AWS Organization 的管理帳戶關聯，或與具有適當許可的成員帳戶關聯。與 Firewall Manager 關聯的帳戶稱為 Firewall Manager 管理員帳戶。請參閱文件指南了解詳細資訊。
  
• 在帳戶上啟用 AWS Config – 為組織中的每個成員帳戶啟用 AWS Config。請參閱 AWS Config 文件。
• 啟用 AWS Resource Access Manager (選擇性) – 若要讓 Firewall Manager 能夠跨帳戶和 VPC 集中設定 AWS Network Firewall 或與 Amazon Route 53 Resolver DNS Firewall 規則關聯，必須首先使用 AWS Resource Access Manager 啟用資源共享。

問︰如何使用 AWS Firewall Manager？

• 第一，符合上述先決條件。
• 其次，針對 AWS WAF、AWS Shield Advanced、VPC 安全群組、AWS Network Firewall 或 Amazon Route 53 Resolver DNS Firewall 建立政策類型。
• 第三，根據政策指定一組規則或保護。例如，對於 AWS WAF 政策，指定要在多個帳戶中部署的規則群組 (自訂或受管)。同樣的，對於 VPC 安全群組政策，在帳戶中的每個資源中引用要複寫的安全群組。對於 AWS Network Firewall，指定要在您帳戶中各 VPC 上部署的規則群組 (有狀態和無狀態)。對於 Amazon Route 53 Resolver DNS Firewall，在您的帳戶中指定要與您的 VPC 關聯的規則集 (規則群組)。
• 第四，透過選擇要在其中部署政策的帳戶、資源類型以及 (選擇性) 資源標籤來指定政策的範圍。
• 最後，您可以檢查以及建立政策。Firewall Manager 會跨帳戶自動將規則和保護套用於所有資源。完成後，Firewall Manager 還會顯示一個合規儀表板，指示任何不合規和合規的帳戶/資源。

問︰是否可以建立 Firewall Manager 政策，但不自動修復？

可以的，您可以在兩種模式下設定 Firewall Manager 政策 –

• 自動修復，允許您自動監控政策的偏離，並將規則套用至不合規的資源
• 手動修復，它在每個帳戶中建立新政策和關聯的規則/保護，但不強制針對帳戶的資源執行規則。建立具備手動修復功能的政策後，您可以選擇為每個本機帳戶執行手動操作，或者在任何時候編輯政策來自動修復。
  

問︰AWS Firewall Manager 可以管理多少個帳戶？

每個 Firewall Manager 政策最多可套用於 2,500 個帳戶，這是 AWS Organizations 中預設的帳戶數量限制。

問︰AWS Firewall Manager 可以管理多少個資源？

目前 Firewall Manager 管理的資源數量沒有限制。

問：是否可以建立跨區域的安全防護政策？

不可以，AWS Firewall Manager 安全防護政策有區域上的限制。每個 Firewall Manager 政策只能包含該指定 AWS 區域中的可用資源。您可以為您經營的每個區域建立新政策。

問︰是否可以從政策範圍中排除帳戶或資源？

是。您可以排除帳戶。您還可以使用標籤來指定應該從政策範圍中排除的資源。

問：什麼是 Firewall Manager 安全防護政策？

Firewall Manager 安全防護政策是一組組態，允許客戶指定需要關聯一組防火牆規則的帳戶和資源，並為每種防火牆類型自訂附加組態。Firewall Manager 目前支援 AWS WAF、AWS Shield Advanced、VPC 安全群組、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall 和 AWS Marketplace 第三方防火牆。

問︰如何查看特定政策的合規狀態？

使用 Firewall Manager 時，透過查看政策範圍內包含多少個帳戶以及這些帳戶中有多少帳戶符合要求，便能快速檢視各個政策的合規狀態。此外，在 Firewall Manager 上設定的每個政策都會有一個合規儀表板。中央合規儀表板允許您查看哪些帳戶不符合既定政策、哪些特定資源不合規，還提供特定資源不合規的原因相關資訊。 您還可以在 AWS Security Hub 上查看每個帳戶的不合規事件。

問︰AWS Firewall Manager 是否會在資源不合規時提供通知？

是，您可以建立新的 SNS 通知管道，以便在發現新的不合規資源時收到即時通知。 同樣的，在 AWS Security Hub 上，會將不合規事件通知受 Firewall Manager 政策管控的每個帳戶。

問︰如何查看整個組織的所有威脅？

針對每個建立的 Firewall Manager 政策，您可以為規則群組中的每個規則彙整 CloudWatch 指標，以此指示整個組織允許或封鎖的請求數目。這樣您便可以在集中的位置為組織的各種威脅設定提醒。