跨 VPC 集中部署 AWS Network Firewall
借助 Firewall Manager,您的安全管理員可以為 AWS Network Firewall 部署防火牆規則,以從單一位置控制跨帳戶和 Amazon VPC 進出您網路的流量。對集中設定的規則集所做的任何變更都會自動部署到您的帳戶和 VPC。這樣,即使在您的組織中建立了新帳戶和 VPC,安全管理員也可以在整個組織中一致地執行集中授權的防火牆規則。同時,Firewall Manager 還會報告不合規的問題,包括缺少網路防火牆保護的任何 VPC 和帳戶。
自動部署 Amazon VPC 安全群組、VPC 網路存取控制清單 (ACL)、AWS WAF 規則、AWS Shield Advanced 保護、AWS Network Firewall 規則和 Amazon Route 53 Resolver DNS Firewall 規則
您可以自動對目前已存在或將來建立的 AWS 資源執行政策,以確保符合整個組織的防火牆規則。AWS Firewall Manager 讓客戶可以對 Application Load Balancer、API 閘道和 Amazon CloudFront 帳戶,套用 AWS WAF 規則以及 AWS WAF 受管規則。您可以對 Application Load Balancer 或 Classic Load Balancer、彈性 IP 位址或 CloudFront 分發套用 AWS Shield Advanced 保護。同樣,您可以使用 AWS Firewall Manager 為 EC2 執行個體建立一個通用的主要安全群組,或為 VPC 中的子網路建立一個網路存取控制清單 (ACL)。 使用 Firewall Manager,您可以為 VPC 自動部署 Network Firewall 端點和關聯的規則。同時,Firewall Manager 還可讓您將 VPC 與 Route 53 Resolver DNS Firewall 關聯。您可以選擇自動對新建立的資源執行規則,或在建立新資源時收到通知。
多帳戶資源群組
在 AWS Firewall Manager 中,您可以按帳戶、資源類型和標籤對資源進行分組。您的安全團隊可以為特定群組內的所有資源或組織內的帳戶建立政策。
跨帳戶保護政策
AWS Firewall Manager 與 AWS Organizations 整合之後,將自動擷取 AWS 組織中的帳戶清單,讓您可以進行跨帳戶的資源分組。首先,您要擬定保護政策,透過政策定義資源群組並將該群組與您的政策產生關聯。然後,指定政策的範圍,以涵蓋一組特定的 AWS 帳戶或所有組織的帳戶。Firewall Manager 將根據政策範圍,只在帳戶中的資源部署保護。
執行分層規則
AWS Firewall Manager 允許您以分層方式套用保護政策,因此您可以委派他人建立應用程式特定規則,同時保留集中執行某些規則的能力。集中套用的規則會受到持續的監控,以防止意外移除或被不當處理,因此可確保這些規則能一致地套用。
具備合規通知功能的儀表板
AWS Firewall Manager 提供一個視覺化儀表板,您可以在其中快速查看哪些 AWS 資源受到保護、找出不合規的資源,並採取適當的應對措施。當組態有任何變更時,您也可以透過 SNS 通知串流收到通知。
稽核 VPC 中現有和未來的安全群組
使用 AWS Firewall Manager,您可以建立政策來設定定義允許/禁止哪些安全群組通過您 VPC 的防護。AWS Firewall Manager 持續監控安全群組,以偵測過於寬鬆的規則,並協助改善防火牆狀態。您可以取得不合規帳戶和資源的通知,或允許 AWS Firewall Manager 直接透過自動修復採取行動。
AWS Marketplace 第三方防火牆支援
AWS Firewall Manager 允許您跨組織中的所有虛擬私有雲端 (VPC),集中部署和監控 AWS Marketplace 訂閱的第三方雲端防火牆。該服務是一項單一防火牆管理解決方案,用於部署和管理 AWS 原生防火牆和 AWS Marketplace 訂閱的第三方防火牆。即使在您的組織中建立了新帳戶和 VPC,您仍然可以自動跨帳戶部署防火牆、關聯規則和設定 VPC 路由。