概觀
透過 Automations for AWS Firewall Manager,您可以跨所有 AWS Organizations 帳戶和資源,以自動化方式集中設定、管理和稽核防火牆規則。使用此 AWS 解決方案,您可以在整個組織中維持一致的安全狀態。
此解決方案提供預設規則,以便為 AWS WAF 設定應用程式級防火牆,稽核未使用且過於寬鬆的 Amazon Virtual Private Cloud (Amazon VPC) 安全群組,以及設定 DNS 防火牆以封鎖惡意網域的查詢。
或者,此解決方案可協助您建立防火牆安全規則的快速基準,並透過與 AWS Shield Advanced 整合來防範分散式拒絕服務 (DDoS) 攻擊。您還可以使用此功能來自動化主動事件回應,以及以運作狀態為基礎的偵測。
注意:如果您已經在您的組織中使用 Firewall Manager,則可以使用此解決方案;但是,必須在您的 Firewall Manager 管理員帳戶中安裝該解決方案。如果尚未設定 Firewall Manager,請參閱實作指南以獲取相關步驟。
優勢
使用 AWS Firewall Manager 在多帳戶 AWS 環境中,輕鬆設定和稽核 AWS WAF、DNS 和安全群組規則。
善用此解決方案來安裝使用 Firewall Manager 所需的先決條件,這樣您就可以花更多時間關注您的特定安全需求。
利用您的 AWS Shield Advanced 訂閱,在 AWS Organizations 中的帳戶之間部署 DDoS 防護、設定運作狀態檢查,以及啟用 Shield 應變小組的主動事件回應。
技術詳細資訊
您可以使用實作指南和隨附的 AWS CloudFormation 範本自動部署此架構。
該解決方案包括兩個顯示主堆疊的架構,以及一個具有 Shield Advanced 功能的選用堆疊。使用預設參數部署解決方案的所有堆疊時,會在您的 AWS 帳戶中部署下列元件。
-
主要堆疊
-
適用於 Shield Advanced 的具有自動化功能的選用堆疊
-
主要堆疊
-
按一下以放大
步驟 1︰政策管理員
Parameter Store 是 AWS Systems Manager 的一項功能,包含三個參數:/FMS/OUs、/FMS/Regions 和 /FMS/Tags。使用 Systems Manager 更新這些參數。
步驟 2
Amazon EventBridge 規則使用事件模式來擷取 Systems Manager 參數更新事件。步驟 3
EventBridge 規則將調用 AWS Lambda 函數。步驟 4
Lambda 函數跨使用者指定的 OU 安裝一組預先定義的 AWS Firewall Manager 安全政策。此外,如果您訂閱了 AWS Shield,則此解決方案會部署 Advanced 政策來防禦 DDoS 攻擊。
步驟 5
PolicyManager Lambda 函數可以從 Amazon Simple Storage Service (Amazon S3) 儲存貯體擷取政策資訊清單檔案,並使用資訊清單檔案建立 Firewall Manager 安全政策。步驟 6︰合規報告產生器
Lambda 將政策中繼資料儲存在 Amazon DynamoDB 資料表中。步驟 7
以時間為基礎的 EventBridge 規則會調用 合規產生器 Lambda 函數。步驟 8
合規產生器 Lambda 會擷取每個區域中的 Firewall Manager 政策,並在 Amazon Simple Notification Service (Amazon SNS) 主題中發佈政策 ID 的清單。步驟 9
Amazon SNS 主題會以承載 {PolicyId: string, Region: string} 調用合規產生器 Lambda 函數。步驟 10
合規產生器 Lambda 函數會為每一個政策產生合規報告,並在 S3 儲存貯體中以 CSV 格式上傳報告。步驟 1︰政策管理員
Parameter Store 是 AWS Systems Manager 的一項功能,包含三個參數:/FMS/OUs、/FMS/Regions 和 /FMS/Tags。使用 Systems Manager 更新這些參數。
步驟 2
Amazon EventBridge 規則使用事件模式來擷取 Systems Manager 參數更新事件。步驟 3
EventBridge 規則將調用 AWS Lambda 函數。步驟 4
Lambda 函數跨使用者指定的 OU 安裝一組預先定義的 AWS Firewall Manager 安全政策。此外,如果您訂閱了 AWS Shield,則此解決方案會部署 Advanced 政策來防禦 DDoS 攻擊。
步驟 5
PolicyManager Lambda 函數可以從 Amazon Simple Storage Service (Amazon S3) 儲存貯體擷取政策資訊清單檔案,並使用資訊清單檔案建立 Firewall Manager 安全政策。步驟 6︰合規報告產生器
Lambda 將政策中繼資料儲存在 Amazon DynamoDB 資料表中。步驟 7
以時間為基礎的 EventBridge 規則會調用 合規產生器 Lambda 函數。步驟 8
合規產生器 Lambda 會擷取每個區域中的 Firewall Manager 政策,並在 Amazon Simple Notification Service (Amazon SNS) 主題中發佈政策 ID 的清單。步驟 9
Amazon SNS 主題會以承載 {PolicyId: string, Region: string} 調用合規產生器 Lambda 函數。步驟 10
合規產生器 Lambda 函數會為每一個政策產生合規報告,並在 S3 儲存貯體中以 CSV 格式上傳報告。 -
適用於 Shield Advanced 的具有自動化功能的選用堆疊
-
按一下以放大
步驟 1︰政策管理員
(選用) 使用所需的值,更新透過 aws-fms-automations 範本建立的 Parameter Store 參數。建立的參數包括 /FMS/OU、/FMS/區域和 /FMS/標籤。
步驟 2
EventBridge 規則使用事件模式來擷取 Systems Manager 參數更新和 S3 上傳事件。
步驟 3
EventBridge 規則將調用 Lambda 函數。
步驟 4
Lambda 函數跨使用者指定的 OU 安裝一組預先定義的 Firewall Manager 安全政策。此外,如果您訂閱了 Shield,則此解決方案會部署 Shield Advanced 政策來防禦 DDoS 攻擊。步驟 5
PolicyManager Lambda 函數可從 S3 儲存貯體擷取政策資訊清單檔案,並使用資訊清單檔案建立 Firewall Manager 安全政策。
步驟 6:自動化以健康為基礎的偵測
組織 AWS Config 規則會擷取 AWS 組織中現有的 Shield Advanced 保護。您可透過此解決方案部署的 Firewall Manager 安全政策自動建立這些 Shield Advanced 保護,或使用 Shield 主控台來手動建立。
步驟 7
透過組織 Config 規則擷取的 Shield Advanced 保護會傳送至 ConfigRuleEval Lambda 函數進行評估。此 Lambda 函數可確定保護是否與 Amazon Route 53 運作狀態檢查關聯。
步驟 8
如果沒有與 Shield Advanced 保護關聯的 Route 53 運作狀態檢查,解決方案會將訊息發布至 Amazon SQS 佇列,請求建立運作狀態檢查來進行保護。步驟 9
ConfigRuleRemediate Lambda 函數從 Amazon SQS 佇列讀取訊息。步驟 10
ConfigRuleRemediate Lambda 函數會根據 Shield Advanced 保護所保護的資源類型,建立計算的 Route 53 運作狀態檢查。步驟 11
ConfigRuleRemediate Lambda 函數會將步驟 10 中建立的 Route 53 運作狀態檢查,與正在評估的 Shield Advanced 保護相關聯。
步驟 1︰政策管理員
(選用) 使用所需的值,更新透過 aws-fms-automations 範本建立的 Parameter Store 參數。建立的參數包括 /FMS/OU、/FMS/區域和 /FMS/標籤。
步驟 2
EventBridge 規則使用事件模式來擷取 Systems Manager 參數更新和 S3 上傳事件。
步驟 3
EventBridge 規則將調用 Lambda 函數。
步驟 4
Lambda 函數跨使用者指定的 OU 安裝一組預先定義的 Firewall Manager 安全政策。此外,如果您訂閱了 Shield,則此解決方案會部署 Shield Advanced 政策來防禦 DDoS 攻擊。步驟 5
PolicyManager Lambda 函數可從 S3 儲存貯體擷取政策資訊清單檔案,並使用資訊清單檔案建立 Firewall Manager 安全政策。
步驟 6:自動化以健康為基礎的偵測
組織 AWS Config 規則會擷取 AWS 組織中現有的 Shield Advanced 保護。您可透過此解決方案部署的 Firewall Manager 安全政策自動建立這些 Shield Advanced 保護,或使用 Shield 主控台來手動建立。
步驟 7
透過組織 Config 規則擷取的 Shield Advanced 保護會傳送至 ConfigRuleEval Lambda 函數進行評估。此 Lambda 函數可確定保護是否與 Amazon Route 53 運作狀態檢查關聯。
步驟 8
如果沒有與 Shield Advanced 保護關聯的 Route 53 運作狀態檢查,解決方案會將訊息發布至 Amazon SQS 佇列,請求建立運作狀態檢查來進行保護。步驟 9
ConfigRuleRemediate Lambda 函數從 Amazon SQS 佇列讀取訊息。步驟 10
ConfigRuleRemediate Lambda 函數會根據 Shield Advanced 保護所保護的資源類型,建立計算的 Route 53 運作狀態檢查。步驟 11
ConfigRuleRemediate Lambda 函數會將步驟 10 中建立的 Route 53 運作狀態檢查,與正在評估的 Shield Advanced 保護相關聯。