這個 AWS 解決方案有什麼作用?

透過適用於 AWS Firewall Manager 解決方案的自動化 (AWS 集中式 WAF 和 VPC 安全群組管理的後繼者),您可以跨 AWS Organizations 中的所有帳戶和資源,集中設定、管理和稽核防火牆規則。此解決方案是參考實作,可自動執行設定 AWS Firewall Manager 安全政策的程序。

此解決方案提供可在 AWS Organizations 間部署的預先設定規則,以便 (1) 為 Web 應用程式防火牆 (WAF) 設定應用程式級防火牆,(2) 稽核未使用且過於寬鬆的 Virtual Private Cloud (VPC) 安全群組,(3) 以及設定 DNS 防火牆以封鎖惡意網域的查詢。它允許您自動開啟使用 Firewall Manager 所需的先決條件,因此您可以花費更多時間專注於特定的安全需求。

此解決方案可協助 AWS 企業客戶跨 3-7 層資源建立防火牆安全規則的快速基準,並在其組織內保持一致的安全狀態。此外,此解決方案為訂閱 AWS Shield Advanced 的客戶部署 Shield Advanced 政策,以防止對其 AWS 帳戶進行分散式拒絕服務 (DDoS) 攻擊。

注意:此解決方案必須安裝在您的 Firewall Manager 管理員帳戶中。如果尚未設定 Firewall Manager,請參閱實作指南以獲取相關步驟。

優勢

設定 WAF、DNS 和安全群組政策

使用 AWS Firewall Manager 在多帳戶 AWS 環境中,輕鬆設定和稽核 WAF、DNS 和安全群組規則。

自動執行 AWS Firewall Manager 安裝

充分利用此解決方案來安裝使用 AWS Firewall Manager 所需的前提條件。

跨帳戶部署 DDoS 保護機制

空白
充分利用您的 AWS Shield Advanced 訂閱,在 AWS Organizations 中的各個帳戶間部署 DDoS 保護機制。

AWS 解決方案概觀

下圖顯示您可以使用解決方案的實作指南和隨附的 AWS CloudFormation 範本來自動部署的架構。

適用於 AWS Organizations 的 AWS Firewall Manager 自動化 | 架構圖表
 按一下以放大

適用於 AWS Firewall Manager 解決方案架構的自動化

此架構可以分類為兩個單獨的工作流程:政策管理員和合規報告產生器。

政策管理員

部署 AWS CloudFormation 範本時,將會建立一個包含三個參數的 AWS Systems Manager Parameter Store 參數存放區,每個參數均為預設值。建立的參數包括 /FMS/OU、/FMS/區域和 /FMS/標籤。

1.您可以使用 Systems Manager 更新這些參數:      

  • 對於 /FMS/OUs 參數,請新增組織單位 ID,以套用為多個 OU 設定的政策和規則。      
  • 對於 /FMS/Regions 參數,請指定 AWS 區域名稱。
  • 對於 /FMS/Tags 標籤,請建立納入和排除標籤,並將標籤新增到帳戶內的特定資源,以指定政策和規則集應該或不應該套用到哪些資源。 

2.Amazon EventBridge 規則使用事件模式來擷取 System Manager 參數更新事件。

3.Amazon EventBridge 規則將叫用 AWS Lambda 函數。

4.Lambda 函數跨使用者指定的 OU 安裝一組預先定義的 AWS Firewall Manager 安全政策。這些政策包括由 AWS 受管規則集和 VPC 安全群組稽核政策組成的 AWS WAF Web ACL。此外,如果您訂閱了 AWS Shield Advanced,則此解決方案會部署進階政策來防禦分散式拒絕服務 (DDoS) 攻擊。

5.PolicyManager Lambda 函數可以從 Amazon S3 儲存貯體擷取政策資訊清單檔案,並使用資訊清單檔案建立 AWS Firewall Manager 安全政策。

6.AWS Lambda 將政策中繼資料儲存在 Amazon DynamoDB 資料表中。如需已安裝的政策和規則集的完整清單,以及有關建議政策預設結果及其包含在什麼位置的資訊。

合規報告產生器

在部署 CloudFormation 堆疊時,會建立以時間為基礎的 Amazon CloudWatch Events 規則、Lambda 函數、SNS 主題,和 Amazon S3 儲存貯體。

1.以時間為基礎的 Amazon EventBridge 規則會叫用合規產生器 Lambda 函數。

2.合規產生器 Lambda 會擷取每個區域中的 Firewall Manager 政策,並在 SNS 主題中發佈政策 ID 的清單。

3.SNS 主題會以酬載 {PolicyId: string, Region: string} 叫用合規產生器 Lambda 函數。

4.合規產生器會為每一個政策產生合規報告,並在 S3 儲存貯體中以 CSV 格式上傳報告。

AWS Firewall Manager 自動化

2.0.2 版
上次更新日期:2022 年 5 月
作者:AWS

預計部署時間:3 分鐘

使用下面的按鈕訂閱解決方案更新。

注意:若要訂閱 RSS 更新,您必須為正在使用的瀏覽器啟用 RSS 外掛程式。 

此解決方案實作是否對您有幫助?
提供意見回饋 
建立圖示
自行部署解決方案

瀏覽我們的 AWS 解決方案實作庫,獲取常見架構問題的答案。

進一步了解 
尋找 APN 合作夥伴
尋找 APN 合作夥伴

尋找 AWS 認證的諮詢與技術合作夥伴協助您入門。

進一步了解 
探索圖示
探索解決方案諮詢產品

瀏覽我們的諮詢產品組合,獲取經過 AWS 審核的解決方案部署協助。

進一步了解