在现代企业架构中,随着云计算的普及和网络规模的扩展,安全管理变得愈发复杂。AWS 防火墙管理器(AWS Firewall Manager)应运而生,为组织提供集中化的安全策略管理工具,简化了跨账户和跨区域的防火墙规则部署。无论是保护 Amazon VPC、AWS WAF、还是第三方防火墙规则,防火墙管理器都能帮助企业快速响应威胁并提升合规性,成为企业云安全防御体系的核心组成部分。
什么是 AWS Firewall Manager?
AWS Firewall Manager 是一项安全管理服务,允许您集中配置和管理 AWS Organizations 中账户和应用程序的防火墙规则。
AWS Firewall Manager 的主要优势
- 简化账户间防火墙规则的管理
- 集中部署 VPC 保护措施
- 确保现有和新应用程序的合规性
- 轻松跨账户部署托管规则
AWS Firewall Manager 功能
- 跨 VPC 集中部署 AWS 网络防火墙
- 自动部署 Amazon VPC 安全组、AWS WAF 规则、AWS Shield Advanced 保护、AWS 网络防火墙规则和 Amazon Route 53 Resolver DNS 防火墙规则
- 多账户资源组
- 跨账户保护策略
- 分级规则执行
- 带有合规性通知的仪表板
- 审计 VPC 中现有和未来的安全组
AWS Firewall Manager 的先决条件
使用 AWS Firewall Manager 有三个强制性先决条件和一个可选先决条件。
- AWS 组织 – 您的账户必须是 AWS 组织的一部分,并且已启用所有功能。
- 设置 AWS Firewall Manager 管理员账户 – Firewall Manager 必须与您的 AWS 组织的管理账户关联,或与具有适当权限的成员账户关联。您关联的账户
- 防火墙管理器称为防火墙管理器管理员账户。
- 在账户上启用 AWS Config – 为组织中的每个成员账户启用 AWS Config。
- 启用 AWS 资源访问管理器(可选)- 要启用防火墙管理器来集中配置 AWS 网络防火墙或跨账户和 VPC 关联 Amazon Route 53 解析器 DNS 防火墙规则,您必须首先使用 AWS 资源访问管理器启用资源共享。
如何使用 AWS Firewall Manager?
- 首先,完成上面提到的先决条件。
- 其次,为 AWS WAF、AWS Shield Advanced、VPC 安全组、AWS 网络防火墙或 Amazon Route 53 Resolver DNS 防火墙创建策略类型。
- 第三,根据策略指定规则或保护集。例如,对于 AWS WAF 策略,请指定要跨账户部署的规则组(自定义或托管)。同样,对于 VPC 安全组策略,请引用要在账户内的每个资源中复制的安全组。对于 AWS 网络防火墙,请指定要在账户中的 VPC 中部署的规则组(有状态和无状态)。对于 Amazon Route 53 解析器 DNS 防火墙,请指定要与账户中的 VPC 关联的规则集(规则组)。
- 第四,通过选择要部署策略的账户、资源类型以及(可选)资源标签来指定策略的范围。
- 最后,您可以查看并创建策略。防火墙管理器会自动将规则和保护应用于所有账户的资源。
完成后,防火墙管理器还会显示合规性仪表板,指示任何不合规和合规的帐户/资源。
仪表板和可视性
如何查看特定政策的合规状态?
使用防火墙管理器,您可以快速查看每项策略的合规状态,方法是查看策略范围内包含多少个账户以及其中有多少个账户合规。此外,对于防火墙管理器上配置的每项策略,您都会获得一个合规仪表板。中央合规仪表板允许您查看哪些账户不符合给定策略,哪些特定资源不合规,还提供有关特定资源不合规原因的信息。您还可以在 AWS Security Hub 上查看每个账户的不合规事件。
当资源不合规时,AWS Firewall Manager 是否会提供通知?
是的,您可以创建新的 SNS 通知渠道,以便在发现新的不合规资源时接收实时通知。同样,作为 Firewall Manager 策略一部分的每个账户都会收到有关 AWS Security Hub 上不合规事件的通知。
如何查看整个组织的所有威胁?
对于创建的每个防火墙管理器策略,您可以汇总规则组中每个规则的 CloudWatch 指标,指示整个组织允许或阻止了多少请求。这为您提供了一个集中位置来针对整个组织的威胁设置警报。
新功能
AWS Firewall Manager 现支持 AWS Shield Advanced 自动应用程序层 DDoS 缓解
AWS Firewall Manager 现在可让您在组织内的各个账户中集中部署 AWS Shield Advanced 自动应用程序层 (L7) DDoS 保护。AWS Shield Advanced 自动 L7 DDoS 保护可阻止应用程序层 DDoS 事件,无需人工干预。通过此次发布,AWS Firewall Manager 的安全管理员现在可以使用 AWS Shield Advanced 的 Firewall Manager 安全策略在各个账户中启用自动 L7 DDoS 保护。
首先,在 Firewall Manager Shield Advanced 策略上启用自动 L7 DDoS 缓解。然后,Shield 管理的 WAF 规则组将添加到受保护资源的 WAF Web 访问控制列表 (Web ACL)。Shield Advanced 会评估它针对进入您资源的正常流量创建的每个 WAF 规则,以最大限度地减少误报,并以计数、允许或阻止模式部署它们。
