在现代企业架构中,随着云计算的普及和网络规模的扩展,安全管理变得愈发复杂。AWS 防火墙管理器(AWS Firewall Manager)应运而生,为组织提供集中化的安全策略管理工具,简化了跨账户和跨区域的防火墙规则部署。无论是保护 Amazon VPC、AWS WAF、还是第三方防火墙规则,防火墙管理器都能帮助企业快速响应威胁并提升合规性,成为企业云安全防御体系的核心组成部分。
什麼是AWS Firewall Manager?
AWS Firewall Manager 是一項安全管理服務,可讓您集中設定和管理AWS Organizations 中帳戶和應用程式的防火牆規則。
AWS Firewall Manager 的主要優勢
- 簡化帳戶間防火牆規則的管理
- 集中部署VPC 保護措施
- 確保現有和新應用程式的合規性
- 輕鬆跨帳戶部署託管規則
AWS Firewall Manager 功能
- 跨VPC 集中部署AWS 網路防火牆
- 自動部署Amazon VPC 安全群組、AWS WAF 規則、AWS Shield Advanced 保護、AWS 網路防火牆規則和Amazon Route 53 Resolver DNS 防火牆規則
- 多帳戶資源組
- 跨帳戶保護策略
- 分級規則執行
- 帶有合規性通知的儀表板
- 審計VPC 中現有和未來的安全群組
AWS Firewall Manager 的先決條件
使用AWS Firewall Manager 有三個強制性先決條件和一個可選先決條件。
- AWS 組織– 您的帳戶必須是AWS 組織的一部分,並且已啟用所有功能。
- 設定AWS Firewall Manager 管理員帳戶– Firewall Manager 必須與您的AWS 組織的管理帳戶關聯,或與具有適當權限的成員帳戶關聯。您關聯的帳戶
- 防火牆管理器稱為防火牆管理器管理員帳戶。
- 在帳戶上啟用AWS Config – 為組織中的每個成員帳戶啟用AWS Config。
- 啟用AWS 資源存取管理器(選用)- 若要啟用防火牆管理器來集中設定AWS 網路防火牆或跨帳戶和VPC 關聯Amazon Route 53 解析器DNS 防火牆規則,您必須先使用AWS 資源存取管理器啟用資源共用。
如何使用AWS Firewall Manager?
- 首先,完成上面提到的先決條件。
- 其次,為AWS WAF、AWS Shield Advanced、VPC 安全群組、AWS 網路防火牆或Amazon Route 53 Resolver DNS 防火牆建立政策類型。
- 第三,依策略指定規則或保護集。例如,對於AWS WAF 策略,請指定要跨帳戶部署的規則群組(自訂或託管)。同樣,對於VPC 安全群組原則,請引用要在帳戶內的每個資源中複製的安全群組。對於AWS 網路防火牆,請指定要在帳戶中的VPC 中部署的規則群組(有狀態和無狀態)。對於Amazon Route 53 解析器DNS 防火牆,請指定要與帳戶中的VPC 關聯的規則集(規則群組)。
- 第四,透過選擇要部署策略的帳戶、資源類型以及(可選)資源標籤來指定策略的範圍。
- 最後,您可以查看並建立策略。防火牆管理器會自動將規則和保護套用至所有帳戶的資源。
完成後,防火牆管理器也會顯示合規性儀表板,指示任何不合規和合規的帳戶/資源。
儀表板和可視性
如何查看特定政策的合規狀態?
使用防火牆管理器,您可以快速查看每項策略的合規狀態,方法是查看策略範圍內包含多少帳戶以及其中有多少帳戶合規。此外,對於防火牆管理器上配置的每項策略,您都會獲得一個合規儀表板。中央合規儀表板可讓您查看哪些帳戶不符合給定策略,哪些特定資源不合規,還提供有關特定資源不合規原因的資訊。您也可以在AWS Security Hub 上查看每個帳戶的不合規事件。
當資源不合規時,AWS Firewall Manager 是否會提供通知?
是的,您可以建立新的SNS 通知管道,以便在發現新的不合規資源時接收即時通知。同樣,作為Firewall Manager 策略一部分的每個帳戶都會收到有關AWS Security Hub 上不合規事件的通知。
如何查看整個組織的所有威脅?
對於建立的每個防火牆管理員策略,您可以匯總規則群組中每個規則的CloudWatch 指標,指示整個組織允許或封鎖了多少請求。這為您提供了一個集中位置來針對整個組織的威脅設定警報。
新功能
AWS Firewall Manager 目前支援AWS Shield Advanced 自動應用程式層DDoS 緩解
AWS Firewall Manager 現在可讓您在組織內的各個帳戶中集中部署AWS Shield Advanced 自動應用程式層(L7) DDoS 保護。 AWS Shield Advanced 自動L7 DDoS 保護可阻止應用程式層DDoS 事件,無需手動幹預。透過此發布,AWS Firewall Manager 的安全性管理員現在可以使用AWS Shield Advanced 的Firewall Manager 安全性原則在各個帳戶中啟用自動L7 DDoS 保護。
首先,在Firewall Manager Shield Advanced 政策上啟用自動L7 DDoS 緩解。然後,Shield 管理的WAF 規則群組將會新增至受保護資源的WAF Web 存取控制清單(Web ACL)。 Shield Advanced 會評估它針對進入您資源的正常流量所建立的每個WAF 規則,以最大限度地減少誤報,並以計數、允許或阻止模式部署它們。
