Preguntas frecuentes sobre AWS Firewall Manager

Aspectos generales

AWS Firewall Manager es un servicio de administración de seguridad que permite la configuración y administración centralizadas de reglas de firewall en todas las cuentas y aplicaciones en AWS Organization. A medida que se crean nuevas aplicaciones, Firewall Manager facilita la incorporación de nuevos recursos y aplicaciones en conformidad aplicando un conjunto común de reglas de seguridad. Ahora cuenta con un único servicio para generar reglas de firewall, crear políticas de seguridad y ponerlas en práctica de una manera coherente y jerárquica en toda la infraestructura.

AWS Firewall Manager está integrado en AWS Organizations para que pueda habilitar reglas de AWS WAF, protecciones de AWS Shield Avanzado, grupos de seguridad de VPC, AWS Network Firewalls y reglas de firewall de DNS de Amazon Route 53 Resolver en varias cuentas y recursos de AWS desde un solo lugar. Firewall Manager monitorea los recursos nuevos o las cuentas creadas para garantizar que cumplan con un conjunto obligatorio de políticas de seguridad desde el primer día. Puede agrupar reglas, crear políticas e implementar estas últimas de manera centralizada en toda su infraestructura. Por ejemplo, puede delegar la creación de reglas específicas de aplicaciones dentro de una cuenta y, al mismo tiempo, retener la capacidad para implementar políticas de seguridad globales en las cuentas. Su equipo de seguridad puede recibir notificaciones sobre amenazas a la organización que permitan responder y mitigar un ataque rápidamente.

Firewall Manager también está integrado con las reglas administradas para AWS WAF, lo que ofrece una forma sencilla de implementar reglas preconfiguradas de WAF frente a sus aplicaciones.

Los administradores de seguridad pueden aprovechar Firewall Manager a fin de aplicar un conjunto básico de reglas de grupo de seguridad para instancias EC2, balanceadores de carga de aplicaciones e interfaces de red elásticas (ENI) en sus VPC de Amazon. Al mismo tiempo, también puede auditar cualquier grupo de seguridad existente en las VPC en busca de reglas excesivamente permisivas y corregirlas desde un solo lugar.

Puede aprovechar Firewall Manager para implementar los puntos de enlace de AWS Network Firewall y las reglas asociadas en las VPC de su organización de forma centralizada, a fin de controlar el tráfico que entra y sale de su red. A la vez, con Firewall Manager, también puede usar Firewall Manager para asociar sus VPC a través de sus cuentas con las reglas de firewall de DNS de Route 53 Resolver a fin de bloquear consultas de DNS que se realizan para dominios maliciosos conocidos y permitir consultas de dominios de confianza.

Con AWS Firewall Manager, puede configurar de forma centralizada las reglas de AWS WAF, las protecciones de AWS Shield Avanzado, los grupos de seguridad de Amazon Virtual Private Cloud (VPC) y las listas de control de acceso (ACL) a la red, los firewalls de red de AWS Network Firewall y las reglas del firewall de DNS de Amazon Route 53 Resolver en las cuentas y los recursos de su organización.

Con AWS Firewall Manager, puede 

  • implementar de forma fácil y centralizada reglas de AWS WAF para sus balanceadores de carga de aplicaciones, gateways de API y distribuciones de Amazon CloudFront. 
  • Puede crear protecciones de AWS Shield Advanced para sus balanceadores de carga de aplicaciones y balanceadores de carga clásicos de ELB, direcciones IP elásticas y distribuciones de CloudFront. 
  • Puede configurar nuevos grupos de seguridad de Amazon Virtual Private Cloud (VPC) y auditar cualquier grupo de seguridad existente para sus tipos de recursos de Amazon EC2, de balanceadores de carga de aplicaciones (ALB) y de ENI. 
  • También puede implementar firewalls de red de AWS en todas las cuentas y VPC de su organización.
  • Por último, con AWS Firewall Manager, también puede asociar reglas de firewall de DNS de Amazon Route 53 Resolver en las VPC de su organización.
  • Puede configurar nuevas listas de control de acceso (ACL) a la red de Amazon Virtual Private Cloud (VPC) para sus subredes de VPC.

Los precios de AWS Firewall Manager están disponibles aquí.

Visite la Tabla de regiones de AWS para consultar la disponibilidad actual por regiones de AWS Firewall Manager.

Habilitación de AWS Firewall Manager

Hay tres requisitos previos obligatorios y uno opcional para utilizar AWS Firewall Manager.

  • AWS Organizations: sus cuentas deben ser parte de AWS Organizations y tener habilitadas todas las características. Consulte la documentación de AWS Organizations para obtener más detalles.
  • Establezca la cuenta de administrador de AWS Firewall Manager: Firewall Manager debe estar asociado a la cuenta de administración de su organización de AWS o asociado a una cuenta de miembro que tenga los permisos correspondientes. La cuenta que asocia con Firewall Manager se denomina la cuenta de administrador de Firewall Manager. Para obtener más información, consulte la guía de documentación.
  • Habilite AWS Config en las cuentas: habilite AWS Config para cada uno de los miembros de su organización. Consulte la documentación de AWS Config.
  • Habilite AWS Resource Access Manager (opcional): para permitir que Firewall Manager configure de forma centralizada AWS Network Firewall o asocie las reglas del firewall de DNS de Amazon Route 53 Resolver entre cuentas y VPC, primero debe habilitar el uso compartido de recursos con AWS Resource Access Manager.
  • Primero, complete los requisitos previos mencionados anteriormente.
  • En segundo lugar, cree un tipo de política para AWS WAF, AWS Shield Advanced, grupos de seguridad de VPC, AWS Network Firewall o firewall de DNS de Amazon Route 53 Resolver.
  • En tercer lugar, según la política, especifique el conjunto de reglas o protecciones. Por ejemplo, para una política de AWS WAF, especifique los grupos de reglas (personalizados o administrados) que desea implementar en las cuentas. De manera similar, para una política de grupo de seguridad de VPC, haga referencia al grupo de seguridad que desea replicar en cada recurso dentro de las cuentas. Para AWS Network Firewall, especifique los grupos de reglas (con estado y sin estado) que desea implementar en las VPC de las cuentas. Para el firewall de DNS de Amazon Route 53 Resolver, especifique el conjunto de reglas (grupos de reglas) que desea asociar con las VPC en sus cuentas.
  • En cuarto lugar, especifique el alcance de la política mediante la elección de las cuentas, el tipo de recurso y, opcionalmente, las etiquetas de recurso, donde desea que se implemente la política.
  • Finalmente, puede revisar y crear la política. Firewall Manager aplicará automáticamente las reglas y protecciones a todos los recursos en todas las cuentas. Una vez que se completa, Firewall Manager también muestra un panel de cumplimiento que indica las cuentas o los recursos que no cumplen con los requisitos y los que sí.

Sí, puede configurar una política de Firewall Manager en dos modos:

  • Resolución automática, que le permite monitorear automáticamente los cambios en la política y aplicar reglas sobre recursos que no cumplen con los requisitos.
  • Resolución manual, que crea una nueva política y las reglas o protecciones asociadas en cada cuenta, pero no aplica las reglas sobre los recursos de la cuenta. Después de que la política se crea con la resolución manual, puede optar por realizar acciones manuales para cada cuenta local o, en cualquier momento, puede editar la política a fin de corregir automáticamente.

Cada política de Firewall Manager puede tener un alcance máximo de 2500 cuentas, que es el límite predeterminado para la cantidad de cuentas en AWS Organizations.

No hay un límite en la cantidad de recursos administrados por Firewall Manager en este momento.

No, las políticas de seguridad de AWS Firewall Manager son específicas de cada región. Cada política de Firewall Manager solo puede incluir recursos disponibles en esa región de AWS especificada. Puede crear una nueva política para cada región donde opera.

Sí. Puede excluir cuentas. También puede usar etiquetas para especificar los recursos que deben excluirse del alcance de la política.

La política de seguridad de Firewall Manager es un conjunto de configuraciones que permiten a los clientes especificar las cuentas y los recursos que deben asociarse a un conjunto de reglas de firewall, con configuraciones adicionales personalizadas para cada tipo de firewall. Firewall Manager es compatible actualmente con AWS WAF, AWS Shield Avanzado, grupos de seguridad de VPC, AWS Network Firewall, Firewall de DNS de Amazon Route 53 Resolver y firewalls de terceros de AWS Marketplace.

Panel y visibilidad

Con Firewall Manager puede ver rápidamente el estado de cumplimiento de cada política al observar cuántas cuentas se incluyen en el alcance de la política y cuántas de ellas cumplen con los requisitos. Además, para cada política configurada en Firewall Manager, obtiene un panel de conformidad. El panel de conformidad central le permite ver qué cuentas no cumplen con una determinada política, qué recursos específicos no son compatibles y también proporciona información sobre la razón por la cual un recurso en particular no cumple con los requisitos. También puede ver los eventos que no sean compatibles para cada cuenta en AWS Security Hub.

Sí, puede crear nuevos canales de notificación SNS para recibir notificaciones en tiempo real cuando se descubren nuevos recursos que no cumplen con los requisitos. De manera similar, cada cuenta incluida en el alcance de una política de Firewall Manager recibe una notificación de los eventos que no cumplen con los requisitos en AWS Security Hub.

Para cada política de Firewall Manager que se crea, puede agregar métricas de CloudWatch para cada regla en el grupo de reglas, lo que indica cuántas solicitudes se admitieron o bloquearon en toda la organización. Esto le proporciona un lugar central para configurar alertas de amenazas en toda su organización.