セキュリティ管理者は Firewall Manager を使って、AWS Network Firewall のファイアウォールルールをデプロイし、アカウントと Amazon VPC 間でネットワークを出入りするトラフィックを 1 か所から制御できます。一元的に設定したルールのセットへの変更が、アカウントと VPC に自動的にデプロイされます。これにより、セキュリティ管理者は組織内に新しいアカウントと VPC が作成された場合でも、組織全体で一元的に義務付けられたファイアウォールルールを一貫して適用できます。同時に、Firewall Manager は、Network Firewall 保護が欠落している VPC やアカウントなどの非準拠の問題も報告します。
ポリシーは既存の AWS リソースや新たに作成する AWS リソースに対して自動的に適用できるので、全社でファイアウォールルールへのコンプライアンスを確保できます。AWS Firewall Manager では、AWS WAF ルールに加えて AWS WAF のマネージドルールを、Application Load Balancer、API Gateway、Amazon CloudFront アカウントに適用できます。アプリケーションまたは Classic Load Balancer、Elastic IP アドレスまたは CloudFront ディストリビューションに AWS Shield Advanced 保護を適用できます。同様に、AWS Firewall Manager を使用して、VPC の EC2 インスタンス上に共通の主要セキュリティグループを作成できます。 Firewall Manager により、Network Firewall エンドポイントと関連するルールを VPC に自動的にデプロイできます。同時に、Firewall Manager により VPC を Route 53 Resolver DNS Firewall ルールに自動的に関連付けることができます。新規作成のリソースに自動的にルールを適用する、または新規リソースが作成されたときに通知を受けるように選択できます。
AWS Firewall Manager 内では、リソースをアカウント、リソースタイプ、タグによってグループ分けできます。お客様のセキュリティチームが特定グループ内の全リソース、または会社内の全アカウント内の全リソースに対してポリシーを作成することが容易になります。
AWS Firewall Manager は AWS Organizations と統合して AWS 組織内のアカウントのリストを自動的に取得するため、アカウント全体のリソースをグループ分けすることが可能になります。まず、保護ポリシーを構築し、これがリソースのグループを定義し、このグループをポリシーと関連付けます。次に、特定の AWS アカウント群、または組織の全アカウントをカバーするポリシーの範囲を指定します。これで Firewall Manager はポリシーの範囲に基づいたアカウント内のリソースのみに保護をデプロイします。
AWS Firewall Manager では階層的に保護ポリシーを適用できるので、一定のルールを一元的に適用する機能を維持しながら、アプリケーション固有のルールの作成を委任できます。一元的に適用されるルールは、偶発的な削除や誤操作がないか常に監視されているため、一貫して適用されます。
AWS Firewall Manager には目で見えるダッシュボードがありますので、どの AWS リソースが保護され、どのリソースがコンプライアンスに外れているかを見て、適切な手を打つことができます。また設定に変更があった場合は SNS 通知ストリームで通知を受けることができます。
AWS Firewall Manager を使用すると、VPC 全体でセキュリティグループが許可/禁止されているアクションを定義するルールを設定するポリシーの作成が可能になります。AWS Firewall Manager は継続的にセキュリティグループをモニタリングし、重複する過度に甘いルールを検出します。ルールに準拠していないアカウントやリソースの通知を受けることも、あるいは AWS Firewall Manager が自動修復を使って直接アクションを取れるようにすることもできます。
AWS Firewall Manager は、組織内のすべての仮想プライベートクラウド (VPC) において、AWS Marketplace でサブスクライブしたサードパーティークラウドファイアウォールを集中的にデプロイ、モニタリングすることが可能です。このサービスは、AWS ネイティブファイアウォールと AWS Marketplace でサブスクライブされたサードパーティーファイアウォールの両方をデプロイし管理する、単一のファイアウォール管理ソリューションです。組織内で新しいアカウントや VPC が作成されても、ファイアウォールのクロスアカウントデプロイ、ルールの関連付け、VPC 経路の設定を自動化することが可能です。