AWS Firewall Manager 常見問答集

頁面主題

一般問題
6
啟用 AWS Firewall Manager
8
儀表板和可見性
3

一般問題

AWS Firewall Manager 是一種安全管理服務,可讓您在 AWS Organization 中跨帳戶和應用程式集中設定和管理防火牆規則。隨著新應用程式的建立,Firewall Manager 透過強制執行一組通用的安全規則,輕鬆讓新應用程式和資源合規。現在,您可以使用單一服務來建立防火牆規則、建立安全政策,並在整個基礎架構中以一致、分層的方式加以執行。

AWS Firewall Manager 已經與 AWS Organizations 整合,因此您可從單一位置跨多個 AWS 帳戶和資源啟用 AWS WAF 規則、AWS Shield Advanced 保護、VPC 安全群組和 AWS Network Firewall 和 Amazon Route 53 Resolver DNS Firewall 規則。Firewall Manager 會監控新資源或已建立的帳戶,以確保它們從一開始便符合一組強制性的安全政策。您可組合規則、建立政策並集中在整個基礎架構中套用這些政策。例如,您可在帳號內委派建立專用規則,同時依然留有在所有帳號實施全球安全政策的能力。您的安全團隊可以收到有關組織受到威脅的通知,以便他們能夠做出反應並快速阻擋攻擊。

Firewall Manager 也與 AWS WAF 受管規則整合,讓您在應用程式前部署預先配置的 WAF 規則時更為便捷。

安全管理員可以利用 Firewall Manager 為 Amazon VPC 中的 EC2 執行個體、Application Load Balancer 和彈性網路界面 (ENI) 套用基準安全群組規則集。同時,您還可以稽核 VPC 中的任何現有安全群組是否存在過於寬鬆的規則,並可以從單一位置進行補救。

您可以利用 Firewall Manager 在您組織中的所有 VPC 上集中部署 AWS Network Firewall 端點和關聯的規則,以控制離開和進入您網路的流量。 同時,您還可以使用 Firewall Manager,將您帳戶中的 VPC 與 Route 53 Resolver DNS Firewall 規則關聯,以封鎖對已知惡意網域進行的 DNS 查詢並允許對受信任網域的查詢。

藉助 AWS Firewall Manager,您可以跨組織中的帳戶和資源集中設定 AWS WAF 規則、AWS Shield Advanced 保護、Amazon 虛擬私有雲端 (VPC) 安全群組、網路存取控制清單 (ACL)、AWS Network Firewall 和 Amazon Route 53 Resolver DNS Firewall 規則。

使用 AWS Firewall Manager 時,您可以 

  • 輕鬆集中設定 Application Load Balancer、API 閘道和 Amazon CloudFront 分發的 AWS WAF 規則。 
  • 您可以為 Application Load Balancer 和 ELB Classic Load Balancer、彈性 IP 地址或 CloudFront 分發建立 AWS Shield Advanced 保護。 
  • 您可以為 Amazon EC2、Application Load Balancer (ALB) 和 ENI 資源類型設定新的 Amazon Virtual Private Cloud (VPC) 安全群組並稽核任何現有安全群組。 
  • 您還可以跨組織中的帳戶和 VPC 部署 AWS Network Firewall。
  • 最後,藉助 AWS Firewall Manager,您還可以跨組織中的 VPC 與 Amazon Route 53 Resolvers DNS Firewall 規則關聯。
  • 您可以為 VPC 子網路設定新的 Amazon 虛擬私有雲端 (VPC) 網路存取控制清單 (ACL)。

這裡提供 AWS Firewall Manager 的定價。

請參閱 AWS 區域表,了解目前提供 AWS Firewall Manager 的區域。

啟用 AWS Firewall Manager

若要使用 AWS Firewall Manager,需要滿足三個必要先決條件和一個選擇性先決條件。

  • AWS Organizations – 您的帳戶必須是 AWS Organizations 的一部分,並且已啟用所有功能。如需詳細資訊,請參閱 AWS Organizations 文件
  • 設定 AWS Firewall Manager 管理員帳戶 – AWS Firewall Manager 必須與您 AWS Organization 的管理帳戶關聯,或與具有適當許可的成員帳戶關聯。與 Firewall Manager 關聯的帳戶稱為 Firewall Manager 管理員帳戶。請參閱文件指南了解詳細資訊。
  • 在帳戶上啟用 AWS Config – 為組織中的每個成員帳戶啟用 AWS Config。請參閱 AWS Config 文件
  • 啟用 AWS Resource Access Manager (選擇性) – 若要讓 Firewall Manager 能夠跨帳戶和 VPC 集中設定 AWS Network Firewall 或與 Amazon Route 53 Resolver DNS Firewall 規則關聯,必須首先使用 AWS Resource Access Manager 啟用資源共享。
  • 第一,符合上述先決條件。
  • 其次,針對 AWS WAF、AWS Shield Advanced、VPC 安全群組、AWS Network Firewall 或 Amazon Route 53 Resolver DNS Firewall 建立政策類型。
  • 第三,根據政策指定一組規則或保護。例如,對於 AWS WAF 政策,指定要在多個帳戶中部署的規則群組 (自訂或受管)。同樣的,對於 VPC 安全群組政策,在帳戶中的每個資源中引用要複寫的安全群組。對於 AWS Network Firewall,指定要在您帳戶中各 VPC 上部署的規則群組 (有狀態和無狀態)。對於 Amazon Route 53 Resolver DNS Firewall,在您的帳戶中指定要與您的 VPC 關聯的規則集 (規則群組)。
  • 第四,透過選擇要在其中部署政策的帳戶、資源類型以及 (選擇性) 資源標籤來指定政策的範圍。
  • 最後,您可以檢查以及建立政策。Firewall Manager 會跨帳戶自動將規則和保護套用於所有資源。完成後,Firewall Manager 還會顯示一個合規儀表板,指示任何不合規和合規的帳戶/資源。

可以的,您可以在兩種模式下設定 Firewall Manager 政策 –

  • 自動修復,允許您自動監控政策的偏離,並將規則套用至不合規的資源
  • 手動修復,它在每個帳戶中建立新政策和關聯的規則/保護,但不強制針對帳戶的資源執行規則。建立具備手動修復功能的政策後,您可以選擇為每個本機帳戶執行手動操作,或者在任何時候編輯政策來自動修復。

每個 Firewall Manager 政策最多可套用於 2,500 個帳戶,這是 AWS Organizations 中預設的帳戶數量限制。

目前 Firewall Manager 管理的資源數量沒有限制。

不可以,AWS Firewall Manager 安全防護政策有區域上的限制。每個 Firewall Manager 政策只能包含該指定 AWS 區域中的可用資源。您可以為您經營的每個區域建立新政策。

是。您可以排除帳戶。您還可以使用標籤來指定應該從政策範圍中排除的資源。

Firewall Manager 安全防護政策是一組組態,允許客戶指定需要關聯一組防火牆規則的帳戶和資源,並為每種防火牆類型自訂附加組態。Firewall Manager 目前支援 AWS WAF、AWS Shield Advanced、VPC 安全群組、AWS Network Firewall、Amazon Route 53 Resolver DNS Firewall 和 AWS Marketplace 第三方防火牆。

儀表板和可見性

使用 Firewall Manager 時,透過查看政策範圍內包含多少個帳戶以及這些帳戶中有多少帳戶符合要求,便能快速檢視各個政策的合規狀態。此外,在 Firewall Manager 上設定的每個政策都會有一個合規儀表板。中央合規儀表板允許您查看哪些帳戶不符合既定政策、哪些特定資源不合規,還提供特定資源不合規的原因相關資訊。 您還可以在 AWS Security Hub 上查看每個帳戶的不合規事件。

是,您可以建立新的 SNS 通知管道,以便在發現新的不合規資源時收到即時通知。 同樣的,在 AWS Security Hub 上,會將不合規事件通知受 Firewall Manager 政策管控的每個帳戶。

針對每個建立的 Firewall Manager 政策,您可以為規則群組中的每個規則彙整 CloudWatch 指標,以此指示整個組織允許或封鎖的請求數目。這樣您便可以在集中的位置為組織的各種威脅設定提醒。