Eine AWS Firewall Manager Richtlinie erstellen

Die Schritte zum Erstellen einer Richtlinie variieren zwischen den verschiedenen Richtlinientypen. Stellen Sie sicher, dass Sie das Verfahren für den gewünschten Richtlinientyp verwenden.

Wichtig

AWS Firewall Manager unterstützt Amazon Route 53 nicht oder AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen möchten, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in AWS Shield Advanced Schutz für Ressourcen hinzufügen AWS.

Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF

In einer Firewall Manager AWS WAF Manager-Richtlinie können Sie verwaltete Regelgruppen verwenden, die AWS von AWS Marketplace Verkäufern für Sie erstellt und verwaltet werden. Sie können auch eigene Regelgruppen erstellen und verwenden. Weitere Informationen zu Regelgruppen finden Sie unter AWS WAF Regelgruppen.

Wenn Sie Ihre eigenen Regelgruppen verwenden möchten, erstellen Sie diese, bevor Sie Ihre Firewall Manager AWS WAF Manager-Richtlinie erstellen. Anleitungen finden Sie unter Verwaltung Ihrer eigenen Regelgruppen. Um eine einzelne benutzerdefinierte Regel verwenden zu können, müssen Sie eine eigene Regelgruppe definieren, Ihre Regel darin definieren und dann die Regelgruppe in der Richtlinie verwenden.

Informationen zu den AWS WAF Richtlinien von Firewall Manager finden Sie unterAWS WAF Richtlinien.

So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS WAF (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie unter Policy type (Richtlinientyp) die Option AWS WAF.

5. Wählen Sie für Region eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie Global.

   Um Ressourcen in mehreren Regionen (außer CloudFront Verteilungen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

6. Wählen Sie Weiter aus.

7. Geben Sie als Richtlinienname einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen der Web-ACLs auf, die er verwaltet. Auf die Web-ACL-Namen FMManagedWebACLV2- folgten der Richtlinienname, den Sie hier eingeben-, und der Zeitstempel für die Erstellung der Web-ACL in UTC-Millisekunden. z. B. FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

8. Bei der Körperinspektion von Webanfragen können Sie optional die Körpergrößenbeschränkung ändern. Informationen zu Größenbeschränkungen bei Karosserieinspektionen, einschließlich Preisüberlegungen, finden Sie Verwaltung der Größenbeschränkungen bei Körperinspektionen im AWS WAF Entwicklerhandbuch.

9. Fügen Sie unter Richtlinienregeln die Regelgruppen, die Sie zuerst und zuletzt auswerten AWS WAF möchten, in der Web-ACL hinzu. Um die AWS WAF verwaltete Regelgruppen-Versionsverwaltung zu verwenden, aktivieren Sie die Option Versionierung aktivieren. Die einzelnen Kontomanager können zwischen den ersten Regelgruppen und den letzten Regelgruppen Regeln und Regelgruppen hinzufügen. Weitere Informationen zur Verwendung von AWS WAF Regelgruppen in Firewall Manager Manager-Richtlinien für AWS WAF finden Sie unterAWS WAF Richtlinien.

   (Optional) Um anzupassen, wie Ihre Web-ACL die Regelgruppe verwendet, wählen Sie Bearbeiten. Im Folgenden finden Sie allgemeine Anpassungseinstellungen:

   • Überschreiben Sie bei verwalteten Regelgruppen die Regelaktionen für einige oder alle Regeln. Wenn Sie keine Aktion zum Außerkraftsetzen für eine Regel definieren, verwendet die Auswertung die Regelaktion, die innerhalb der Regelgruppe definiert ist. Informationen zu dieser Option finden Sie Optionen zum Überschreiben von Aktionen für Regelgruppen im AWS WAF Entwicklerhandbuch.

   • Bei einigen verwalteten Regelgruppen müssen Sie zusätzliche Konfigurationen angeben. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters für verwaltete Regelgruppen. Spezifische Informationen zu den Regelgruppen für AWS verwaltete Regeln finden Sie AWS Verwaltete Regeln für AWS WAF im AWS WAF Entwicklerhandbuch.

   Wenn Sie mit Ihren Einstellungen fertig sind, wählen Sie Regel speichern aus.

10. Stellen Sie die Standardaktion für die Web-ACL ein. Dies ist die Aktion, die AWS WAF ergreift, wenn eine Webanforderung keiner der Regeln in der Web-ACL entspricht. Sie können benutzerdefinierte Header mit der Aktion Zulassen oder benutzerdefinierte Antworten mit der Aktion Blockieren hinzufügen. Weitere Informationen zu standardmäßigen Web-ACL-Aktionen finden Sie unter Die Web-ACL-Standardaktion. Informationen zum Einrichten benutzerdefinierter Webanfragen und -antworten finden Sie unterBenutzerdefinierte Webanforderungen und Antworten in AWS WAF.

11. Wählen Sie für die Konfiguration der Protokollierung die Option Protokollierung aktivieren aus, um die Protokollierung zu aktivieren. Die Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. Wählen Sie das Protokollierungsziel und dann das von Ihnen konfigurierte Protokollierungsziel aus. Sie müssen ein Protokollierungsziel auswählen, dessen Name mit aws-waf-logs- beginnt. Informationen zur Konfiguration eines AWS WAF Protokollierungsziels finden Sie unterKonfiguration der Protokollierung für eine Richtlinie AWS WAF.

12. (Optional) Wenn Sie nicht möchten, dass bestimmte Felder und deren Werte in den Protokollen enthalten sind, machen Sie diese Felder unkenntlich. Wählen Sie das Feld aus, das unkenntlich gemacht werden soll, und klicken Sie dann auf Add (Hinzufügen). Wiederholen Sie diesen Vorgang nach Bedarf, um zusätzliche Felder unkenntlich zu machen. Die unkenntlich gemachten Felder werden als REDACTED in den Protokollen angezeigt. Wenn Sie beispielsweise das Feld URI unkenntlich machen, wird das Feld URI in den Protokollen als REDACTED angezeigt.

13. (Optional) Wenn Sie nicht alle Anforderungen an die Protokolle senden möchten, fügen Sie Filterkriterien und -verhalten hinzu. Wählen Sie unter Filter logs (Protokolle filtern) für jeden Filter, den Sie anwenden möchten, Add filter (Filter hinzufügen) aus. Wählen Sie dann Ihre Filterkriterien und geben Sie an, ob Sie Anforderungen, die den Kriterien entsprechen, beibehalten oder löschen möchten. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, ändern Sie bei Bedarf das Standardprotokollierungsverhalten. Weitere Informationen finden Sie unter Konfiguration der Web-ACL-Protokollierung im AWS WAF -Entwicklerhandbuch.

14. Sie können eine Token-Domainliste definieren, um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen. Tokens werden von den Challenge Aktionen CAPTCHA und von den Anwendungsintegrations-SDKs verwendet, die Sie implementieren, wenn Sie die Regelgruppen AWS Managed Rules für Accountübernahmeprävention (ATP) und AWS WAF Bot-Kontrolle bei der AWS WAF Betrugsbekämpfung verwenden.

    Öffentliche Suffixe sind nicht zulässig. Beispielsweise können Sie gov.au oder nicht co.uk als Token-Domain verwenden.

    AWS WAF Akzeptiert standardmäßig nur Token für die Domäne der geschützten Ressource. Wenn Sie Tokendomänen zu dieser Liste hinzufügen, AWS WAF akzeptiert Tokens für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource. Weitere Informationen finden Sie unter AWS WAF Konfiguration der Domainliste für Web-ACL-Tokens im AWS WAF -Entwicklerhandbuch.

    Sie können die CAPTCHA- und Challenge-Immunitätszeiten der Web-ACL nur ändern, wenn Sie eine bestehende Web-ACL bearbeiten. Sie finden diese Einstellungen auf der Seite mit den Details zur Firewall Manager Manager-Richtlinie. Weitere Informationen zu diesen Einstellungen finden Sie unter Ablauf des Zeitstempels: Zeiten der AWS WAF Token-Immunität. Wenn Sie die Einstellungen für die Zuordnungskonfiguration, CAPTCHA, Challenge oder Token-Domainliste in einer vorhandenen Richtlinie aktualisieren, überschreibt Firewall Manager Ihre lokalen Web-ACLs mit den neuen Werten. Wenn Sie jedoch die Einstellungen für die Zuordnungskonfiguration, CAPTCHA, Challenge oder Token-Domänenliste der Richtlinie nicht aktualisieren, bleiben die Werte in Ihren lokalen Web-ACLs unverändert. Informationen zu dieser Option finden Sie CAPTCHAund Challenge in AWS WAF im Entwicklerhandbuch.AWS WAF

15. Wenn Sie möchten, dass Firewall Manager nicht verknüpfte Web-ACLs verwaltet, aktivieren Sie unter Web-ACLs verwalten die Option Nicht verknüpfte Web-ACLs verwalten. Mit dieser Option erstellt Firewall Manager Web-ACLs in den Konten innerhalb des Richtlinienbereichs nur dann, wenn die Web-ACLs von mindestens einer Ressource verwendet werden. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch eine Web-ACL in dem Konto, sofern mindestens eine Ressource die Web-ACL verwendet. Nach der Aktivierung dieser Option führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Web-ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Zuordnung der Ressource von der Web-ACL, bereinigt aber nicht die nicht verknüpfte Web-ACL. Firewall Manager bereinigt nicht verknüpfte Web-ACLs nur, wenn Sie die Verwaltung nicht verknüpfter Web-ACLs in einer Richtlinie zum ersten Mal aktivieren.

16. Wenn Sie für Richtlinienaktion eine Web-ACL für jedes entsprechende Konto innerhalb der Organisation erstellen, die Web-ACL aber noch nicht auf Ressourcen anwenden möchten, wählen Sie Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine auto Korrektur durchführen und wählen Sie nicht zugeordnete Web-ACLs verwalten aus. Sie können diese Optionen später ändern.

    Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren) aus. Wenn „Nicht verknüpfte Web-ACLs verwalten“ deaktiviert ist, erstellt die Option Nicht konforme Ressourcen automatisch korrigieren für jedes entsprechende Konto innerhalb der Organisation eine Web-ACL und ordnet die Web-ACL den Ressourcen in den Konten zu. Wenn die Option Nicht verknüpfte Web-ACLs verwalten aktiviert ist, erstellt und ordnet die Option Nicht konforme Ressourcen automatisch korrigieren nur Konten, deren Ressourcen für die Zuordnung zur Web-ACL in Frage kommen, eine Web-ACL zu.

    Wenn Sie die Option Nicht konforme Ressourcen automatisch korrigieren wählen, können Sie auch festlegen, dass bestehende Web-ACL-Zuordnungen aus Ressourcen im Geltungsbereich entfernt werden, und zwar für Web-ACLs, die nicht durch eine andere aktive Firewall Manager Manager-Richtlinie verwaltet werden. Wenn Sie diese Option wählen, ordnet Firewall Manager zuerst die Web-ACL der Richtlinie den Ressourcen zu und entfernt dann die vorherigen Zuordnungen. Wenn eine Ressource mit einer anderen Web-ACL verknüpft ist, die von einer anderen aktiven Firewall Manager Manager-Richtlinie verwaltet wird, wirkt sich diese Auswahl nicht auf diese Zuordnung aus.

17. Wählen Sie Weiter aus.

18. Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie auf alle Konten und Organisationseinheiten mit Ausnahme einer bestimmten Gruppe von Konten oder AWS Organizations -Organisationseinheiten (OUs) anwenden möchten, wählen Sie Exclude the specified accounts and organizational units, and include all others (Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einschließen) aus und fügen Sie dann die Konten und OUs hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

19. Wählen Sie unter Resource type (Ressourcentyp) die Arten von Ressourcen aus, die Sie schützen möchten.

20. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

21. Wählen Sie Weiter aus.

22. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

23. Wählen Sie Weiter aus.

24. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich AWS Firewall Manager Richtlinien sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Eine AWS Firewall Manager Richtlinie für Classic erstellen AWS WAF

So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS WAF Classic (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie unter Policy type (Richtlinientyp) die Option AWS WAF Classic aus.

5. Wenn Sie die AWS WAF klassische Regelgruppe, die Sie der Richtlinie hinzufügen möchten, bereits erstellt haben, wählen Sie AWS Firewall Manager Richtlinie erstellen und vorhandene Regelgruppen hinzufügen aus. Wenn Sie eine neue Regelgruppe erstellen möchten, wählen Sie Create a Firewall Manager Policy und fügen Sie eine neue Regelgruppe hinzu.

6. Wählen Sie für Region eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie Global.

   Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

7. Wählen Sie Weiter aus.

8. Wenn Sie eine Regelgruppe erstellen, befolgen Sie die Anweisungen unter Eine AWS WAF klassische Regelgruppe erstellen. Fahren Sie nach dem Erstellen der Regelgruppe mit den folgenden Schritten fort.

9. Geben Sie den Namen einer Richtlinie ein.

10. Wenn Sie eine vorhandene Regelgruppe hinzufügen, wählen Sie im Dropdownmenü die entsprechende Regelgruppe aus und wählen Sie dann die Option Add rule group (Regelgruppe hinzufügen).

11. Für eine Richtlinie sind zwei mögliche Aktionen vorhanden: Action set by rule group (Aktion durch Regelgruppe festgelegt) und Count (Zählen). Wenn Sie die Richtlinie und Regelgruppe testen möchten, legen Sie als Aktion Count (Zählen) fest. Diese Aktion setzt jede durch die Regeln in der Regelgruppe festgelegte Aktion zum Blockieren außer Kraft. Wenn als Aktion der Richtlinie Count (Zählen) festgelegt ist, bedeutet dies, dass solche Anforderungen nur gezählt und nicht blockiert werden. Wenn Sie als Aktion der Richtlinie dagegen Action set by rule group (Aktion durch Regelgruppe festgelegt) festlegen, werden Aktionen der Regelgruppenregeln verwendet. Wählen Sie die geeignete Aktion aus.

12. Wählen Sie Weiter aus.

13. Wenn AWS-Konten diese Richtlinie gilt für, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

14. Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

15. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

16. Wenn die Richtlinie automatisch auf vorhandene Richtlinien angewendet werden soll, wählen Sie Create and apply this policy to existing and new resources (Diese Richtlinie erstellen und auf vorhandene und neue Ressourcen anwenden).

    Diese Option erstellt eine Web-ACL für alle entsprechenden Konten innerhalb einer AWS -Organisation und ordnet die Web-ACL den angegebenen Ressourcen in den Konten zu. Diese Option wendet die Richtlinie auch auf alle neuen Ressourcen an, die den voranstehenden Kriterien (Ressourcentyp und Tags) entsprechen. Alternativ erstellt Firewall Manager bei Wahl von Create policy but do not apply the policy to existing or new resources (Richtlinie erstellen, aber nicht auf vorhandene oder neue Ressourcen anwenden) in jedem entsprechenden Konto innerhalb der Organisation eine Web-ACL, wendet die Web-ACL jedoch nicht auf Ressourcen an. Sie müssen die Richtlinie zu einem späteren Zeitpunkt auf Ressourcen anwenden. Wählen Sie die geeignete Option aus.

17. Für Replace existing associated web ACLs (Vorhandene zugeordnete Web-ACLs ersetzen) können Sie festlegen, dass alle Web-ACL-Zuordnungen entfernt werden, die derzeit für Ressourcen im Bereich definiert sind, und diese dann durch Zuordnungen zu den Web-ACLs ersetzt werden, die Sie mit dieser Richtlinie erstellen. Standardmäßig entfernt Firewall Manager vorhandene Web-ACL-Zuordnungen nicht, bevor die neuen hinzugefügt werden. Wenn Sie die vorhandenen Zuordnungen entfernen möchten, wählen Sie diese Option aus.

18. Wählen Sie Weiter aus.

19. Überprüfen Sie die neue Richtlinie. Um Änderungen vorzunehmen, wählen Sie Edit (Bearbeiten). Wenn Sie mit der Richtlinie zufrieden sind, wählen Sie Create and apply Policy (Richtlinie erstellen und anwenden).

Eine AWS Firewall Manager Richtlinie erstellen für AWS Shield Advanced

So erstellen Sie eine Firewall Manager Manager-Richtlinie für Shield Advanced (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie als Richtlinientyp Shield Advanced aus.

   Um eine Shield Advanced-Richtlinie zu erstellen, müssen Sie Shield Advanced abonniert haben. Wenn Sie kein Abonnement eingerichtet haben, werden Sie dazu aufgefordert. Informationen zu den Kosten für ein Abonnement finden Sie unter AWS Shield Advanced Preise.

5. Wählen Sie für Region eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie Global.

   Für andere Regionen als Global müssen Sie zum Schutz von Ressourcen in mehreren Regionen eine separate Firewall Manager Manager-Richtlinie für jede Region erstellen.

6. Wählen Sie Weiter aus.

7. Geben Sie unter Name einen aussagekräftigen Namen ein.

8. Nur für Richtlinien für globale Regionen können Sie wählen, ob Sie die automatische DDoS-Abwehr auf Anwendungsebene mit Shield Advanced verwalten möchten. Informationen zu dieser Shield Advanced-Funktion finden Sie unterShield Advanced automatische DDoS-Abwehr auf Anwendungsebene.

   Sie können die automatische Schadensbegrenzung aktivieren oder deaktivieren oder sie ignorieren. Wenn Sie es ignorieren, verwaltet Firewall Manager die automatische Schadensbegrenzung für die Shield Advanced-Schutzmaßnahmen überhaupt nicht. Weitere Informationen zu diesen Richtlinienoptionen finden Sie unter. Automatische DDoS-Abwehr auf Anwendungsebene

9. Wenn Sie möchten, dass Firewall Manager nicht verknüpfte Web-ACLs verwaltet, aktivieren Sie unter Web-ACLs verwalten die Option Nicht verknüpfte Web-ACLs verwalten. Mit dieser Option erstellt Firewall Manager Web-ACLs in den Konten innerhalb des Richtlinienbereichs nur dann, wenn die Web-ACLs von mindestens einer Ressource verwendet werden. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch eine Web-ACL in dem Konto, sofern mindestens eine Ressource die Web-ACL verwendet. Nach der Aktivierung dieser Option führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Web-ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Ressource nicht von der Web-ACL. Um die Web-ACL in die einmalige Bereinigung einzubeziehen, müssen Sie zuerst die Ressourcen manuell von der Web-ACL trennen und dann die Option Nicht zugeordnete Web-ACLs verwalten aktivieren.

10. Für Richtlinienaktionen empfehlen wir, die Richtlinie mit der Option zu erstellen, dass nicht konforme Ressourcen nicht automatisch korrigiert werden. Wenn Sie die automatische Problembehebung deaktivieren, können Sie die Auswirkungen Ihrer neuen Richtlinie beurteilen, bevor Sie sie anwenden. Wenn Sie davon überzeugt sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur zu aktivieren.

    Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren) aus. Diese Option wendet Shield Advanced-Schutzmaßnahmen für jedes entsprechende Konto innerhalb der AWS Organisation und jede entsprechende Ressource in den Konten an.

    Wenn Sie bei Richtlinien für globale Regionen die Option Automatische Korrektur aller nicht konformen Ressourcen wählen, können Sie auch festlegen, dass Firewall Manager alle vorhandenen AWS WAF klassischen Web-ACLs automatisch durch neue Verknüpfungen zu Web-ACLs ersetzt, die mit der neuesten Version von AWS WAF (v2) erstellt wurden. Wenn Sie diese Option wählen, entfernt Firewall Manager die Verknüpfungen mit den Web-ACLs der früheren Version und erstellt neue Verknüpfungen mit Web-ACLs der neuesten Version, nachdem neue leere Web-ACLs in allen im Geltungsbereich befindlichen Konten erstellt wurden, für die sie noch nicht für die Richtlinie vorhanden sind. Weitere Informationen zu dieser Option finden Sie unter Ersetzen Sie AWS WAF klassische Web-ACLs durch Web-ACLs der neuesten Version.

11. Wählen Sie Weiter aus.

12. Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

13. Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

    Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie Shield Advanced verwenden müssen, um Ressourcen vor diesen Diensten zu schützen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen von Shield Advanced unterAWS Shield Advanced Schutz für Ressourcen hinzufügen AWS.

14. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

15. Wählen Sie Weiter aus.

16. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

17. Wählen Sie Weiter aus.

18. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich AWS Firewall Manager Richtlinien sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Erstellen einer gemeinsamen AWS Firewall Manager -Sicherheitsgruppenrichtlinie

Informationen zur Funktionsweise gemeinsamer Sicherheitsgruppenrichtlinien finden Sie unter Gemeinsame Sicherheitsgruppenrichtlinien.

Um eine gemeinsame Sicherheitsgruppenrichtlinie zu erstellen, muss in Ihrem Firewall Manager Manager-Administratorkonto bereits eine Sicherheitsgruppe erstellt worden sein, die Sie als primäre Gruppe für Ihre Richtlinie verwenden möchten. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppen im Amazon VPC-Benutzerhandbuch.

So erstellen Sie eine gemeinsame Sicherheitsgruppenrichtlinie (Konsole):

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie für Policy type (Richtlinientyp) die Option Security group (Sicherheitsgruppe).

5. Wählen Sie für Security group policy type (Sicherheitsgruppenrichtlinientyp) die Option Common security groups (Gemeinsame Sicherheitsgruppen) aus.

6. Wählen Sie für Region eine AWS-Region.

7. Wählen Sie Weiter aus.

8. Geben Sie unter Policy name (Richtlinienname) einen Anzeigenamen ein.

9. Führen Sie für Policy rules (Richtlinienregeln), die folgenden Schritte aus:

   1. Wählen Sie unter der Option Regeln die Einschränkungen aus, die Sie auf die Sicherheitsgruppenregeln und die Ressourcen anwenden möchten, die innerhalb des Richtlinienbereichs liegen. Wenn Sie Tags aus der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen wählen, müssen Sie auch Identifizieren und melden auswählen, wenn die mit dieser Richtlinie erstellten Sicherheitsgruppen nicht mehr konform sind.

      Wichtig

      Firewall Manager verteilt keine Systemtags, die von AWS Diensten hinzugefügt wurden, an die Replikat-Sicherheitsgruppen. System-Tags beginnen mit dem Präfix aws:. Darüber hinaus aktualisiert Firewall Manager die Tags vorhandener Sicherheitsgruppen nicht und erstellt auch keine neuen Sicherheitsgruppen, wenn die Richtlinie Tags enthält, die mit der Tag-Richtlinie der Organisation in Konflikt stehen. Informationen zu Tag-Richtlinien finden Sie unter Tag-Richtlinien im AWS Organizations Benutzerhandbuch.

      Wenn Sie die Option Sicherheitsgruppenreferenzen von der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen wählen, verteilt Firewall Manager die Sicherheitsgruppenreferenzen nur, wenn sie über eine aktive Peering-Verbindung in Amazon VPC verfügen. Informationen zu dieser Option finden Sie unter Einstellungen für Richtlinienregeln.

   2. Wählen Sie für Primäre Sicherheitsgruppen die Option Sicherheitsgruppen hinzufügen und wählen Sie dann die Sicherheitsgruppen aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto auf.

      Standardmäßig beträgt die maximale Anzahl primärer Sicherheitsgruppen pro Richtlinie 3. Weitere Informationen zu dieser Einstellung finden Sie unter AWS Firewall Manager Kontingente.

   3. Für Policy action (Richtlinienaktion) empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren.

10. Wählen Sie Weiter aus.

11. Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

12. Wählen Sie unter Resource type (Ressourcentyp) die Arten von Ressourcen aus, die Sie schützen möchten.

    Wenn Sie sich für eine EC2-Instance entscheiden, können Sie wählen, ob alle Elastic Network-Schnittstellen in jede Amazon EC2 EC2-Instance oder nur die Standardschnittstelle in jeder Instance aufgenommen werden sollen. Wenn Sie mehr als eine elastic network interface in einer Amazon EC2 EC2-Instance im Geltungsbereich haben, kann Firewall Manager die Richtlinie auf alle anwenden, wenn Sie die Option zum Einbeziehen aller Schnittstellen wählen. Wenn Sie die automatische Problembehebung aktivieren und Firewall Manager die Richtlinie nicht auf alle Elastic Network-Schnittstellen in einer Amazon EC2 EC2-Instance anwenden kann, markiert er die Instance als nicht konform.

13. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

14. Wenn Sie in Shared VPC resources (Freigegebene VPC-Ressourcen) die Richtlinie auf Ressourcen in freigegebenen VPCs anwenden möchten, wählen Sie zusätzlich zu den VPCs, die die Konten besitzen, die Option Include resources from shared VPCs (Ressourcen aus freigegebenen VPCs einschließen) aus.

15. Wählen Sie Weiter aus.

16. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Firewall Manager erstellt ein Replikat der primären Sicherheitsgruppe in jeder Amazon VPC-Instance, die innerhalb der im Geltungsbereich enthaltenen Konten enthalten ist, bis zu dem unterstützten maximalen Amazon VPC-Kontingent pro Konto. Firewall Manager ordnet die Replikat-Sicherheitsgruppen den Ressourcen zu, die innerhalb des Richtlinienbereichs für jedes in den Geltungsbereich fallende Konto liegen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter Gemeinsame Sicherheitsgruppenrichtlinien.

Erstellen einer AWS Firewall Manager -Inhaltsprüfungssicherheitsgruppenrichtlinie

Informationen zur Funktionsweise der Inhaltsprüfungssicherheitsgruppenrichtlinie finden Sie unter Inhaltsprüfungssicherheitsgruppenrichtlinien.

Für einige Einstellungen der Inhaltsüberwachungsrichtlinie müssen Sie eine Überwachungssicherheitsgruppe angeben, die Firewall Manager als Vorlage verwenden kann. Möglicherweise haben Sie eine Audit-Sicherheitsgruppe, die alle Regeln enthält, die Sie in keiner Sicherheitsgruppe zulassen. Sie müssen diese Audit-Sicherheitsgruppen mit Ihrem Firewall Manager Manager-Administratorkonto erstellen, bevor Sie sie in Ihrer Richtlinie verwenden können. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter Arbeiten mit Sicherheitsgruppen im Amazon VPC-Benutzerhandbuch.

So erstellen Sie eine Inhaltsprüfungssicherheitsgruppenrichtlinie (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie für Policy type (Richtlinientyp) die Option Security group (Sicherheitsgruppe).

5. Wählen Sie für Security group policy type (Sicherheitsgruppenrichtlinientyp) die Option Auditing and enforcement of security group rules (Überwachung und Durchsetzung von Sicherheitsgruppenregeln).

6. Wählen Sie für Region eine AWS-Region.

7. Wählen Sie Weiter aus.

8. Geben Sie unter Policy name (Richtlinienname) einen Anzeigenamen ein.

9. Wählen Sie unter Richtlinienregeln die Option für verwaltete oder benutzerdefinierte Richtlinienregeln aus, die Sie verwenden möchten.

   1. Gehen Sie unter Regeln für verwaltete Überwachungsrichtlinien konfigurieren wie folgt vor:

      1. Wählen Sie unter Sicherheitsgruppenregeln für die Überwachung konfigurieren den Typ der Sicherheitsgruppenregeln aus, für die Ihre Überwachungsrichtlinie gelten soll.

      2. Wenn Sie beispielsweise Regeln auf der Grundlage der Protokolle, Ports und CIDR-Bereichseinstellungen in Ihren Sicherheitsgruppen überprüfen möchten, wählen Sie Übermäßig zulässige Sicherheitsgruppenregeln überwachen und wählen Sie die gewünschten Optionen aus.

         Für die Auswahlregel lässt den gesamten Datenverkehr zu, können Sie eine benutzerdefinierte Anwendungsliste angeben, um die Anwendungen festzulegen, die Sie überwachen möchten. Informationen zu benutzerdefinierten Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter Verwaltete Listen undVerwenden von verwalteten Listen.

         Für Auswahlen, die Protokolllisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Protokolllisten und deren Verwendung in Ihrer Richtlinie finden Sie unter Verwaltete Listen undVerwenden von verwalteten Listen.

      3. Wenn Sie hochriskante Anwendungen auf der Grundlage ihres Zugriffs auf reservierte oder nicht reservierte CIDR-Bereiche prüfen möchten, wählen Sie Anwendungen mit hohem Risiko prüfen und wählen Sie die gewünschten Optionen aus.

         Die folgenden Auswahlmöglichkeiten schließen sich gegenseitig aus: Anwendungen, die nur auf reservierte CIDR-Bereiche zugreifen können, und Anwendungen, denen der Zugriff auf nicht reservierte CIDR-Bereiche gestattet ist. Sie können in jeder Richtlinie höchstens eine davon auswählen.

         Für Auswahlen, die Anwendungslisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter Verwaltete Listen undVerwenden von verwalteten Listen.

      4. Verwenden Sie die Einstellungen für Außerkraftsetzungen, um andere Einstellungen in der Richtlinie explizit zu überschreiben. Sie können festlegen, dass bestimmte Sicherheitsgruppenregeln immer zugelassen oder verweigert werden, unabhängig davon, ob sie den anderen Optionen entsprechen, die Sie für die Richtlinie festgelegt haben.

         Für diese Option geben Sie eine Audit-Sicherheitsgruppe als Vorlage für zulässige Regeln oder verweigerte Regeln an. Wählen Sie für Überwachungssicherheitsgruppen die Option Auditsicherheitsgruppen hinzufügen und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter AWS Firewall Manager Kontingente.

   2. Gehen Sie wie folgt vor, um benutzerdefinierte Richtlinienregeln zu konfigurieren:

      1. Wählen Sie aus den Regeloptionen aus, ob nur die Regeln zugelassen werden sollen, die in den Prüfungssicherheitsgruppen definiert sind, oder ob alle Regeln abgelehnt werden sollen. Weitere Informationen zu dieser Auswahl finden Sie unter Inhaltsprüfungssicherheitsgruppenrichtlinien.

      2. Wählen Sie für Audit-Sicherheitsgruppen die Option Audit-Sicherheitsgruppen hinzufügen und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter AWS Firewall Manager Kontingente.

      3. Für Policy action (Richtlinienaktion) müssen Sie die Richtlinie mit der Option erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren.

10. Wählen Sie Weiter aus.

11. Wenn AWS-Konten diese Richtlinie gilt für, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

12. Wählen Sie unter Resource type (Ressourcentyp) die Ressourcentypen aus, die Sie schützen möchten.

13. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

14. Wählen Sie Weiter aus.

15. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Firewall Manager vergleicht die Audit-Sicherheitsgruppe gemäß Ihren Richtlinienregeleinstellungen mit den im Geltungsbereich enthaltenen Sicherheitsgruppen in Ihrer AWS Organisation. Sie können den Status der Richtlinie in der AWS Firewall Manager Richtlinienkonsole überprüfen. Nachdem die Richtlinie erstellt wurde, können Sie sie bearbeiten und die automatische Standardisierung aktivieren, um die Prüfungssicherheitsgruppenrichtlinie in Kraft zu setzen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter Inhaltsprüfungssicherheitsgruppenrichtlinien.

Erstellen einer AWS Firewall Manager -Nutzungsprüfungssicherheitsgruppenrichtlinie

Weitere Informationen zur Funktionsweise von Nutzungsprüfungssicherheitsgruppenrichtlinien finden Sie unter Nutzungsprüfungssicherheitsgruppenrichtlinien.

So erstellen Sie eine Nutzungsprüfungssicherheitsgruppenrichtlinie (Konsole):

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie für Policy type (Richtlinientyp) die Option Security group (Sicherheitsgruppe).

5. Wählen Sie als Gruppenrichtlinientyp die Option Überwachung und Säuberung nicht zugeordneter und redundanter Sicherheitsgruppen aus.

6. Wählen Sie für Region eine. AWS-Region

7. Wählen Sie Weiter aus.

8. Geben Sie unter Policy name (Richtlinienname) einen Anzeigenamen ein.

9. Wählen Sie für Policy rules (Richtlinienregeln) eine oder beide der verfügbaren Optionen aus.

   • Wenn Sie die Option Sicherheitsgruppen innerhalb dieses Richtlinienbereichs müssen von mindestens einer Ressource verwendet werden wählen, entfernt Firewall Manager alle Sicherheitsgruppen, die er für unbenutzt hält. Wenn diese Regel aktiviert ist, führt Firewall Manager sie zuletzt aus, wenn Sie die Richtlinie speichern.

     Einzelheiten dazu, wie Firewall Manager die Nutzung und den Zeitpunkt der Behebung bestimmt, finden Sie unterNutzungsprüfungssicherheitsgruppenrichtlinien.

     Anmerkung

     Wenn Sie diesen Sicherheits-Gruppenrichtlinientyp „Nutzungsüberwachung“ verwenden, vermeiden Sie es, innerhalb kurzer Zeit mehrere Änderungen am Zuordnungsstatus der in den Geltungsbereich fallenden Sicherheitsgruppen vorzunehmen. Dies kann dazu führen, dass Firewall Manager entsprechende Ereignisse verpasst.

     Standardmäßig betrachtet Firewall Manager Sicherheitsgruppen als nicht konform mit dieser Richtlinienregel, sobald sie nicht verwendet werden. Sie können optional eine Anzahl von Minuten angeben, für die eine Sicherheitsgruppe ungenutzt bestehen kann, bevor sie als nicht konform eingestuft wird, nämlich bis zu 525.600 Minuten (365 Tage). Sie können diese Einstellung verwenden, um sich Zeit zu nehmen, um neue Sicherheitsgruppen Ressourcen zuzuordnen.

     Wichtig

     Wenn Sie eine andere Anzahl von Minuten als den Standardwert Null angeben, müssen Sie indirekte Beziehungen in aktivieren AWS Config. Andernfalls funktionieren Ihre Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung nicht wie vorgesehen. Informationen zu indirekten Beziehungen finden Sie unter Indirekte Beziehungen AWS Config im AWS Config Entwicklerhandbuch. AWS Config

   • Wenn Sie Sicherheitsgruppen innerhalb dieses Richtlinienbereichs müssen eindeutig sein wählen, konsolidiert Firewall Manager redundante Sicherheitsgruppen, sodass nur eine mit Ressourcen verknüpft ist. Wenn Sie diese Option wählen, führt Firewall Manager sie zuerst aus, wenn Sie die Richtlinie speichern.

10. Für Policy action (Richtlinienaktion) empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren.

11. Wählen Sie Weiter aus.

12. Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

13. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

14. Wählen Sie Weiter aus.

15. Wenn Sie das Firewall Manager-Administratorkonto nicht aus dem Geltungsbereich der Richtlinie ausgeschlossen haben, werden Sie von Firewall Manager dazu aufgefordert. Dadurch bleiben die Sicherheitsgruppen im Firewall Manager Manager-Administratorkonto, das Sie für allgemeine Sicherheitsgruppenrichtlinien und Überwachungsrichtlinien verwenden, unter Ihrer manuellen Kontrolle. Wählen Sie in diesem Dialog die gewünschte Option aus.

16. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Wenn Sie sich dafür entschieden haben, eindeutige Sicherheitsgruppen vorzuschreiben, sucht Firewall Manager in jeder Amazon VPC-Instance im Geltungsbereich nach redundanten Sicherheitsgruppen. Wenn Sie dann festlegen, dass jede Sicherheitsgruppe von mindestens einer Ressource verwendet werden muss, sucht Firewall Manager nach Sicherheitsgruppen, die für die in der Regel angegebenen Minuten ungenutzt geblieben sind. Sie können den Status der Richtlinie in der AWS Firewall Manager Richtlinienkonsole überprüfen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter Nutzungsprüfungssicherheitsgruppenrichtlinien.

Eine AWS Firewall Manager Netzwerk-ACL-Richtlinie erstellen

Informationen zur Funktionsweise von Netzwerk-ACL-Richtlinien finden Sie unterNetzwerk-ACL-Richtlinien.

Um eine Netzwerk-ACL-Richtlinie zu erstellen, müssen Sie wissen, wie Sie eine Netzwerk-ACL für die Verwendung mit Ihren Amazon VPC-Subnetzen definieren. Weitere Informationen finden Sie unter Steuern des Datenverkehrs zu Subnetzen mithilfe von Netzwerk-ACLs und Arbeiten mit Netzwerk-ACLs im Amazon VPC-Benutzerhandbuch.

So erstellen Sie eine Netzwerk-ACL-Richtlinie (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie als Richtlinientyp die Option Network ACL aus.

5. Wählen Sie für Region eine AWS-Region.

6. Wählen Sie Weiter aus.

7. Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

8. Definieren Sie für Richtlinienregeln die Regeln, die Sie immer in den Netzwerk-ACLs ausführen möchten, die Firewall Manager für Sie verwaltet. Netzwerk-ACLs überwachen und verarbeiten eingehenden und ausgehenden Datenverkehr. Daher definieren Sie in Ihrer Richtlinie die Regeln für beide Richtungen.

   Für beide Richtungen definieren Sie Regeln, die immer zuerst ausgeführt werden sollen, und Regeln, die Sie immer zuletzt ausführen möchten. In den Netzwerk-ACLs, die Firewall Manager verwaltet, können Kontoinhaber benutzerdefinierte Regeln definieren, die zwischen diesen ersten und letzten Regeln ausgeführt werden.

9. Wenn Sie unter Richtlinienaktion nicht konforme Subnetze und Netzwerk-ACLs identifizieren, aber noch keine Korrekturmaßnahmen ergreifen möchten, wählen Sie Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine auto Korrektur durchführen aus. Sie können diese Optionen später ändern.

   Wenn Sie die Richtlinie stattdessen automatisch auf bestehende Subnetze im Geltungsbereich anwenden möchten, wählen Sie Automatische Korrektur aller nicht konformen Ressourcen. Mit dieser Option geben Sie auch an, ob die Behebung erzwungen werden soll, wenn das Verhalten der Richtlinienregeln bei der Verarbeitung des Datenverkehrs mit benutzerdefinierten Regeln in der Netzwerk-ACL kollidiert. Unabhängig davon, ob Sie die Behebung erzwingen, meldet Firewall Manager widersprüchliche Regeln bei seinen Compliance-Verstößen.

10. Wählen Sie Weiter aus.

11. Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf andere, neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

12. Für den Ressourcentyp ist die Einstellung auf Subnetze festgelegt.

13. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

14. Wählen Sie Weiter aus.

15. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Firewall Manager erstellt die Richtlinie und beginnt mit der Überwachung und Verwaltung der im Geltungsbereich enthaltenen Netzwerk-ACLs gemäß Ihren Einstellungen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter Netzwerk-ACL-Richtlinien.

Erstellen einer AWS Firewall Manager Richtlinie für AWS Network Firewall

In einer Firewall Manager Manager-Netzwerk-Firewall-Richtlinie verwenden Sie Regelgruppen, in denen Sie verwalten AWS Network Firewall. Informationen zur Verwaltung Ihrer Regelgruppen finden Sie unter AWS Network Firewall Regelgruppen im Network Firewall Developer Guide.

Informationen zu den Netzwerk-Firewall-Richtlinien von Firewall Manager finden Sie unterAWS Network Firewall Richtlinien.

So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS Network Firewall (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie unter Policy type (Richtlinientyp) die Option AWS Network Firewall.

5. Wählen Sie unter Firewall-Management-Typ aus, wie Firewall Manager die Firewalls der Richtlinie verwalten soll. Wählen Sie aus den folgenden Optionen aus:

   • Verteilt — Firewall Manager erstellt und verwaltet Firewall-Endpunkte in jeder VPC, die im Richtlinienbereich enthalten sind.

   • Zentralisiert — Firewall Manager erstellt und verwaltet Endpoints in einer einzigen Inspektions-VPC.

   • Importieren vorhandener Firewalls — Firewall Manager importiert vorhandene Firewalls mithilfe von Ressourcensätzen aus der Network Firewall. Informationen zu Ressourcensätzen finden Sie unter. Arbeiten mit Ressourcensätzen in Firewall Manager

6. Wählen Sie für Region eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

7. Wählen Sie Weiter aus.

8. Geben Sie als Richtlinienname einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen der Netzwerk-Firewall-Firewalls und der Firewall-Richtlinien auf, die er erstellt.

9. Konfigurieren Sie in der AWS Network Firewall Richtlinienkonfiguration die Firewall-Richtlinie wie in der Network Firewall. Fügen Sie Ihre statusfreien und statusbehafteten Regelgruppen hinzu und geben Sie die Standardaktionen der Richtlinie an. Sie können optional die Reihenfolge der Statusregelauswertung und die Standardaktionen der Richtlinie sowie die Protokollierungskonfiguration festlegen. Informationen zur Verwaltung von Firewall-Richtlinien für AWS Network Firewall Netzwerkfirewalls finden Sie unter Firewallrichtlinien im AWS Network Firewall Entwicklerhandbuch.

   Wenn Sie die Firewall Manager-Netzwerk-Firewall-Richtlinie erstellen, erstellt Firewall Manager Firewall-Richtlinien für die Konten, die in den Geltungsbereich fallen. Einzelne Kontomanager können Regelgruppen zu den Firewall-Richtlinien hinzufügen, aber sie können die Konfiguration, die Sie hier angeben, nicht ändern.

10. Wählen Sie Weiter aus.

11. Führen Sie je nach dem Firewall-Verwaltungstyp, den Sie im vorherigen Schritt ausgewählt haben, einen der folgenden Schritte aus:

    • Wenn Sie einen verteilten Firewall-Managementtyp verwenden, wählen Sie in der AWS Firewall Manager Endpunktkonfiguration unter Standort des Firewall-Endpunkts eine der folgenden Optionen aus:

      • Benutzerdefinierte Endpunktkonfiguration — Firewall Manager erstellt Firewalls für jede VPC innerhalb des Richtlinienbereichs in den von Ihnen angegebenen Availability Zones. Jede Firewall enthält mindestens einen Firewall-Endpunkt.

        • Wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

        • Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihren VPCs bereitstellen möchten, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den in den VPCs verfügbaren IP-Adressen aus.

          Anmerkung

          Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, mit der Sie die auto Korrektur deaktivieren können.

      • Automatische Endpunktkonfiguration — Firewall Manager erstellt automatisch Firewall-Endpunkte in den Availability Zones mit öffentlichen Subnetzen in Ihrer VPC.

        • Geben Sie für die Konfiguration der Firewall-Endpunkte an, wie die Firewall-Endpunkte von Firewall Manager verwaltet werden sollen. Wir empfehlen die Verwendung mehrerer Endpunkte für eine hohe Verfügbarkeit.

    • Wenn Sie einen zentralen Firewall-Managementtyp verwenden, geben Sie in der AWS Firewall Manager Endpunktkonfiguration unter Inspektion-VPC-Konfiguration die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.

      • Wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

      • Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihren VPCs bereitstellen möchten, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den in den VPCs verfügbaren IP-Adressen aus.

        Anmerkung

        Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, mit der Sie die auto Korrektur deaktivieren können.

    • Wenn Sie den Firewall-Managementtyp „Bestehende Firewalls importieren“ verwenden, fügen Sie unter Ressourcensätze eine oder mehrere Ressourcensätze hinzu. Ein Ressourcensatz definiert die vorhandenen Netzwerk-Firewall-Firewalls, die dem Konto Ihrer Organisation gehören und die Sie in dieser Richtlinie zentral verwalten möchten. Um der Richtlinie einen Ressourcensatz hinzuzufügen, müssen Sie zunächst mithilfe der Konsole oder der PutResourceSetAPI einen Ressourcensatz erstellen. Informationen zu Ressourcensätzen finden Sie unterArbeiten mit Ressourcensätzen in Firewall Manager. Weitere Informationen zum Importieren vorhandener Firewalls aus der Network Firewall finden Sie unter Importieren vorhandener Firewalls.

12. Wählen Sie Weiter aus.

13. Wenn Ihre Richtlinie einen verteilten Firewallverwaltungstyp verwendet, wählen Sie unter Routenverwaltung aus, ob Firewall Manager den Datenverkehr, der durch die jeweiligen Firewallendpunkte geleitet werden muss, überwacht und Warnmeldungen dazu sendet.

    Anmerkung

    Wenn Sie „Überwachen“ wählen, können Sie die Einstellung zu einem späteren Zeitpunkt nicht mehr auf Aus ändern. Die Überwachung wird fortgesetzt, bis Sie die Richtlinie löschen.

14. Fügen Sie als Verkehrstyp optional die Datenverkehrsendpunkte hinzu, über die Sie den Datenverkehr zur Firewall-Inspektion weiterleiten möchten.

15. Wenn Sie diese Option aktivieren, behandelt Firewall Manager für Availability Zones, die keinen eigenen Firewall-Endpunkt haben, für Availability Zones, die keinen eigenen Firewall-Endpunkt haben, erforderlichen Cross-AZ-Verkehr zulassen als konformes Routing, das Datenverkehr aus einer Availability Zone zur Überprüfung sendet. Availability Zones mit Endpunkten müssen immer ihren eigenen Datenverkehr überprüfen.

16. Wählen Sie Weiter aus.

17. Wählen Sie für den Geltungsbereich der Richtlinie unter AWS-Konten Diese Richtlinie gilt für die folgende Option aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

18. Der Ressourcentyp für Netzwerk-Firewall-Richtlinien ist VPC.

19. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

20. Wählen Sie Weiter aus.

21. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

22. Wählen Sie Weiter aus.

23. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich AWS Firewall Manager Richtlinien sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Eine AWS Firewall Manager Richtlinie für die Amazon Route 53 Resolver DNS Firewall erstellen

In einer Firewall Manager DNS-Firewall-Richtlinie verwenden Sie Regelgruppen, die Sie in Amazon Route 53 Resolver DNS Firewall verwalten. Informationen zur Verwaltung Ihrer Regelgruppen finden Sie unter Verwaltung von Regelgruppen und Regeln in der DNS-Firewall im Amazon Route 53 Developer Guide.

Informationen zu den DNS-Firewallrichtlinien von Firewall Manager finden Sie unterDNS-Firewall-Richtlinien für Amazon Route 53 Resolver.

So erstellen Sie eine Firewall Manager Manager-Richtlinie für Amazon Route 53 Resolver DNS Firewall (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie als Richtlinientyp die Option Amazon Route 53 Resolver DNS-Firewall aus.

5. Wählen Sie für Region eine aus AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

6. Wählen Sie Weiter aus.

7. Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

8. Fügen Sie in der Richtlinienkonfiguration die Regelgruppen hinzu, die die DNS-Firewall unter den Regelgruppenzuordnungen Ihrer VPCs an erster und letzter Stelle auswerten soll. Sie können der Richtlinie bis zu zwei Regelgruppen hinzufügen.

   Wenn Sie die DNS-Firewall-Richtlinie von Firewall Manager erstellen, erstellt Firewall Manager die Regelgruppenzuordnungen mit den von Ihnen angegebenen Zuordnungsprioritäten für die VPCs und Konten, die innerhalb des Gültigkeitsbereichs liegen. Die einzelnen Kontomanager können Regelgruppenzuordnungen zwischen Ihrer ersten und letzten Zuordnung hinzufügen, aber sie können die Zuordnungen, die Sie hier definieren, nicht ändern. Weitere Informationen finden Sie unter DNS-Firewall-Richtlinien für Amazon Route 53 Resolver.

9. Wählen Sie Weiter.

10. Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

11. Der Ressourcentyp für DNS-Firewall-Richtlinien ist VPC.

12. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

13. Wählen Sie Weiter aus.

14. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

15. Wählen Sie Weiter aus.

16. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich AWS Firewall Manager Richtlinien sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Eine AWS Firewall Manager Richtlinie für Palo Alto Networks Cloud NGFW erstellen

Mit einer Firewall Manager-Richtlinie für die Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW) verwenden Sie Firewall Manager, um Palo Alto Networks Cloud NGFW-Ressourcen bereitzustellen und NGFW-Regelstapel zentral für all Ihre Konten zu verwalten. AWS

Informationen zu den Cloud NGFW-Richtlinien von Firewall Manager Palo Alto Networks finden Sie unter. NGFW-Richtlinien für die Cloud von Palo Alto Networks Informationen zur Konfiguration und Verwaltung von Palo Alto Networks Cloud NGFW für Firewall Manager finden Sie in der Dokumentation Palo Alto Networks Cloud NGFW von Palo Alto Networks. AWS

Voraussetzungen

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in AWS Firewall Manager Voraussetzungen beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

So erstellen Sie eine Firewall Manager Manager-Richtlinie für Palo Alto Networks Cloud NGFW (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie als Richtlinientyp Palo Alto Networks Cloud NGFW aus. Wenn Sie den Palo Alto Networks Cloud NGFW-Dienst noch nicht im AWS Marketplace abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie AWS Marketplace-Details anzeigen.

5. Wählen Sie als Bereitstellungsmodell entweder das verteilte Modell oder das zentralisierte Modell. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

6. Wählen Sie für Region eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

7. Wählen Sie Weiter aus.

8. Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

9. Wählen Sie in der Richtlinienkonfiguration die Palo Alto Networks Cloud NGFW-Firewallrichtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Palo Alto Networks Cloud NGFW-Firewallrichtlinien enthält alle Palo Alto Networks Cloud NGFW-Firewallrichtlinien, die Ihrem Palo Alto Networks Cloud NGFW-Mandanten zugeordnet sind. Informationen zur Erstellung und Verwaltung von Palo Alto Networks Cloud NGFW-Firewallrichtlinien finden Sie im Abschnitt Deploy Palo Alto Networks Cloud NGFW for mit dem Thema im Leitfaden Palo Alto Networks Cloud NGFW for Deployment. AWS AWS Firewall Manager AWS

10. Für die Palo Alto Networks Cloud NGFW-Protokollierung — optional — wählen Sie optional, welche Palo Alto Networks Cloud NGFW-Protokolltypen für Ihre Richtlinie protokolliert werden sollen. Informationen zu den NGFW-Protokolltypen in Palo Alto Networks Cloud finden Sie unter Configure Logging for Palo Alto Networks Cloud NGFW on im Leitfaden Palo Alto Networks Cloud NGFW for Deployment. AWS AWS

    Geben Sie als Protokollziel an, wohin Firewall Manager Protokolle schreiben soll.

11. Wählen Sie Weiter aus.

12. Führen Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:

    • Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

    • Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der AWS Firewall Manager Endpunktkonfiguration unter Inspektion-VPC-Konfiguration die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.

      • Wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

13. Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihren VPCs bereitstellen möchten, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den in den VPCs verfügbaren IP-Adressen aus.

    Anmerkung

    Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, mit der Sie die auto Korrektur deaktivieren können.

14. Wählen Sie Weiter aus.

15. Wählen Sie für den Geltungsbereich der Richtlinie unter „AWS-Konten Diese Richtlinie gilt für“ die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

16. Der Ressourcentyp für Netzwerk-Firewall-Richtlinien ist VPC.

17. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

18. Wählen Sie für Kontoübergreifenden Zugriff gewähren die Option AWS CloudFormation Vorlage herunterladen aus. Dadurch wird eine AWS CloudFormation Vorlage heruntergeladen, mit der Sie einen AWS CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Palo Alto Networks Cloud NGFW-Ressourcen gewährt. Informationen zu Stacks finden Sie unter Arbeiten mit Stacks im Benutzerhandbuch.AWS CloudFormation

19. Wählen Sie Weiter aus.

20. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

21. Wählen Sie Weiter aus.

22. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich AWS Firewall Manager Richtlinien sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Erstellen einer AWS Firewall Manager Richtlinie für Fortigate Cloud Native Firewall (CNF) as a Service

Mit einer Firewall Manager-Richtlinie für Fortigate CNF können Sie den Firewall Manager verwenden, um Fortigate CNF-Ressourcen für all Ihre Konten bereitzustellen und zu verwalten. AWS

Informationen zu den Fortigate CNF-Richtlinien von Firewall Manager finden Sie unter. Richtlinien für die Fortigate Cloud Native Firewall (CNF) als Service Informationen zur Konfiguration von Fortigate CNF für die Verwendung mit Firewall Manager finden Sie in der Fortinet-Dokumentation.

Voraussetzungen

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in AWS Firewall Manager Voraussetzungen beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

So erstellen Sie eine Firewall Manager Manager-Richtlinie für Fortigate CNF (Konsole)

1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

   Anmerkung

   Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

3. Wählen Sie Richtlinie erstellen aus.

4. Wählen Sie als Richtlinientyp Fortigate Cloud Native Firewall (CNF) as a Service aus. Wenn Sie den Fortigate CNF-Service im AWS Marketplace noch nicht abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie AWS Marketplace-Details anzeigen.

5. Wählen Sie als Bereitstellungsmodell entweder das verteilte Modell oder das zentralisierte Modell. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

6. Wählen Sie für Region eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

7. Wählen Sie Weiter aus.

8. Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

9. Wählen Sie in der Richtlinienkonfiguration die Fortigate CNF-Firewall-Richtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Fortigate CNF-Firewallrichtlinien enthält alle Fortigate CNF-Firewallrichtlinien, die Ihrem Fortigate CNF-Mandanten zugeordnet sind. Informationen zur Erstellung und Verwaltung von Fortigate CNF-Mandanten finden Sie in der Fortinet-Dokumentation.

10. Wählen Sie Weiter aus.

11. Führen Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:

    • Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

    • Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der AWS Firewall Manager Endpunktkonfiguration unter Inspektion-VPC-Konfiguration die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.

      • Wählen Sie unter Availability Zones aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem Namen der Availability Zone oder nach der Availability Zone ID auswählen.

12. Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihren VPCs bereitstellen möchten, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den in den VPCs verfügbaren IP-Adressen aus.

    Anmerkung

    Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, mit der Sie die auto Korrektur deaktivieren können.

13. Wählen Sie Weiter aus.

14. Wählen Sie für den Geltungsbereich der Richtlinie unter „AWS-Konten Diese Richtlinie gilt für“ die Option wie folgt aus:

    • Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl Alle Konten meiner AWS Organisation einbeziehen bei.

    • Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Nur die angegebenen Konten und Organisationseinheiten einbeziehen aus und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie einbeziehen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    • Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten (OUs) außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen aus, und fügen Sie dann die Konten und Organisationseinheiten hinzu, die Sie ausschließen möchten. Die Angabe einer OU ist gleichwertig mit der Angabe aller Konten in der OU und ihren untergeordneten OUs, einschließlich aller untergeordneten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden.

    Sie können nur eine der Optionen auswählen.

    Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einer ihrer untergeordneten Organisationseinheiten ein Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

15. Der Ressourcentyp für Netzwerk-Firewall-Richtlinien ist VPC.

16. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

    Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

17. Wählen Sie für Kontoübergreifenden Zugriff gewähren die Option AWS CloudFormation Vorlage herunterladen aus. Dadurch wird eine AWS CloudFormation Vorlage heruntergeladen, mit der Sie einen AWS CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Fortigate CNF-Ressourcen gewährt. Informationen zu Stacks finden Sie unter Arbeiten mit Stacks im Benutzerhandbuch.AWS CloudFormation Um einen Stack zu erstellen, benötigen Sie die Konto-ID aus dem Fortigate CNF-Portal.

18. Wählen Sie Weiter aus.

19. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

20. Wählen Sie Weiter aus.

21. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich AWS Firewall Manager Richtlinien sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen