Configuración de las políticas de firewall de próxima generación de AWS Firewall Manager Palo Alto Networks Cloud

AWS Firewall Manager Para habilitar las políticas de firewall de próxima generación (NGFW) de Palo Alto Networks Cloud, lleve a cabo los siguientes pasos en secuencia. Para obtener información sobre las NGFW políticas de Palo Alto Networks Cloud, consulteUso de las NGFW políticas de Palo Alto Networks Cloud para Firewall Manager.

Paso 1: Cumplimentar los requisitos previos generales

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en AWS Firewall Manager requisitos previos. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Paso 2: Cumplimentar los requisitos previos de la NGFW política de nube de Palo Alto Networks

Hay un par de pasos obligatorios adicionales que debe completar para poder utilizar las NGFW políticas de Palo Alto Networks Cloud. Estos pasos se describen en Requisitos previos de la política de firewall de próxima generación de Palo Alto Networks Cloud. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Paso 3: Crear y aplicar una NGFW política de nube de Palo Alto Networks

Tras cumplir los requisitos previos, debe crear una NGFW política de AWS Firewall Manager Palo Alto Networks Cloud.

Para obtener más información sobre las políticas de Firewall Manager para Palo Alto Networks CloudNGFW, consulteUso de las NGFW políticas de Palo Alto Networks Cloud para Firewall Manager.

Para crear una política de Firewall Manager para Palo Alto Networks Cloud NGFW (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. Para el tipo de política, elija Palo Alto Networks Cloud NGFW. Si aún no te has suscrito al NGFW servicio en la nube de Palo Alto Networks en AWS Marketplace, tendrás que hacerlo primero. Para suscribirte en AWS Marketplace, selecciona Ver detalles del AWS Marketplace.

5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos finales del firewall en cada uno de los puntos de conexión VPC que se encuentran dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto final en una inspecciónVPC.

6. En Región, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

7. Elija Next (Siguiente).

8. En Nombre de política, introduzca un nombre descriptivo.

9. En la configuración de la política, elija la política de NGFW firewall de Palo Alto Networks Cloud para asociarla a esta política. La lista de políticas de NGFW firewall de Palo Alto Networks Cloud contiene todas las políticas de NGFW firewall de Palo Alto Networks Cloud asociadas a su NGFW inquilino de Palo Alto Networks Cloud. Para obtener información sobre cómo crear y administrar las políticas de NGFW firewall de Palo Alto Networks Cloud, consulte la guía Implemente Palo Alto Networks Cloud NGFW para, AWS junto con el AWS Firewall Manager tema, en la guía de implementación de Palo Alto Networks Cloud NGFW for AWS Deployment.

10. En el caso del NGFWregistro en Palo Alto Networks Cloud (opcional), elija de forma opcional los tipos de NGFW registro de Palo Alto Networks Cloud que desee registrar para su política. Para obtener información sobre los tipos de NGFW registro en la nube de Palo Alto Networks, consulte Configurar el registro para Palo Alto Networks Cloud NGFW AWS en la guía de AWS implementación de Palo Alto Networks Cloud NGFW.

    En Destino del registro, especifique en qué momento Firewall Manager debe escribir los registros.

11. Elija Next (Siguiente).

12. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de despliegue centralizado para esta política, en la configuración de AWS Firewall Manager terminales, en la VPCsección Configuración de inspección, introduzca el ID de AWS cuenta del propietario de la inspección VPC y el VPC ID de la inspecciónVPC.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

13. Elija Next (Siguiente).

14. Para Alcance de la política, en esta política se aplica a Cuentas de AWS , elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada Incluir todas las cuentas de mi AWS organización.

    • Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundariasOUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

    El tipo de recurso para las políticas de Network Firewall es VPC.

15. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

16. En Conceder acceso entre cuentas, seleccione Descargar plantilla de AWS CloudFormation . Esto descarga una AWS CloudFormation plantilla que puedes usar para crear una AWS CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos multicuenta al Administrador de Firewall para administrar los NGFW recursos de Palo Alto Networks Cloud. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de AWS CloudFormation .

17. Elija Next (Siguiente).

18. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

19. Elija Next (Siguiente).

20. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Compruebe que Acciones de la política está establecido en Identificar los recursos que no cumplan las reglas de la política, pero sin corregirlos automáticamente. Esto te permite revisar los cambios que introduciría tu política antes de activarlos.

21. Cuando esté satisfecho con la política, elija Crear política.

    En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Para obtener más información sobre las NGFW políticas de Firewall Manager Palo Alto Networks Cloud, consulteUso de las NGFW políticas de Palo Alto Networks Cloud para Firewall Manager.