Reglas y etiquetado de ACL de red Administración inicial de las ACL de red Remediación de las ACL de red administradas Informes de conformidad con las ACL de red Prácticas recomendadas Advertencias Eliminar una política de ACL de red

Políticas de listas de control de acceso (ACL) a la red de Amazon VPC

En esta sección se explica cómo funcionan las políticas de ACL de AWS Firewall Manager red y se proporcionan instrucciones para utilizarlas. Para obtener instrucciones sobre cómo crear una política de ACL de red mediante la consola, consulteCrear una política de ACL de red.

Para obtener información sobre las listas de control de acceso a la red (ACL) de Amazon VPC, consulte Control del tráfico a las subredes mediante ACL de red en la Guía del usuario de Amazon VPC.

Puede utilizar las políticas de ACL de red de Firewall Manager para gestionar las listas de control de acceso (ACL) a la red de Amazon Virtual Private Cloud (Amazon VPC) para su organización. AWS Organizations Usted define la configuración de las reglas de ACL de red de la política y las cuentas y subredes en las que desea que se aplique la configuración. Firewall Manager aplica continuamente la configuración de sus políticas a las cuentas y subredes a medida que se agregan o actualizan en toda la organización. Para obtener información sobre el alcance de la política AWS Organizations, consulte AWS Firewall Manager alcance de la política la Guía del AWS Organizations usuario.

Al definir una política de ACL de red de Firewall Manager, además de la configuración estándar de la política de Firewall Manager, como el nombre y el alcance, debe proporcionar lo siguiente:

Primera y última regla para la gestión del tráfico entrante y saliente. Firewall Manager impone la presencia y el orden de estos elementos en las ACL de la red que están dentro del ámbito de aplicación de la política o informa de su incumplimiento. Sus cuentas individuales pueden crear reglas personalizadas que se ejecuten entre la primera y la última regla de la política.
Si se debe forzar la corrección cuando la remediación pueda provocar conflictos en la administración del tráfico entre las reglas de la ACL de la red. Esto se aplica solo cuando la corrección está habilitada para la política.

Reglas y etiquetado de ACL de red de Firewall Manager

En esta sección se describen las especificaciones de las reglas de política de ACL de red y las ACL de red que administra Firewall Manager.

Etiquetado en una ACL de red gestionada

Firewall Manager etiqueta una ACL de red administrada con una FMManaged etiqueta que tiene un valor detrue. Firewall Manager solo corrige las ACL de red que tienen esta configuración de etiqueta.

Reglas que usted defina en la política

En la especificación de la política de ACL de la red, usted define las reglas que desea ejecutar primero y último para el tráfico entrante y las reglas que desea ejecutar primero y último para el tráfico saliente.

De forma predeterminada, puede definir hasta 5 reglas de entrada para usarlas en cualquier combinación de la primera y la última regla de la política. Del mismo modo, puede definir hasta 5 reglas de salida. Para obtener más información sobre estos límites, consulteCuotas flexibles. Para obtener información sobre los límites generales de las ACL de red, consulte las cuotas de Amazon VPC en las ACL de red en la Guía del usuario de Amazon VPC.

No se asignan números de regla a las reglas de la política. En su lugar, usted especifica las reglas en el orden en que desea que se evalúen y Firewall Manager utiliza ese orden para asignar números de reglas en las ACL de red que administra.

Además, administra las especificaciones de las reglas de ACL de red de la política del mismo modo que administraría las reglas de una ACL de red a través de Amazon VPC. Para obtener información sobre la administración de ACL de red en Amazon VPC, consulte Controlar el tráfico a las subredes mediante ACL de red y Trabajar con ACL de red en la Guía del usuario de Amazon VPC.

Reglas en una red gestionada (ACL)

Firewall Manager configura las reglas en una ACL de red que administra colocando la primera y la última regla de la política antes y después de cualquier regla personalizada que defina un administrador de cuentas individual. Firewall Manager conserva el orden de las reglas personalizadas. Las ACL de red se evalúan a partir de la regla con el número más bajo.

Cuando Firewall Manager crea por primera vez una ACL de red, define las reglas con la siguiente numeración:

Primeras reglas: 1, 2,... — Definido por usted en la política de ACL de la red del Firewall Manager.

Firewall Manager asigna números de regla a partir de 1 con incrementos de 1, con las reglas ordenadas tal como las ha ordenado en la especificación de la política.
Reglas personalizadas: 5.000, 5.100,... — Administrado por administradores de cuentas individuales a través de Amazon VPC.

Firewall Manager asigna números a estas reglas empezando por 5.000 y aumentando en 100 para cada regla subsiguiente.
Últimas reglas:... 32.765, 32.766: Definido por usted en la política de ACL de red del Firewall Manager.

Firewall Manager asigna números de regla que terminan en el número más alto posible, 32766 con incrementos de 1, con las reglas ordenadas tal como las ha ordenado en la especificación de la política.

Tras la inicialización de las ACL de red, Firewall Manager no controla los cambios que las cuentas individuales realizan en sus ACL de red gestionadas. Las cuentas individuales pueden cambiar una ACL de red sin infringir la normativa, siempre que las reglas personalizadas permanezcan numeradas entre la primera y la última regla de la política, y que la primera y la última regla mantengan el orden especificado. Como práctica recomendada, cuando gestione reglas personalizadas, siga la numeración que se describe en esta sección.

Cómo inicia Firewall Manager la administración de ACL de red para una subred

Firewall Manager comienza a administrar la ACL de red de una subred cuando asocia la subred a una ACL de red que Firewall Manager ha creado y marcado como FMManaged establecida. true

El cumplimiento de una política de ACL de red requiere que la ACL de red de la subred coloque las primeras reglas de la política en primer lugar, en el orden especificado en la política, las últimas en último lugar, en orden, y cualquier otra regla personalizada en el medio. Estos requisitos se pueden cumplir con una ACL de red no administrada a la que la subred ya esté asociada o con una ACL de red administrada.

Cuando Firewall Manager aplica una política de ACL de red a una subred asociada a una ACL de red no administrada, Firewall Manager comprueba lo siguiente en orden y se detiene cuando identifica una opción viable:

La ACL de red asociada ya es compatible: si la ACL de red que está actualmente asociada a la subred es compatible, Firewall Manager deja esa asociación en su lugar y no inicia la administración de la ACL de red para la subred.

Firewall Manager no altera ni administra de otro modo una ACL de red que no sea de su propiedad, pero siempre que sea compatible, Firewall Manager la deja en su lugar y se limita a supervisarla para comprobar el cumplimiento de las políticas.
Hay disponible una ACL de red administrada compatible: si Firewall Manager ya administra una ACL de red que cumple con la configuración requerida, esta es una opción. Si la corrección está habilitada, el Firewall Manager le asocia la subred. Si la corrección está deshabilitada, Firewall Manager marca la subred como no compatible y ofrece reemplazar la asociación de ACL de la red como opción de corrección.
Cree una nueva ACL de red gestionada compatible: si la corrección está habilitada, Firewall Manager crea una nueva ACL de red y la asocia a la subred. De lo contrario, Firewall Manager marca la subred como no compatible y ofrece las opciones correctivas de crear la nueva ACL de red y reemplazar la asociación de ACL de red.

Si estos pasos no se realizan correctamente, Firewall Manager informa del incumplimiento de la subred.

Firewall Manager sigue estos pasos cuando una subred entra en el alcance por primera vez y cuando la ACL de la red no administrada de una subred no cumple con las normas.

Cómo corrige Firewall Manager las ACL de red gestionadas que no cumplen las normas

En esta sección se describe cómo Firewall Manager corrige sus ACL de red gestionadas cuando no cumplen con la política. Firewall Manager solo corrige las ACL de red administradas, con la etiqueta configurada enFMManaged. true Para ver las ACL de red que no están administradas por Firewall Manager, consulteAdministración inicial de las ACL de red.

La corrección restaura las ubicaciones relativas de la primera regla, la personalizada y la última, y restablece el orden de la primera y la última regla. Durante la corrección, Firewall Manager no necesariamente moverá las reglas a los números de regla que utiliza en la inicialización de la ACL de la red. Para ver la configuración numérica inicial y las descripciones de estas categorías de reglas, consulte. Administración inicial de las ACL de red

Para establecer reglas y un orden de reglas compatibles, es posible que Firewall Manager necesite mover las reglas dentro de la ACL de la red. En la medida de lo posible, Firewall Manager preserva las protecciones de la ACL de la red manteniendo al mismo tiempo el orden de normas vigente. Por ejemplo, podría duplicar temporalmente las reglas en nuevas ubicaciones y, a continuación, eliminar ordenadamente las reglas originales, conservando las ubicaciones relativas durante el proceso.

Este enfoque protege la configuración, pero también requiere espacio en la ACL de la red para las reglas provisionales. Si Firewall Manager alcanza el límite de reglas en una ACL de red, detendrá la corrección. Cuando esto ocurre, la ACL de la red sigue sin cumplir las normas y Firewall Manager informa del motivo.

Si una cuenta agrega reglas personalizadas a una ACL de red administrada por Firewall Manager y esas reglas interfieren con la corrección del Firewall Manager, Firewall Manager detiene cualquier actividad de corrección en la ACL de red e informa del conflicto.

Solución forzosa

Si elige la corrección automática para la política, también especifica si desea forzar la corrección para la primera regla o para la última regla.

Cuando Firewall Manager detecta un conflicto en la gestión del tráfico entre una regla personalizada y una regla de política, hace referencia a la configuración de corrección forzada correspondiente. Si la corrección forzada está habilitada, Firewall Manager la aplica a pesar del conflicto. Si esta opción no está habilitada, el Firewall Manager detiene la corrección. En cualquier caso, Firewall Manager informa del conflicto de reglas y ofrece opciones de corrección.

Requisitos y limitaciones del recuento de reglas

Durante la corrección, Firewall Manager puede duplicar temporalmente las reglas para moverlas sin alterar las protecciones que proporcionan.

Tanto para las reglas de entrada como de salida, el mayor número de reglas que Firewall Manager puede necesitar para corregir es el siguiente:


2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Las ACL de red y las políticas de ACL de red están sujetas a límites de reglas mutables. Si Firewall Manager alcanza un límite en sus esfuerzos de remediación, deja de intentar remediar e informa del incumplimiento.

Para dejar espacio para que Firewall Manager lleve a cabo sus actividades de corrección, puede solicitar un aumento del límite. Como alternativa, puede cambiar la configuración de la política o la ACL de la red para reducir el número de reglas utilizadas.

Para obtener información sobre los límites de las ACL de la red, consulte las cuotas de Amazon VPC en las ACL de la red en la Guía del usuario de Amazon VPC.

Cuando se produce un error en la corrección

Al actualizar una ACL de red, si el Firewall Manager necesita detenerse por algún motivo, no revierte los cambios, sino que deja la ACL de la red en un estado provisional. Si ve reglas duplicadas en una ACL de red que tiene la FMManaged etiqueta configurada entrue, lo más probable es que Firewall Manager esté solucionando el problema. Es posible que los cambios se hayan completado parcialmente durante un período, pero debido al enfoque que adopta Firewall Manager para solucionarlos, esto no interrumpirá el tráfico ni reducirá la protección de las subredes asociadas.

Cuando Firewall Manager no corrige por completo las ACL de red que no cumplen con los requisitos, informa del incumplimiento de las subredes asociadas y sugiere posibles opciones de corrección.

Al volver a intentarlo una vez se produce un error en la corrección

En la mayoría de los casos, si Firewall Manager no completa los cambios de corrección en una ACL de red, eventualmente volverá a intentar el cambio.

La excepción a esto ocurre cuando la corrección alcanza el límite de recuento de reglas de ACL de la red o el límite de recuento de ACL de la red de la VPC. Firewall Manager no puede realizar actividades de corrección que consuman AWS recursos por encima de su configuración límite. En estos casos, es necesario reducir los recuentos o aumentar los límites para poder continuar. Para obtener información sobre los límites, consulte las cuotas de Amazon VPC en las ACL de red en la Guía del usuario de Amazon VPC.

Informes de cumplimiento de ACL de red de Firewall Manager

Firewall Manager supervisa e informa del cumplimiento de todas las ACL de red que están conectadas a las subredes incluidas en el ámbito de aplicación.

En términos generales, el incumplimiento se produce en situaciones como un orden incorrecto de las reglas o un conflicto en el comportamiento de gestión del tráfico entre las reglas de política y las reglas personalizadas. Los informes de incumplimiento incluyen las infracciones de conformidad y las opciones de remediación.

Firewall Manager informa sobre las infracciones de conformidad de una política de ACL de red de la misma manera que para otros tipos de políticas. Para obtener información sobre los informes de conformidad, consulteVisualización de la información de cumplimiento de una AWS Firewall Manager política.

Incumplimiento durante las actualizaciones de las políticas

Después de modificar una política de ACL de red, hasta que Firewall Manager actualice las ACL de red que están dentro del ámbito de la política, Firewall Manager marca esas ACL de red como no conformes. Firewall Manager lo hace incluso si las ACL de la red pueden, estrictamente hablando, cumplir con las normas.

Por ejemplo, si elimina las reglas de la especificación de la política y las ACL de red incluidas en el ámbito de aplicación siguen teniendo reglas adicionales, es posible que sus definiciones de reglas sigan cumpliendo con la política. Sin embargo, dado que las reglas adicionales forman parte de las reglas que administra Firewall Manager, Firewall Manager las considera infracciones de la configuración de políticas actual. Esto es diferente de la forma en que el Administrador de Firewall ve las reglas personalizadas que se agregan a las ACL de red administradas por Firewall Manager.

Mejores prácticas para usar las políticas de ACL de red de Firewall Manager

En esta sección se enumeran las recomendaciones para trabajar con las políticas de ACL de red y las ACL de red administradas de Firewall Manager.

Consulte la `FMManaged` etiqueta para identificar las ACL de red administradas por Firewall Manager

Las ACL de red que administra Firewall Manager tienen la FMManaged etiqueta configurada en. true Use esta etiqueta para distinguir sus propias ACL de red personalizadas de las que administra mediante Firewall Manager.

No modifique el valor de la `FMManaged` etiqueta en una ACL de red

Firewall Manager usa esta etiqueta para establecer y determinar su estado de administración con una ACL de red.

No modifique las asociaciones de las subredes que tienen ACL de red administradas por Firewall Manager

No cambie manualmente las asociaciones entre las subredes y las ACL de red administradas por Firewall Manager. Si lo hace, puede inhabilitar la capacidad del Firewall Manager para administrar las protecciones de esas subredes. Puede identificar las ACL de red administradas por el Firewall Manager consultando la configuración de FMManaged etiquetas detrue.

Para eliminar una subred de la administración de políticas del Firewall Manager, utilice la configuración del ámbito de la política del Firewall Manager para excluir la subred. Por ejemplo, puede etiquetar la subred y, a continuación, excluirla del ámbito de la política. Para obtener más información, consulte AWS Firewall Manager alcance de la política.

Cuando actualice una ACL de red administrada, no modifique las reglas que administra Firewall Manager

En una ACL de red administrada por Firewall Manager, mantenga sus reglas personalizadas separadas de las reglas de política siguiendo el esquema de numeración descrito en. Reglas y etiquetado de ACL de red de Firewall Manager Agregue o modifique únicamente las reglas que tengan números entre 5000 y 32 000.

Evita añadir demasiadas reglas a los límites de tu cuenta

Durante la corrección de una ACL de red, el Firewall Manager suele aumentar temporalmente el recuento de reglas de ACL de la red. Para evitar problemas de incumplimiento, asegúrese de tener suficiente espacio para las reglas que utilice. Para obtener más información, consulte Cómo corrige Firewall Manager las ACL de red gestionadas que no cumplen las normas.

Comience con la corrección automática desactivada

Comience con la corrección automática deshabilitada y, a continuación, revise la información detallada de la política para determinar los efectos que tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la política y habilite la corrección automática.

Advertencias sobre la política de ACL de red de Firewall Manager

En esta sección se enumeran las advertencias y limitaciones relacionadas con el uso de las políticas de ACL de red de Firewall Manager.

Tiempos de actualización más lentos que con otras políticas: Firewall Manager suele aplicar las políticas de ACL de red y los cambios de política con más lentitud que con otras políticas de Firewall Manager, debido a las limitaciones en la velocidad a la que las API de ACL de red de Amazon EC2 pueden procesar las solicitudes. Es posible que observe que los cambios de política tardan más que los cambios similares con otras políticas del Firewall Manager, especialmente cuando agrega una política por primera vez.
Para la protección inicial de subredes, Firewall Manager prefiere las políticas más antiguas. Esto solo se aplica a las subredes que aún no están protegidas por una política de ACL de red de Firewall Manager. Si una subred entra en el ámbito de aplicación de más de una política de ACL de red al mismo tiempo, Firewall Manager utiliza la política más antigua para proteger la subred.
Motivos por los que una política deja de proteger una subred: una política que administra la ACL de red de una subred conserva la administración hasta que ocurra una de las siguientes situaciones:
- La subred queda fuera del ámbito de aplicación de la política.
- Se elimina la política.
- La asociación de la subred se cambia manualmente a una ACL de red que se administra mediante una política de Firewall Manager diferente y cuyo ámbito de aplicación es la subred.

Eliminar una política de ACL de red de Firewall Manager

Al eliminar una política de ACL de red de Firewall Manager, Firewall Manager cambia los valores de las FMManaged etiquetas a false los de todas las ACL de red que ha estado administrando para la política.

Además, puede elegir si desea limpiar los recursos creados por la política. Si elige limpiar, el Firewall Manager intentará realizar los siguientes pasos en orden:

Vuelva a colocar la asociación en la original: Firewall Manager intenta volver a asociar la subred a la ACL de red a la que estaba asociada antes de que Firewall Manager comenzara a administrarla.
Eliminar la primera y la última regla de la ACL de la red: si no puede cambiar la asociación, el Firewall Manager intenta eliminar la primera y la última regla de la política, dejando solo las reglas personalizadas en la ACL de la red que está asociada a la subred.
No altere las reglas ni la asociación: si no puede hacer ninguna de las cosas anteriores, Firewall Manager deja la ACL de la red y su asociación tal como están.

Si no elige la opción de limpieza, tendrá que administrar manualmente cada ACL de la red después de eliminar la política. En la mayoría de las situaciones, elegir la opción de eliminación es el enfoque más sencillo.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas de grupos de seguridad

Políticas de Network Firewall