AWS Network Firewall políticas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Configuración del registro para una política de Network Firewall

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Network Firewall políticas

Puede usar las políticas de AWS Firewall Manager Network Firewall para administrar los AWS Network Firewall firewalls de sus VPC de Amazon Virtual Private Cloud en toda su organización en. AWS Organizations Puede aplicar firewalls controlados centralmente a toda su organización o a un subconjunto selecto de sus cuentas y VPC.

Network Firewall proporciona protecciones de filtrado de tráfico de red para las subredes públicas de sus VPC. Firewall Manager crea y administra sus firewalls en función del tipo de administración de firewall definido por su política. Firewall Manager proporciona los siguientes modelos de administración de firewall:

  • Distribuido: para cada cuenta y VPC que se encuentra dentro del alcance de la política, Firewall Manager crea un firewall de Network Firewall e implementa puntos de conexión de firewall en las subredes de VPC para filtrar el tráfico de la red.

  • Centralizado: Firewall Manager crea un único firewall de Network Firewall en una única Amazon VPC.

  • Importar firewalls existentes: Firewall Manager importa los firewalls existentes para su administración en una única política de Firewall Manager. Puede aplicar reglas adicionales a los firewalls importados administrados por su política para asegurarse de que cumplen con sus estándares de seguridad.

nota

Las políticas de Firewall Manager Network Firewall son políticas de Firewall Manager que se utilizan para administrar las protecciones del Firewall de red para las VPC de toda su organización.

Las protecciones de Network Firewall se especifican en los recursos del servicio Network Firewall que se denominan políticas de firewall.

Para obtener más información sobre Network Firewall, consulte la Guía para desarrolladores de AWS Network Firewall.

En las siguientes secciones se describen los requisitos para utilizar las políticas de Firewall Manager Network Firewall y se describe su funcionamiento. Para conocer el procedimiento para crear la política, consulte Crear una AWS Firewall Manager política para AWS Network Firewall.

Debe habilitar el uso compartido de recursos

Una política de Network Firewall comparte los grupos de reglas de Network Firewall entre las cuentas de su organización. Para que esto funcione, debe tener activado el uso compartido de recursos para AWS Organizations. Para obtener información acerca de cómo habilitar el uso compartido de recursos, consulte Uso compartido de recursos para las políticas de Network Firewall y DNS Firewall.

Debe tener definidos sus grupos de reglas de Network Firewall

Cuando especifica una nueva política de Network Firewall, define la política de firewall de la misma manera que cuando la usa AWS Network Firewall directamente. Especifique los grupos de reglas sin estado que desea agregar, las acciones sin estado predeterminadas y los grupos de reglas con estado. Sus grupos de reglas deben existir ya en la cuenta de administrador del Firewall Manager para que pueda incluirlos en la política. Para obtener información sobre cómo crear grupos de reglas de Network Firewall, consulte Grupos de reglas de AWS Network Firewall.

Cómo crea Firewall Manager los puntos de conexión del firewall

El tipo de administración de firewall de su política determina la forma en que Firewall Manager crea los firewalls. Su política puede crear firewalls distribuidos, un firewall centralizado o puede importar firewalls existentes:

  • Distributed: con el modelo de implementación distribuida, Firewall Manager crea puntos de conexión en cada VPC que se encuentre dentro del alcance de la política. Puede personalizar la ubicación de los puntos de conexión especificando en qué zonas de disponibilidad desea crear puntos de conexión del firewall, o Firewall Manager puede crear puntos de conexión automáticamente en las zonas de disponibilidad con subredes públicas. Si selecciona manualmente las zonas de disponibilidad, tiene la opción de restringir el conjunto de CIDR permitidos por zona de disponibilidad. Si decide permitir que Firewall Manager cree automáticamente los puntos de conexión, también debe especificar si el servicio va a crear un único punto de conexión o varios puntos de conexión de firewall dentro de sus VPC.

    • Para varios puntos de conexión de firewall, Firewall Manager implementa un punto de conexión de firewall en cada zona de disponibilidad en la que tenga una subred con una puerta de enlace de Internet o una ruta de punto de conexión de firewall creada por Firewall Manager en la tabla de enrutamiento. Esta es la opción predeterminada para una política de Network Firewall.

    • Para un único punto de conexión de firewall, Firewall Manager implementa un punto de conexión de firewall en una sola zona de disponibilidad en cualquier subred que tenga una ruta de puerta de enlace de Internet. Con esta opción, el tráfico en otras zonas debe cruzar los límites de la zona para que el firewall lo filtre.

      nota

      Para ambas opciones, debe haber una subred asociada a una tabla de enrutamiento que contenga una ruta IPv4/PrefixList. Firewall Manager no comprueba si hay otros recursos.

  • Centralizado: con el modelo de implementación centralizada, Firewall Manager crea uno o más puntos de conexión de firewall dentro de una VPC de inspección. Una VPC de inspección es una VPC central en la que Firewall Manager lanza sus puntos de conexión. Cuando utiliza el modelo de implementación centralizada, también especifica en qué zonas de disponibilidad desea crear puntos de conexión de firewall. No puede cambiar la VPC de inspección después de crear su política. Para usar una VPC de inspección distinta, debe crear una política nueva.

  • Importar firewalls existentes: al importar firewalls existentes, elija los firewalls que desea administrar en su política agregando uno o más conjuntos de recursos a su política. Un conjunto de recursos es una colección de recursos, en este caso firewalls existentes en Network Firewall, que son administrados por una cuenta de su organización. Antes de utilizar conjuntos de recursos en la política, primero debe crear un conjunto de recursos. Para obtener información sobre los conjuntos de recursos de Firewall Manager, consulte Trabajar con conjuntos de recursos en Firewall Manager.

    Tenga en cuenta las siguientes consideraciones al trabajar con firewalls importados:

    • Si un firewall importado deja de ser compatible, Firewall Manager intentará resolver automáticamente la infracción, excepto en las siguientes circunstancias:

      • Si no coinciden las acciones predeterminadas con o sin estado de la política de Firewall Manager y Network Firewall.

      • Si un grupo de reglas de la política de firewall de un firewall importado tiene la misma prioridad que un grupo de reglas de la política de Firewall Manager.

      • Si un firewall importado usa una política de firewall asociada a un firewall, esa política no forma parte del conjunto de recursos de la política. Esto puede suceder porque un firewall puede tener exactamente una política de firewall, pero una única política de firewall puede estar asociada a varios firewalls.

      • Si se asigna una prioridad diferente a un grupo de reglas preexistente que pertenece a la política de firewall de un firewall importado y que también se especifica en la política del Firewall Manager.

    • Si habilita la limpieza de recursos en la política, el Firewall Manager elimina los grupos de reglas que han estado en la política de importación de FMS de los firewalls dentro del alcance del conjunto de recursos.

    • Los firewalls administrados por un Firewall Manager importan el tipo de administración de firewall existente solo pueden ser administrados por una política a la vez. Si se agrega el mismo conjunto de recursos a varias políticas de importación de firewalls de red, los firewalls del conjunto de recursos serán administrados por la primera política a la que se agregó el conjunto de recursos y serán ignorados por la segunda política.

    • Actualmente, Firewall Manager no transmite configuraciones de políticas de excepción. Para obtener información sobre las políticas de excepciones de transmisión, consulte la Política de excepción de transmisión) en la Guía para desarrolladores de AWS Network Firewall .

Si cambia la lista de zonas de disponibilidad para las políticas que utilizan una administración de firewall distribuida o centralizada, Firewall Manager intentará limpiar todos los puntos de conexión que se hayan creado en el pasado, pero que actualmente no estén dentro del alcance de la política. Firewall Manager eliminará el punto de conexión solo si no hay rutas de la tabla de enrutamiento que hagan referencia al punto de conexión fuera del alcance. Si Firewall Manager descubre que no puede eliminar estos puntos de conexión, marcará la subred del firewall como no compatible y seguirá intentando eliminar el punto de conexión hasta que sea seguro eliminarlo.

Cómo administra Firewall Manager sus subredes de firewall

Las subredes de firewall son las subredes de VPC que Firewall Manager crea para los puntos de conexión de firewall que filtran el tráfico de su red. Cada punto de conexión de firewall debe implementarse en una subred de VPC dedicada. Firewall Manager crea al menos una subred de firewall en cada VPC que esté dentro del alcance de aplicación de la política.

Para las políticas que utilizan el modelo de implementación distribuida con configuración automática de puntos de conexión, Firewall Manager solo crea subredes de firewall en las zonas de disponibilidad que tienen una subred con una ruta de puerta de enlace de Internet o una subred con una ruta a los puntos de conexión de firewall que Firewall Manager creó para su política. Para obtener más información, consulte VPC y subredes en la Guía del usuario de Amazon VPC.

Para las políticas que utilizan el modelo distribuido o centralizado, en el que se especifican las zonas de disponibilidad en las que el Firewall Manager crea los puntos de conexión del firewall, Firewall Manager crea un punto de conexión en esas zonas de disponibilidad específicas, independientemente de si hay otros recursos en la zona de disponibilidad.

Al definir por primera vez una política de un Firewall de red, se especifica la forma en que Firewall Manager administra las subredes del firewall en cada una de las VPC que están dentro del alcance. No podrá cambiar esta opción más adelante.

En el caso de las políticas que utilizan el modelo de implementación distribuido con una configuración automática de puntos de conexión, puede elegir entre las siguientes opciones:

  • Implemente una subred de firewall para cada zona de disponibilidad que tenga subredes públicas. Este es el comportamiento predeterminado. Esto proporciona una alta disponibilidad de sus protecciones de filtrado de tráfico.

  • Implemente una única subred de firewall en una zona de disponibilidad. Con esta opción, Firewall Manager identifica una zona de la VPC que tiene mayor cantidad de subredes públicas y crea la subred de firewall allí. El único punto de conexión del firewall filtra todo el tráfico de red para la VPC. Esto puede reducir los costos del firewall, pero no tiene alta disponibilidad y requiere que el tráfico de otras zonas cruce los límites de la zona para poder ser filtrado.

Para las políticas que utilizan un modelo de implementación distribuido con una configuración de punto de conexión personalizada o el modelo de implementación centralizado, Firewall Manager crea las subredes en las zonas de disponibilidad especificadas que se encuentran dentro del alcance de la política.

Puede proporcionar bloques CIDR de VPC para que Firewall Manager los utilice en las subredes del firewall o puede dejar que Firewall Manager determine la elección de las direcciones de punto de conexión del firewall.

  • Si no proporciona bloques CIDR, Firewall Manager consulta las direcciones IP disponibles en sus VPC para utilizarlas.

  • Si proporciona una lista de bloques de CIDR, el Firewall Manager busca nuevas subredes solo en los bloques de CIDR que proporcione. Debe usar bloques CIDR de /28. Para cada subred de firewall que crea Firewall Manager, recorre su lista de bloques de CIDR y usa la primera que encuentra que es aplicable a la zona de disponibilidad y a la VPC y que tiene direcciones disponibles. Si Firewall Manager no puede encontrar espacios abiertos en la VPC (con o sin la restricción), el servicio no creará un firewall en la VPC.

Si Firewall Manager no puede crear una subred de firewall requerida en una zona de disponibilidad, marca la subred como no compatible con la política. Mientras la zona se encuentre en este estado, el tráfico de la zona debe cruzar los límites de la zona para que un punto de conexión de otra zona pueda filtrarlo. Esto es similar al escenario de una única subred de firewall.

Cómo administra Firewall Manager sus recursos de Network Firewall

Al definir la política en el Firewall Manager, se proporciona el comportamiento de filtrado del tráfico de red de una política de AWS Network Firewall firewall estándar. Puede agregar grupos de reglas de Network Firewall sin estado y con estado y especificar las acciones predeterminadas para los paquetes que no coincidan con ninguna regla sin estado. Para obtener información sobre cómo trabajar con las políticas de firewall AWS Network Firewall, consulte las políticas de AWS Network Firewall firewall.

Para políticas distribuidas y centralizadas, cuando guarde la política de Network Firewall, Firewall Manager crea un firewall y una política de firewall en cada VPC que esté dentro del alcance de la política. Firewall Manager asigna un nombre a estos recursos de Network Firewall mediante la concatenación de los siguientes valores:

  • Una cadena fija, FMManagedNetworkFirewall o bien FMManagedNetworkFirewallPolicy, según el tipo de recurso.

  • Nombre de la política de Firewall Manager. Es el nombre que asigna al crear la política.

  • ID de la política de Firewall Manager. Este es el ID AWS de recurso de la política del Firewall Manager.

  • ID de Amazon VPC. Este es el ID AWS de recurso de la VPC en la que Firewall Manager crea el firewall y la política de firewall.

A continuación se muestra un nombre de ejemplo para un firewall administrado por Firewall Manager:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

A continuación se muestra un ejemplo de nombre de política de firewall:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Después de crear la política, las cuentas de los miembros en las VPC no pueden anular la configuración de su política de firewall ni sus grupos de reglas, pero pueden añadir grupos de reglas a la política de firewall que ha creado Firewall Manager.

Cómo Firewall Manager administra y supervisa las tablas de enrutamiento de VPC para su política

nota

Actualmente, la administración de tablas de enrutamiento no es compatible con las políticas que utilizan el modelo de implementación centralizada.

Cuando Firewall Manager crea los puntos de conexión del firewall, también crea las tablas de enrutamiento de VPC para ellos. Sin embargo, Firewall Manager no administra las tablas de enrutamiento de la VPC. Debe configurar las tablas de enrutamiento de la VPC para dirigir el tráfico de red a los puntos de conexión del firewall creados por Firewall Manager. Con las mejoras de enrutamiento de ingreso de Amazon VPC, cambie las tablas de enrutamiento para enrutar el tráfico a través de los nuevos puntos de conexión del firewall. Los cambios deben insertar los puntos de conexión del firewall entre las subredes que desea proteger y las ubicaciones externas. El enrutamiento exacto que debe realizar depende de su arquitectura y sus componentes.

Actualmente, Firewall Manager permite supervisar las rutas de la tabla de enrutamiento de la VPC para detectar cualquier tráfico destinado a la puerta de enlace de Internet, es decir, que esté eludiendo el firewall. Firewall Manager no admite otras puertas de enlace de destino, como las puertas de enlace NAT.

Para obtener información sobre la administración de las tablas de enrutamiento de la VPC, consulte Administrar las tablas de enrutamiento de su VPC en la Guía del usuario de Amazon Virtual Private Cloud. Para obtener información sobre la administración de las tablas de enrutamiento para Network Firewall, consulte Configuraciones de tablas de enrutamiento de AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall .

Cuando habilita la supervisión de una política, Firewall Manager supervisa continuamente las configuraciones de rutas de la VPC y le alerta sobre el tráfico que elude la inspección del firewall de esa VPC. Si una subred tiene una ruta de punto de conexión de firewall, Firewall Manager busca las siguientes rutas:

  • Rutas para enviar el tráfico al punto de conexión de Network Firewall.

  • Rutas para reenviar el tráfico desde el punto de conexión de Network Firewall a la puerta de enlace de Internet.

  • Rutas entrantes desde la puerta de enlace de Internet al punto de conexión de Network Firewall.

  • Rutas desde la subred del firewall.

Si una subred tiene una ruta de Network Firewall, pero hay un enrutamiento asimétrico en el Firewall de red y en la tabla de enrutamiento de la puerta de enlace de Internet, Firewall Manager informa que la subred no es compatible. Firewall Manager también detecta las rutas a la puerta de enlace de Internet en la tabla de enrutamiento del firewall que creó Firewall Manager, así como en la tabla de enrutamiento de la subred, y las informa como no compatibles. Las rutas adicionales de la tabla de enrutamiento de subred de Network Firewall y la tabla de enrutamiento de la puerta de enlace de Internet también se reportan como no compatibles. Según el tipo de infracción, Firewall Manager sugiere acciones correctivas para que la configuración de la ruta cumpla con las normas. Firewall Manager no ofrece sugerencias en todos los casos. Por ejemplo, si la subred de su cliente tiene un punto de conexión de firewall que se creó fuera de Firewall Manager, Firewall Manager no sugiere acciones correctivas.

De forma predeterminada, Firewall Manager marcará cualquier tráfico que cruce el límite de la zona de disponibilidad para su inspección como no compatible. Sin embargo, si decide crear automáticamente un punto de conexión único en su VPC, Firewall Manager no marcará el tráfico que cruce el límite de la zona de disponibilidad como no compatible.

En el caso de las políticas que utilizan modelos de implementación distribuidos con una configuración de punto de conexión personalizada, puede elegir si el tráfico que cruza el límite de la zona de disponibilidad desde una zona de disponibilidad sin un punto de conexión de firewall se marca como compatible o no.

nota

  • Firewall Manager no sugiere acciones correctivas para las rutas que no son IPv4, como IPv6 y las rutas de lista de prefijos.

  • Las llamadas realizadas mediante la llamada a la API DisassociateRouteTable pueden demorar hasta 12 horas en detectarse.

  • Firewall Manager crea una tabla de enrutamiento de Network Firewall para una subred que contiene los puntos de conexión del firewall. Firewall Manager asume que esta tabla de enrutamiento contiene solo rutas de puerta de enlace de Internet válidas y rutas predeterminadas de VPC. Cualquier ruta adicional o no válida de esta tabla de enrutamiento se considera no compatible.

Cuando configura su política de Firewall Manager, si elige el modo Supervisar, Firewall Manager proporciona detalles sobre las infracciones de recursos y las correcciones relacionadas con sus recursos. Puede utilizar estas acciones correctivas sugeridas para solucionar problemas de enrutamiento en sus tablas de enrutamiento. Si selecciona el modo Desactivado, Firewall Manager no supervisa el contenido de la tabla de enrutamiento por usted. Con esta opción, puede administrar las tablas de enrutamiento de VPC. Para obtener más información acerca de estas infracciones de recursos, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política.

aviso

Si selecciona Supervisar en la configuración de AWS Network Firewall rutas al crear la política, no podrá desactivarla para esa política. Sin embargo, si elige Desactivar, podrás habilitarla más adelante.

Configurar el registro para una AWS Network Firewall política

Puede habilitar el registro centralizado para sus políticas de Network Firewall para obtener información detallada sobre el tráfico dentro de su organización. Puede seleccionar el registro de flujo para capturar el flujo de tráfico de la red o el registro de alertas para informar del tráfico que coincide con una regla con la acción de la regla establecida en DROP o en ALERT. Para obtener más información sobre el registro de AWS Network Firewall , consulte Registro del tráfico de red desde AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall .

Envíe los registros desde los firewalls de Network Firewall de su política a un bucket de Amazon S3. Después de habilitar el registro, AWS Network Firewall entrega los registros de cada Network Firewall configurado actualizando la configuración del firewall para entregar los registros a los buckets de Amazon S3 seleccionados con el AWS Firewall Manager prefijo reservado,. <policy-name>-<policy-id>

nota

Firewall Manager utiliza este prefijo para determinar si Firewall Manager agregó una configuración de registro o si la agregó el propietario de la cuenta. Si el propietario de la cuenta intenta usar el prefijo reservado para su propio registro personalizado, la configuración de registro de la política del Firewall Manager lo sobrescribe.

Para obtener más información sobre cómo crear un bucket de Amazon S3 y revisar los registros almacenados, consulte ¿Qué es Amazon S3? en la Guía del usuario de Amazon Simple Storage Service.

Para habilitar el registro, debe cumplir con los siguientes requisitos:

  • El Amazon S3 que especifique en su política de Firewall Manager debe existir.

  • Debe tener los siguientes permisos:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Si el bucket de Amazon S3 que es su destino de registro utiliza cifrado del lado del servidor con claves almacenadas en él AWS Key Management Service, debe añadir la siguiente política a la clave AWS KMS gestionada por el cliente para permitir que Firewall Manager inicie sesión en su CloudWatch grupo de registros:

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Tenga en cuenta que solo los buckets de la cuenta de administrador del Firewall Manager se pueden usar para el registro de AWS Network Firewall centralizado.

Cuando habilita el registro centralizado en una política de Network Firewall, Firewall Manager realiza las siguientes acciones en su cuenta:

  • Firewall Manager actualiza los permisos en los buckets S3 seleccionados para permitir la entrega de registros.

  • Firewall Manager crea directorios en el bucket de S3 para cada cuenta de miembro dentro del alcance de la política. Los registros de cada cuenta se encuentran en <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

Habilitación del registro de una política de Network Firewall

  1. Cree un bucket de Amazon S3 con la cuenta de administrador de Firewall Manager. Para obtener más información, consulte Creación de un bucket en la Guía del usuario de Amazon Simple Storage Service.

  2. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

  3. En el panel de navegación, seleccione Políticas de Seguridad.

  4. Elija la política de Network Firewall para la que desea habilitar el registro. Para obtener más información sobre el AWS Network Firewall registro, consulte Registrar el tráfico de red AWS Network Firewall en la Guía para AWS Network Firewall desarrolladores.

  5. En la pestaña Detalles de la política, en la sección Reglas de la política, seleccione Editar.

  6. Para habilitar y agregar registros, seleccione una o más opciones en Configuración de registros:

    • Habilite y agregue los registros de flujo

    • Habilite y agregue los registros de alertas

  7. Elija el bucket de Amazon S3 en el que desea que se entreguen sus registros. Debe elegir un bucket para cada tipo de registro que active. Puede usar el mismo bucket para ambos tipos de registros.

  8. (Opcional) Si desea que el registro personalizado creado por la cuenta de un miembro se sustituya por la configuración de registro de la política, seleccione Anular la configuración de registro existente.

  9. Elija Siguiente.

  10. Revise su configuración y, a continuación, seleccione Guardar para guardar los cambios en la política.

Deshabilitación del registro de una política de Network Firewall

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

  2. En el panel de navegación, seleccione Políticas de Seguridad.

  3. Elija la política de Network Firewall para la que desea deshabilitar el registro.

  4. En la pestaña Detalles de la política, en la sección Reglas de la política, seleccione Editar.

  5. En el estado de la configuración del registro, quite la selección Habilitar y agregar registros de flujo y Habilitar y agregar registros de alertas si están seleccionadas.

  6. Elija Siguiente.

  7. Revise su configuración y, a continuación, seleccione Guardar para guardar los cambios en la política.