AWS Shield Advanced políticas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Cómo administra Firewall Manager las ACL web no asociadasCambios en el alcance de las políticas de Shield AdvancedMitigación automática en la capa de aplicaciónDeterminar la versión de AWS WAF utilizada por una política de Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Shield Advanced políticas

En una AWS Shield política de Firewall Manager, usted elige los recursos que desea proteger. Al aplicar la política con la corrección automática habilitada, para cada recurso del ámbito que aún no esté asociado a una ACL AWS WAF web, Firewall Manager asocia una ACL AWS WAF web vacía. La ACL web vacía se utiliza para la supervisión de Shield. Si, a continuación, asocia cualquier otra ACL web al recurso, Firewall Manager elimina la asociación ACL web vacía.

nota

Cuando un recurso que está dentro del ámbito de una AWS WAF política entra en el ámbito de una política Shield Advanced configurada con una mitigación automática de DDoS en la capa de aplicación, Firewall Manager aplica la protección Shield Advanced solo después de asociar la ACL web creada por la AWS WAF política.

Cómo se AWS Firewall Manager gestionan las ACL web no asociadas en las políticas Shield

Puede configurar si el Firewall Manager administra las ACL web no asociadas por usted mediante la configuración Administrar las ACL web no asociadas de su política o mediante la optimizeUnassociatedWebACLs configuración del tipo de SecurityServicePolicyDatadatos de la API. Si habilita la administración de ACL web no asociadas en su política, Firewall Manager crea ACL web en las cuentas dentro del alcance de la política solo si las ACL web van a ser utilizadas al menos por un recurso. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web.

Cuando habilita la administración de ACL web no asociadas, Firewall Manager realiza una limpieza única de las ACL web no asociadas de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager no disocia el recurso de la ACL web. Si desea que Firewall Manager limpie la ACL web, primero debe desasociar manualmente los recursos de la ACL web y, a continuación, habilitar la opción de administrar ACL web no asociadas en su política.

Si no habilita esta opción, Firewall Manager no administrará las ACL web no asociadas y el Firewall Manager creará automáticamente una ACL web en cada cuenta que esté dentro del alcance de la política.

Cómo AWS Firewall Manager gestiona los cambios de alcance en las políticas de Shield

Las cuentas y los recursos pueden quedar fuera del ámbito de aplicación de una política de AWS Firewall Manager Shield Advanced debido a una serie de cambios, como cambios en la configuración del ámbito de la política, cambios en las etiquetas de un recurso y la eliminación de una cuenta de una organización. Para obtener información general sobre la configuración del alcance de la política, consulte AWS Firewall Manager alcance de la política.

Con una política de AWS Firewall Manager Shield Advanced, si una cuenta o un recurso queda fuera del alcance, Firewall Manager deja de supervisar la cuenta o el recurso.

Si una cuenta queda fuera del alcance al ser eliminada de la organización, seguirá suscrita a Shield Advanced. Dado que la cuenta ya no forma parte de la familia de facturación unificada, la cuenta generará una cuota de suscripción de Shield Advanced prorrateada. Por otro lado, una cuenta que queda fuera del alcance, pero permanece en la organización, no incurre en cargos adicionales.

Si un recurso queda fuera del alcance, seguirá protegido por Shield Advanced y seguirá incurriendo en gastos de transferencia de datos de Shield Advanced.

Mitigación automática de DDoS en la capa de aplicación

Cuando aplicas una política de Shield Advanced a CloudFront las distribuciones de Amazon o a los balanceadores de carga de aplicaciones, tienes la opción de configurar la mitigación automática de DDoS en la capa de aplicaciones de Shield Advanced en la política.

Para obtener información sobre la mitigación automática de Shield Advanced, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced.

La mitigación automática de DDoS en la capa de aplicación de Shield Advanced tiene los siguientes requisitos:

  • La mitigación automática de DDoS en la capa de aplicaciones solo funciona con CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.

    Si aplicas tu política Shield Advanced a CloudFront las distribuciones de Amazon, puedes elegir esta opción para las políticas Shield Advanced que crees para la región global. Si aplica protecciones a los equilibradores de carga de aplicación, puede aplicar la política a cualquier región que admita Firewall Manager.

  • La mitigación automática de DDoS a nivel de aplicación solo funciona con las ACL web que se crearon con la última versión de AWS WAF (v2).

    Por ello, si tiene una política que utiliza ACL web AWS WAF clásicas, tendrá que sustituir la política por una nueva, que utilizará automáticamente la última versión de AWS WAF, o bien hacer que Firewall Manager cree una nueva versión de las ACL web para su política actual y pase a utilizarlas. Para obtener más información sobre las opciones, consulte Sustituya las ACL web AWS WAF clásicas por las ACL web de última versión.

Configuración de mitigación automática

La opción de mitigación automática de DDoS en la capa de aplicación para las políticas de Firewall Manager Shield Advanced aplica la funcionalidad de mitigación automática de Shield Advanced a las cuentas y recursos incluidos en el alcance de su política. Para obtener información detallada sobre esta característica de Shield Advanced, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced.

Puede elegir que Firewall Manager habilite o deshabilite la mitigación automática para CloudFront las distribuciones o los balanceadores de carga de aplicaciones que estén dentro del ámbito de aplicación de la política, o puede elegir que la política ignore la configuración de mitigación automática de Shield Advanced:

  • Activar: si decide activar la mitigación automática, también debe especificar si las reglas de mitigación de Shield Advanced deben contar o bloquear las solicitudes web coincidentes. Firewall Manager marcará los recursos dentro del alcance como no compatibles si no tienen activada la mitigación automática o si utilizan una acción de regla que no coincide con la que especificó para la política. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.

  • Desactivar: si decide desactivar la mitigación automática, Firewall Manager marcará los recursos dentro del alcance como no compatibles si tienen la mitigación automática activada. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.

  • Ignorar: si decide ignorar la mitigación automática, Firewall Manager no tendrá en cuenta ninguna de las configuraciones de mitigación automática de su política Shield cuando lleve a cabo actividades de corrección para la política. Esta configuración le permite controlar la mitigación automática a través de Shield Advanced, sin que Firewall Manager sobrescriba esa configuración. Esta configuración no se aplica a ningún recurso de equilibrador de carga clásico o IP elástica administrado a través de Shield Advanced, ya que Shield Advanced actualmente no admite la mitigación automática de nivel 7 para esos recursos.

Sustituya las ACL web AWS WAF clásicas por las ACL web de última versión

La mitigación automática de DDoS en la capa de aplicación solo funciona con las ACL web que se crearon con la última versión de AWS WAF (v2).

Para determinar la versión de ACL web de su política Shield Advanced, consulte Determinar la versión AWS WAF que utiliza una política de Shield Advanced.

Si desea utilizar la mitigación automática en su política de Shield Advanced y su política utiliza actualmente las ACL web AWS WAF clásicas, puede crear una nueva política de Shield Advanced para reemplazar la actual o puede utilizar las opciones descritas en esta sección para sustituir las ACL web de versiones anteriores por las ACL web nuevas (v2) incluidas en su política de Shield Advanced actual. Las nuevas políticas siempre crean ACL web con la última versión de. AWS WAF Si reemplaza la política completa, al eliminarla, puede hacer que Firewall Manager elimine también todas las ACL web de las versiones anteriores. En el resto de esta sección, se describen las opciones para reemplazar las ACL web incluidas en su política actual.

Al modificar una política Shield Advanced existente para CloudFront los recursos de Amazon, Firewall Manager puede crear automáticamente una nueva ACL web vacía AWS WAF (v2) para la política, en cualquier cuenta incluida en el ámbito que aún no tenga una ACL web v2. Cuando Firewall Manager crea una nueva ACL web, si la política ya tiene una ACL web AWS WAF clásica en la misma cuenta, Firewall Manager configura la nueva versión de la ACL web con la misma configuración de acción predeterminada que la ACL web existente. Si no existe una ACL web AWS WAF clásica, Firewall Manager establece la acción predeterminada Allow en la nueva ACL web. Después de que Firewall Manager cree una nueva ACL web, puede personalizarla según sea necesario a través de la consola AWS WAF .

Al elegir cualquiera de las siguientes opciones de configuración de políticas, Firewall Manager crea nuevas ACL web (v2) para las cuentas dentro del alcance que aún no las tienen:

  • Al activar o desactivar la mitigación automática de DDoS en la capa de aplicación. Esta elección por sí sola solo hace que Firewall Manager cree las nuevas ACL web y no sustituya ninguna asociación de ACL web AWS WAF Classic existente en los recursos dentro del alcance de la política.

  • Al elegir la acción política de corrección automática y elegir la opción de reemplazar las ACL web AWS WAF clásicas por las ACL web AWS WAF (v2). Puede optar por sustituir las ACL web de versiones anteriores independientemente de sus opciones de configuración para la mitigación automática de DDoS en la capa de aplicación.

    Al elegir la opción de reemplazo, Firewall Manager crea las ACL web de la nueva versión según sea necesario y luego hace lo siguiente para los recursos dentro del alcance de la política:

    • Si un recurso está asociado a una ACL web desde cualquier otra política activa del Firewall Manager, el Firewall Manager deja la asociación intacta.

    • En cualquier otro caso, Firewall Manager elimina cualquier asociación con una ACL web AWS WAF clásica y asocia el recurso con la ACL web AWS WAF (v2) de la política.

Puede elegir que Firewall Manager sustituya las ACL web de la versión anterior por las ACL web de la nueva versión cuando lo desee. Si ya ha personalizado las ACL web AWS WAF Classic de la política, puede actualizar las ACL web de la nueva versión a una configuración comparable antes de elegir que Firewall Manager realice el paso de sustitución.

Puede acceder a cualquier versión de la ACL web de una política a través de la consola de la misma versión AWS WAF o AWS WAF de la versión clásica.

Firewall Manager no elimina ninguna ACL web AWS WAF clásica sustituida hasta que elimine la propia política. Cuando la política deje de utilizar las ACL web AWS WAF clásicas, podrá eliminarlas si así lo desea.

Determinar la versión AWS WAF que utiliza una política de Shield Advanced

Para determinar qué versión de la AWS WAF política Firewall Manager Shield Advanced utiliza, consulte las claves de parámetros de la regla AWS Config vinculada a servicios de la política. Si la AWS WAF versión que se utiliza es la más reciente, las claves de parámetros incluyen policyId y. webAclArn Si se trata de la versión anterior, AWS WAF Classic, las claves de parámetro incluyen webAclId yresourceTypes.

La AWS Config regla solo enumera las claves de las ACL web que la política utiliza actualmente con los recursos incluidos en el ámbito de aplicación.

Para determinar qué versión de AWS WAF su política de Firewall Manager Shield Advanced utiliza

  1. Recupere el identificador de política de la política Shield Advanced:

    1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

    2. En el panel de navegación, seleccione Políticas de Seguridad.

    3. Elija la región para la política. Para CloudFront las distribuciones, esto esGlobal.

    4. Busque la política que desea y copie el valor de su ID de política.

      ID de Política de ejemplo: 1111111-2222-3333-4444-a55aa5aaa555.

  2. Cree el nombre de la AWS Config regla de la política añadiendo el ID de la política a la cadena. FMManagedShieldConfigRule

    Ejemplo de nombre de AWS Config regla:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. Busque en los parámetros de la AWS Config regla asociada las claves denominadas policyId ywebAclArn:

    1. Abra la AWS Config consola en https://console.aws.amazon.com/config/.

    2. En el panel de navegación, seleccione Reglas.

    3. Busque el nombre de la AWS Config regla de la política de Firewall Manager en la lista y selecciónelo. Se abre la página de la regla.

    4. En la sección Parámetros de Detalles de las reglas, observe las claves. Si encuentra claves denominadas policyId y webAclArn, la política utiliza las ACL web que se crearon con la versión más reciente de AWS WAF. Si encuentra claves denominadas webAclId yresourceTypes, la política utiliza las ACL web que se crearon con la versión anterior, la AWS WAF clásica.