AWS WAF políticas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Grupos de reglas en AWS WAF las políticasConfigurar el registro para una AWS WAF política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS WAF políticas

En una AWS WAF política de Firewall Manager, se especifican los grupos de AWS WAF reglas que se quieren usar en todos los recursos. Al aplicar la política, el Firewall Manager crea cuentas web ACLs dentro del ámbito de la política en función de cómo configure la administración de la web ACLs en su política. En la web ACLs creada por la política, los administradores de cuentas individuales pueden agregar reglas y grupos de reglas, además de los grupos de reglas que haya definido a través del Firewall Manager.

Cómo administra Firewall Manager la web ACLs

Firewall Manager crea la web en ACLs función de cómo configure la ACLs configuración Administrar la web no asociada en su política o la optimizeUnassociatedWebACL configuración del tipo de SecurityServicePolicyDatadatos deAPI.

Si habilita la administración de sitios web no asociadosACLs, el Firewall Manager creará sitios web ACLs en las cuentas dentro del ámbito de la política solo si al menos un recurso ACLs utilizará los sitios web. Si en algún momento una cuenta entra en el ámbito de aplicación de la política, Firewall Manager crea automáticamente una web ACL en la cuenta si al menos un recurso va a utilizar la webACL. Cuando habilita la administración de la web no asociadaACLs, el Firewall Manager realiza una limpieza única de la web ACLs no asociada de su cuenta. Durante la limpieza, el Firewall Manager omite cualquier web ACLs que haya modificado después de su creación, por ejemplo, si ha añadido un grupo de reglas a la web ACL o ha modificado su configuración. El proceso de limpieza puede tardar varias horas. Si un recurso deja el ámbito de la política después de que el Administrador de Firewall haya creado una webACL, el Administrador de Firewall disociará el recurso de la webACL, pero no limpiará la web no asociada. ACL Firewall Manager solo limpia la web no asociada ACLs cuando se habilita por primera vez la administración de la web no asociada ACLs en una política.

Si no habilita esta opción, Firewall Manager no administrará la web ACLs no asociada y el Firewall Manager creará automáticamente una web ACL en cada cuenta que esté dentro del ámbito de aplicación de la política.

Muestreo y métricas CloudWatch

AWS Firewall Manager permite el muestreo y CloudWatch las métricas de Amazon para la web ACLs y los grupos de reglas que crea para una AWS WAF política.

Estructura de ACL nomenclatura web

Cuando Firewall Manager crea una web ACL para la política, asigna un nombre a la web ACLFMManagedWebACLV2-policy name-timestamp. La marca de tiempo está en UTC milisegundos. Por ejemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

nota

Si un recurso configurado con la DDoSmitigación automática avanzada de la capa de aplicación entra en el ámbito de aplicación de una AWS WAF política, Firewall Manager no podrá asociar la web ACL creada por la AWS WAF política al recurso.

Grupos de reglas en AWS WAF las políticas

La web ACLs gestionada por AWS WAF las políticas del Firewall Manager contiene tres conjuntos de reglas. Estos conjuntos proporcionan un mayor nivel de priorización para las reglas y los grupos de reglas de la webACL:

  • Primeros grupos de reglas, definidos por usted en la AWS WAF política del Firewall Manager. AWS WAF evalúa primero estos grupos de reglas.

  • Reglas y grupos de reglas definidos por los administradores de cuentas en la webACLs. AWS WAF evalúa a continuación cualquier regla o grupo de reglas gestionado por la cuenta.

  • Últimos grupos de reglas, definidos por usted en la AWS WAF política del Firewall Manager. AWS WAF evalúa estos grupos de reglas en último lugar.

Dentro de cada uno de estos conjuntos de reglas, AWS WAF evalúa las reglas y los grupos de reglas como de costumbre, de acuerdo con su configuración de prioridad dentro del conjunto.

En el primer y último conjunto de grupos de reglas de la política, solo puede agregar grupos de reglas. Puedes usar grupos de reglas gestionados, que las reglas AWS gestionadas y AWS Marketplace los vendedores crean y mantienen por ti. También puede administrar y usar sus propios grupos de reglas. Para obtener más información acerca de todas estas opciones, consulte Utilización AWS WAF grupos de reglas.

Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF . Para obtener instrucciones, consulte Administrar sus propios grupos de reglas. Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.

El primer y el último grupo de AWS WAF reglas que administra mediante el Administrador de Firewall tienen nombres que comienzan con PREFMManaged- oPOSTFMManaged-, respectivamente, seguidos del nombre de la política del Administrador de Firewall y la marca de tiempo de creación del grupo de reglas, en UTC milisegundos. Por ejemplo, PREFMManaged-MyWAFPolicyName-1621880555123.

Para obtener información sobre cómo se AWS WAF evalúan las solicitudes web, consulte. Uso de la web ACLs con reglas y grupos de reglas en AWS WAF

Para obtener información sobre el procedimiento para crear una AWS WAF política de Firewall Manager, consulteCrear una AWS Firewall Manager política para AWS WAF.

Firewall Manager permite el muestreo y CloudWatch las métricas de Amazon para los grupos de reglas que defina para la AWS WAF política.

Los propietarios de las cuentas individuales tienen el control total sobre las métricas y la configuración del muestreo de cualquier regla o grupo de reglas que agreguen a la web gestionada de la políticaACLs.

Configurar el registro para una AWS WAF política

Puede habilitar el registro centralizado de sus AWS WAF políticas para obtener información detallada sobre el tráfico que analiza su web ACL en su organización. La información de los registros incluye la hora en que se AWS WAF recibió la solicitud de tu AWS recurso, información detallada sobre la solicitud y las medidas adoptadas para cumplir la regla de que todas las cuentas incluidas en el ámbito de aplicación coincidieron con cada solicitud. Puede enviar sus registros a una transmisión de datos de Amazon Data Firehose o a un depósito de Amazon Simple Storage Service (S3). Para obtener información sobre el AWS WAF registro, consulte Registro AWS WAF ACLtráfico web la Guía para AWS WAF desarrolladores.

nota

AWS Firewall Manager admite esta opción para la versión clásica AWS WAFV2, no para la AWS WAF versión clásica.

Destinos de registro

En esta sección se describen los destinos de registro que puede elegir para enviar los registros AWS WAF de sus políticas. Cada sección proporciona instrucciones a fin de configurar el registro para el tipo de destino e información sobre cualquier comportamiento específico del tipo de destino. Una vez que haya configurado el destino de registro, puede proporcionar sus especificaciones a la AWS WAF política de Firewall Manager para empezar a iniciar sesión en él.

Firewall Manager no puede ver los errores de registro después de crear la configuración de registro. Es su responsabilidad comprobar que la entrega de registros funciona según lo previsto.

nota

Firewall Manager no modifica ninguna configuración de registro existente en las cuentas de los miembros de su organización.

Flujos de datos de Amazon Data Firehose

En este tema se proporciona información para enviar tus registros de ACL tráfico web a una transmisión de datos de Amazon Data Firehose.

Cuando habilitas el registro de Amazon Data Firehose, Firewall Manager envía los registros desde la web de tu política ACLs a un Amazon Data Firehose donde has configurado un destino de almacenamiento. Tras habilitar el registro, AWS WAF entrega los registros de cada sitio web configuradoACL, a través del HTTPS punto de conexión de Kinesis Data Firehose, al destino de almacenamiento configurado. Antes de usarla, pruebe la transmisión de entrega para asegurarse de que tiene el rendimiento suficiente para alojar los registros de su organización. Para obtener más información sobre cómo crear una Amazon Kinesis Data Firehose y revisar los registros almacenados, consulte ¿Qué es Amazon Data Firehose?

Debe tener los siguientes permisos para habilitar correctamente el registro con Kinesis:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Al configurar un destino de registro de Amazon Data Firehose en una AWS WAF política, Firewall Manager crea una web ACL para la política en la cuenta de administrador de Firewall Manager de la siguiente manera:

  • Firewall Manager crea la web ACL en la cuenta de administrador de Firewall Manager, independientemente de si la cuenta está dentro del ámbito de aplicación de la política.

  • La web ACL tiene el registro activado, con un nombre de registroFMManagedWebACLV2-Loggingpolicy name-timestamp, donde la marca de tiempo es la UTC hora en que se activó el registro para la webACL, en milisegundos. Por ejemplo, FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. La web no ACL tiene grupos de reglas ni recursos asociados.

  • Se te cobrará por el uso de la web de ACL acuerdo con las pautas de AWS WAF precios. Para obtener más información, consulte AWS WAF Precios.

  • Firewall Manager elimina la web ACL al eliminar la política.

Para obtener información acerca de los roles vinculados a servicios y el permiso iam:CreateServiceLinkedRole, consulte Uso de roles vinculados a servicios para AWS WAF.

Para obtener más información sobre cómo crear tu flujo de entrega, consulta Cómo crear un flujo de entrega de Amazon Data Firehose.

Buckets de Amazon Simple Storage Service Batch

En este tema se proporciona información para enviar los registros de ACL tráfico web a un bucket de Amazon S3.

El bucket que elija como destino de registro debe ser propiedad de una cuenta de administrador de Firewall Manager. Para obtener información sobre los requisitos para crear su bucket de Amazon S3 para los requisitos de registro y denominación de los buckets, consulte Amazon Simple Storage Service en la Guía para desarrolladores de AWS WAF .

Consistencia final

Cuando realiza cambios en AWS WAF las políticas configuradas con un destino de registro de Amazon S3, Firewall Manager actualiza la política del bucket para añadir los permisos necesarios para el registro. Al hacerlo, Firewall Manager sigue los modelos de last-writer-wins semántica y coherencia de datos que sigue Amazon Simple Storage Service. Si realiza simultáneamente varias actualizaciones de políticas en un destino de Amazon S3 en la consola de Firewall Manager o a través de ella PutPolicyAPI, es posible que algunos permisos no se guarden. Para obtener más información acerca del modelo de coherencia de Amazon S3, consulte Modelo de coherencia de datos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

Permisos para publicar registros en un bucket de Amazon S3

La configuración ACL del registro de tráfico web para un bucket de Amazon S3 en una AWS WAF política requiere los siguientes ajustes de permisos. Firewall Manager adjunta automáticamente estos permisos a su bucket de Amazon S3 cuando usted configura Amazon S3 como su destino de registro para dar permiso al servicio para publicar registros en el bucket. Si desea administrar un acceso más detallado a sus recursos de registro y del Firewall Manager, puede configurar estos permisos. Para obtener información sobre la administración de los permisos, consulte la administración del acceso a los AWS recursos en la Guía del IAM usuario. Para obtener información sobre las políticas AWS WAF administradas, consulteAWS políticas gestionadas para AWS WAF. 

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-amzn-s3-demo-bucket"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Para evitar el problema de escalonamiento de privilegios entre servicios, puede agregar las claves de contexto de condición global aws:SourceArn y aws:SourceAccount a la política de su bucket. Para agregar estas claves, puede modificar la política que el Firewall Manager crea para usted al configurar el destino del registro o, si desea un control detallado, puede crear su propia política. Si agrega estas condiciones a su política de destino de registro, Firewall Manager no validará ni supervisará la protección de escalonamiento de privilegios. Para obtener información general sobre el problema del diputado confuso, consulte El problema del diputado confuso en la Guía IAM del usuario.

Cuando agregue sourceAccount, agregue las propiedades sourceArn, aumentará el tamaño de la política del bucket. Si va a agregar una lista larga de propiedades sourceArn agregue sourceAccount, procure no superar el límite de tamaño de la política de bucket de Amazon S3.

En el siguiente ejemplo se muestra cómo evitar el problema del suplente confuso mediante el uso de las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en la política de su bucket. Reemplazar member-account-id con la cuenta IDs de los miembros de su organización.

{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
                  "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id:*",
                  "arn:aws:logs:*:member-account-id:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
                    "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id-1:*",
                  "arn:aws:logs:*:member-account-id-2:*"
               ]
            }
         }
      }
   ]
}
Uso de cifrado del servidor del bucket de Amazon S3

Puede activar el cifrado del lado del servidor de Amazon S3 o utilizar una clave gestionada por el AWS Key Management Service cliente en su bucket de S3. Si eliges usar el cifrado predeterminado de Amazon S3 en tu bucket de Amazon S3 para AWS WAF los registros, no necesitas realizar ninguna acción especial. Sin embargo, si decide utilizar una clave de cifrado proporcionada por el cliente para cifrar sus datos en reposo de Amazon S3, debe añadir la siguiente declaración de permiso a su AWS Key Management Service política de claves:

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Para obtener información sobre el uso de claves de cifrado proporcionadas por el cliente con Amazon S3, consulte Uso del cifrado del lado del servidor con claves proporcionadas por el cliente (-CSSE) en la Guía del usuario de Amazon Simple Storage Service.

Habilitación de registros

El siguiente procedimiento describe cómo habilitar el registro de una AWS WAF política en la consola de Firewall Manager.

Para habilitar el registro de una AWS WAF política

  1. Para poder habilitar el registro, debe configurar los recursos de destino del registro de la siguiente manera:

    • Amazon Kinesis Data Streams: cree una Amazon Data Firehose con su cuenta de administrador de Firewall Manager. Utilice un nombre que empiece por el prefijo aws-waf-logs-. Por ejemplo, aws-waf-logs-firewall-manager-central. Cree la instancia de Data Firehose con un origen PUT y en la región en la que opera. Si vas a capturar troncos para Amazon CloudFront, crea la manguera de incendios en EE. UU. Este (Norte de Virginia). Antes de usarla, pruebe la transmisión de entrega para asegurarse de que tiene el rendimiento suficiente para alojar los registros de su organización. Para obtener más información, consulte Creación de un flujo de entrega de Amazon Data Firehose.

    • Buckets de Amazon Simple Storage Service: cree un bucket de Amazon S3 de acuerdo con las directrices del tema Amazon Simple Storage Service en la Guía para desarrolladores de AWS WAF . También debe configurar su bucket de Amazon S3 con los permisos que se indican en Permisos para publicar registros en un bucket de Amazon S3 .

  2. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

  3. En el panel de navegación, seleccione Políticas de Seguridad.

  4. Elija la AWS WAF política para la que desee habilitar el registro. Para obtener más información acerca del registro en AWS WAF , consulte Registro AWS WAF ACLtráfico web.

  5. En la pestaña Detalles de la política, en la sección Reglas de la política, seleccione Editar.

  6. Para la configuración del registro, seleccione Habilitar el registro para activar el registro. El registro proporciona información detallada sobre el tráfico que analiza su webACL. Seleccione el destino del registro y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con aws-waf-logs-. Para obtener información sobre la configuración de un destino de AWS WAF registro, consulteConfigurar el registro para una AWS WAF política.

  7. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija Add (Añadir). Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como REDACTED en los registros. Por ejemplo, si redacta el URIcampo, será REDACTED el URIcampo de los registros.

  8. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En Filtrar registros, para cada filtro que desee aplicar, elija Agregar filtro y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el comportamiento de registro predeterminado. Para obtener más información, consulte Búsqueda de sus ACL registros web en la Guía para desarrolladores de AWS WAF .

  9. Elija Next (Siguiente).

  10. Revise su configuración y, a continuación, seleccione Guardar para guardar los cambios en la política.

Deshabilitar los registros

El siguiente procedimiento describe cómo deshabilitar el registro de una AWS WAF política en la consola de Firewall Manager.

Para deshabilitar el registro de una AWS WAF política

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

  2. En el panel de navegación, seleccione Políticas de Seguridad.

  3. Elija la AWS WAF política para la que desee deshabilitar el registro.

  4. En la pestaña Detalles de la política, en la sección Reglas de la política, seleccione Editar.

  5. En Estado de configuración de registro, seleccione Desactivado.

  6. Elija Next (Siguiente).

  7. Revise su configuración y, a continuación, seleccione Guardar para guardar los cambios en la política.