AWS Shield Advanced politiques - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Comment Firewall Manager gère les ACL Web non associéesModifications du champ d'application des politiques de Shield AdvancedAtténuation automatique des couches applicativesDéterminer la version AWS WAF utilisée par une politique Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Shield Advanced politiques

Dans une AWS Shield politique de Firewall Manager, vous choisissez les ressources que vous souhaitez protéger. Lorsque vous appliquez la politique alors que la correction automatique est activée, Firewall Manager associe une ACL AWS WAF Web vide pour chaque ressource incluse qui n'est pas encore associée à une ACL AWS WAF Web. L'ACL Web vide est utilisée à des fins de surveillance du Shield. Si vous associez ensuite une autre ACL Web à la ressource, Firewall Manager supprime l'association ACL Web vide.

Note

Lorsqu'une ressource relevant d'une AWS WAF politique entre dans le champ d'application d'une politique Shield Advanced configurée avec une atténuation automatique des attaques DDoS au niveau de la couche application, Firewall Manager applique la protection Shield Advanced uniquement après avoir associé l'ACL Web créée par la AWS WAF politique.

Comment AWS Firewall Manager gère les ACL Web non associées dans les politiques Shield

Vous pouvez configurer si Firewall Manager gère les ACL Web non associées à votre place via le paramètre Gérer les ACL Web non associées de votre politique ou en optimizeUnassociatedWebACLs définissant le type de SecurityServicePolicyDatadonnées dans l'API. Si vous activez la gestion des ACL Web non associées dans votre politique, Firewall Manager crée des ACL Web dans les comptes relevant du champ d'application de la politique uniquement si les ACL Web sont utilisées par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement une ACL Web dans le compte si au moins une ressource utilise l'ACL Web.

Lorsque vous activez la gestion des ACL Web non associées, Firewall Manager effectue un nettoyage unique des ACL Web non associées dans votre compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique après que Firewall Manager a créé une ACL Web, Firewall Manager ne dissocie pas la ressource de l'ACL Web. Si vous souhaitez que Firewall Manager nettoie l'ACL Web, vous devez d'abord dissocier manuellement les ressources de l'ACL Web, puis activer l'option de gestion des ACL Web non associées dans votre politique.

Si vous n'activez pas cette option, Firewall Manager ne gère pas les ACL Web non associées et Firewall Manager crée automatiquement une ACL Web dans chaque compte relevant du champ d'application de la politique.

Comment AWS Firewall Manager gère-t-il les modifications du champ d'application des politiques du Shield

Les comptes et les ressources peuvent sortir du champ d'application d'une politique AWS Firewall Manager Shield Advanced en raison d'un certain nombre de modifications, telles que la modification des paramètres du champ d'application de la politique, la modification des balises d'une ressource et la suppression d'un compte d'une organisation. Pour des informations générales sur les paramètres du champ d'application des politiques, consultezAWS Firewall Manager portée de la politique.

Avec une politique AWS Firewall Manager Shield Advanced, si un compte ou une ressource sort de son champ d'application, Firewall Manager arrête de surveiller le compte ou la ressource.

Si un compte devient hors de portée en raison de sa suppression de l'organisation, il continuera d'être abonné à Shield Advanced. Le compte ne faisant plus partie de la famille de facturation consolidée, des frais d'abonnement à Shield Advanced seront facturés au prorata. En revanche, un compte qui sort du champ d'application mais qui reste dans l'organisation n'entraîne pas de frais supplémentaires.

Si une ressource devient hors de portée, elle continue d'être protégée par Shield Advanced et continue de faire l'objet de frais de transfert de données liés à Shield Advanced.

Atténuation automatique des attaques DDoS au niveau de

Lorsque vous appliquez une politique Shield Advanced à des CloudFront distributions Amazon ou à des équilibreurs de charge d'application, vous avez la possibilité de configurer l'atténuation automatique des attaques DDoS au niveau de la couche application de Shield Advanced dans la politique.

Pour plus d'informations sur l'atténuation automatique de Shield Advanced, consultezShield Advanced : atténuation automatique des attaques DDoS au niveau de la couche applicative.

L'atténuation automatique des attaques DDoS au niveau de la couche d'application Shield Advanced répond aux exigences suivantes :

  • L'atténuation automatique des attaques DDoS au niveau de la couche application ne fonctionne qu'avec les CloudFront distributions Amazon et les équilibreurs de charge d'application.

    Si vous appliquez votre politique Shield Advanced aux CloudFront distributions Amazon, vous pouvez choisir cette option pour les politiques Shield Advanced que vous créez pour la région mondiale. Si vous appliquez des protections aux équilibreurs de charge d'application, vous pouvez appliquer la politique à toutes les régions prises en charge par Firewall Manager.

  • L'atténuation automatique des attaques DDoS au niveau de la couche application fonctionne uniquement avec les ACL Web créées à l'aide de la dernière version de AWS WAF (v2).

    C'est pourquoi, si vous avez une politique qui utilise des ACL Web AWS WAF classiques, vous devez soit la remplacer par une nouvelle stratégie, qui utilisera automatiquement la dernière version de AWS WAF, soit demander à Firewall Manager de créer une nouvelle version des ACL Web pour votre politique existante et de passer à leur utilisation. Pour plus d’informations sur ces options, consultez Remplacez les ACL Web AWS WAF classiques par les ACL Web de dernière version.

Configuration automatique des mesures d'atténuation

L'option d'atténuation automatique des attaques DDoS au niveau de la couche applicative pour les politiques Firewall Manager Shield Advanced applique la fonctionnalité d'atténuation automatique de Shield Advanced aux comptes et ressources concernés par votre politique. Pour obtenir des informations détaillées sur cette fonctionnalité Shield Advanced, consultezShield Advanced : atténuation automatique des attaques DDoS au niveau de la couche applicative.

Vous pouvez choisir que Firewall Manager active ou désactive l'atténuation automatique pour les CloudFront distributions ou les équilibreurs de charge d'application concernés par la politique, ou vous pouvez choisir que la politique ignore les paramètres d'atténuation automatique de Shield Advanced :

  • Activer : si vous choisissez d'activer l'atténuation automatique, vous devez également indiquer si les règles d'atténuation du Shield Advanced doivent compter ou bloquer les requêtes Web correspondantes. Firewall Manager marquera les ressources concernées comme non conformes si l'atténuation automatique n'est pas activée ou si elles utilisent une action de règle qui ne correspond pas à celle que vous spécifiez pour la politique. Si vous configurez la politique de correction automatique, Firewall Manager met à jour les ressources non conformes selon les besoins.

  • Désactiver : si vous choisissez de désactiver l'atténuation automatique, Firewall Manager marquera les ressources concernées comme non conformes si l'atténuation automatique est activée. Si vous configurez la politique de correction automatique, Firewall Manager met à jour les ressources non conformes selon les besoins.

  • Ignorer : si vous choisissez d'ignorer l'atténuation automatique, Firewall Manager ne tiendra compte d'aucun des paramètres d'atténuation automatique de votre politique Shield lorsqu'il effectuera des activités de correction pour cette politique. Ce paramètre vous permet de contrôler l'atténuation automatique via Shield Advanced, sans que ces paramètres ne soient remplacés par Firewall Manager. Ce paramètre ne s'applique pas aux ressources Classic Load Balancers ou Elastic IPs gérées via Shield Advanced, car Shield Advanced ne prend actuellement pas en charge l'atténuation automatique L7 pour ces ressources.

Remplacez les ACL Web AWS WAF classiques par les ACL Web de dernière version

L'atténuation automatique des attaques DDoS au niveau de la couche application fonctionne uniquement avec les ACL Web créées à l'aide de la dernière version de AWS WAF (v2).

Pour déterminer la version de l'ACL Web correspondant à votre politique Shield Advanced, consultezDéterminer la AWS WAF version utilisée par une politique Shield Advanced.

Si vous souhaitez utiliser l'atténuation automatique dans votre politique Shield Advanced et que votre politique utilise actuellement des ACL Web AWS WAF classiques, vous pouvez soit créer une nouvelle politique Shield Advanced pour remplacer votre politique Shield Advanced actuelle, soit utiliser les options décrites dans cette section pour remplacer les ACL Web des versions antérieures par de nouvelles ACL Web (v2) dans votre politique Shield Advanced actuelle. Les nouvelles politiques créent toujours des ACL Web à l'aide de la dernière version de AWS WAF. Si vous remplacez la politique dans son intégralité, vous pouvez également demander à Firewall Manager de supprimer toutes les ACL Web des versions antérieures lorsque vous la supprimez. Le reste de cette section décrit les options qui s'offrent à vous pour remplacer les ACL Web au sein de votre politique existante.

Lorsque vous modifiez une politique Shield Advanced existante pour les CloudFront ressources Amazon, Firewall Manager peut créer automatiquement une nouvelle ACL Web vide AWS WAF (v2) pour la politique, dans tout compte concerné qui ne possède pas déjà une ACL Web v2. Lorsque Firewall Manager crée une nouvelle ACL Web, si la politique possède déjà une ACL Web AWS WAF classique dans le même compte, Firewall Manager configure la nouvelle version de l'ACL Web avec le même paramètre d'action par défaut que l'ACL Web existante. S'il n'existe aucune ACL Web AWS WAF classique, Firewall Manager définit l'action par défaut sur Allow la nouvelle ACL Web. Une fois que Firewall Manager a créé une nouvelle ACL Web, vous pouvez la personnaliser selon vos besoins via la AWS WAF console.

Lorsque vous choisissez l'une des options de configuration des politiques suivantes, Firewall Manager crée de nouvelles ACL Web (v2) pour les comptes concernés qui n'en disposent pas déjà :

  • Lorsque vous activez ou désactivez l'atténuation automatique des attaques DDoS au niveau de l'application. Ce choix à lui seul permet uniquement à Firewall Manager de créer les nouvelles ACL Web, et non de remplacer les associations d'ACL Web AWS WAF classiques existantes sur les ressources incluses dans le champ d'application de la politique.

  • Lorsque vous choisissez l'action politique de correction automatique et que vous choisissez de remplacer les ACL Web AWS WAF classiques par des ACL Web AWS WAF (v2). Vous pouvez choisir de remplacer les ACL Web des versions antérieures, quels que soient vos choix de configuration, pour une atténuation automatique des attaques DDoS au niveau de la couche application.

    Lorsque vous choisissez l'option de remplacement, Firewall Manager crée la nouvelle version des ACL Web selon les besoins, puis effectue les opérations suivantes pour les ressources couvertes par la politique :

    • Si une ressource est associée à une ACL Web issue d'une autre politique active de Firewall Manager, Firewall Manager laisse l'association tranquille.

    • Dans tous les autres cas, Firewall Manager supprime toute association avec une ACL Web AWS WAF classique et associe la ressource à l'ACL Web de la politique AWS WAF (v2).

Vous pouvez choisir de demander à Firewall Manager de remplacer les ACL Web de la version précédente par les ACL Web de la nouvelle version lorsque vous le souhaitez. Si vous avez déjà personnalisé les ACL Web AWS WAF classiques de la politique, vous pouvez mettre à jour les ACL Web de la nouvelle version avec des paramètres comparables avant de demander à Firewall Manager d'effectuer l'étape de remplacement.

Vous pouvez accéder à l'une ou l'autre version de l'ACL Web pour une politique via la console de même version AWS WAF ou AWS WAF Classic.

Firewall Manager ne supprime aucune liste ACL Web AWS WAF classique remplacée tant que vous ne supprimez pas la politique elle-même. Une fois que les ACL Web AWS WAF classiques ne sont plus utilisées par la politique, vous pouvez les supprimer si vous le souhaitez.

Déterminer la AWS WAF version utilisée par une politique Shield Advanced

Vous pouvez déterminer la version de AWS WAF votre politique Firewall Manager Shield Advanced utilisée en examinant les clés de paramètres de la règle AWS Config liée aux services de la politique. Si la AWS WAF version utilisée est la plus récente, les clés de paramètre incluent policyId etwebAclArn. S'il s'agit de la version précédente, AWS WAF Classic, les touches de paramètres incluent webAclId etresourceTypes.

La AWS Config règle répertorie uniquement les clés pour les ACL Web que la politique utilise actuellement avec les ressources incluses.

Pour déterminer quelle version de AWS WAF votre politique Firewall Manager Shield Advanced utilise

  1. Récupérez l'ID de politique pour la politique Shield Advanced :

    1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    2. Dans le volet de navigation, sélectionnez Security Policies.

    3. Choisissez la région pour la politique. Pour les CloudFront distributions, c'est le casGlobal.

    4. Recherchez la politique que vous souhaitez et copiez la valeur de son identifiant de politique.

      Exemple d'identifiant de politique :1111111-2222-3333-4444-a55aa5aaa555.

  2. Créez le nom de la AWS Config règle de la politique en ajoutant l'ID de la politique à la chaîneFMManagedShieldConfigRule.

    Exemple de nom de AWS Config règle :FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. Recherchez les paramètres de la AWS Config règle associée pour les clés nommées policyId et webAclArn :

    1. Ouvrez la AWS Config console à l'adresse https://console.aws.amazon.com/config/.

    2. Dans le volet de navigation, choisissez Règles.

    3. Recherchez le nom de la AWS Config règle de votre politique Firewall Manager dans la liste et sélectionnez-le. La page de la règle s'ouvre.

    4. Sous Détails des règles, dans la section Paramètres, examinez les clés. Si vous trouvez des clés nommées policyId etwebAclArn, la politique utilise des ACL Web créées à l'aide de la dernière version de AWS WAF. Si vous trouvez des clés nommées webAclId etresourceTypes, la politique utilise des ACL Web créées à l'aide de la version précédente, AWS WAF Classic.