Kebijakan daftar kontrol akses jaringan (ACL) Amazon VPC - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Aturan dan penandaan ACL jaringanManajemen ACL jaringan awalRemediasi untuk ACL jaringan terkelolaPelaporan kepatuhan ACL jaringanPraktik terbaikPeringatanMenghapus kebijakan ACL jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan daftar kontrol akses jaringan (ACL) Amazon VPC

Bagian ini mencakup cara kerja kebijakan ACL AWS Firewall Manager jaringan dan memberikan panduan untuk menggunakannya. Untuk panduan membuat kebijakan ACL jaringan menggunakan konsol, lihatMembuat kebijakan ACL jaringan.

Untuk informasi tentang daftar kontrol akses jaringan (ACL) Amazon VPC, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan di Panduan Pengguna Amazon VPC.

Anda dapat menggunakan kebijakan ACL jaringan Firewall Manager untuk mengelola daftar kontrol akses jaringan (ACL) Amazon Virtual Private Cloud (Amazon VPC) untuk organisasi Anda. AWS Organizations Anda menentukan pengaturan aturan ACL jaringan kebijakan dan akun serta subnet tempat Anda ingin pengaturan diberlakukan. Firewall Manager terus menerapkan pengaturan kebijakan Anda ke akun dan subnet saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk informasi tentang cakupan kebijakan dan AWS Organizations, lihat AWS Firewall Manager ruang lingkup kebijakan dan Panduan AWS Organizations Pengguna.

Saat Anda menentukan kebijakan ACL jaringan Manajer Firewall, selain pengaturan kebijakan Firewall Manager standar, seperti nama dan cakupan, Anda memberikan yang berikut ini:

  • Aturan pertama dan terakhir untuk penanganan lalu lintas masuk dan keluar. Firewall Manager memberlakukan keberadaan dan urutan ini di ACL jaringan yang berada dalam cakupan kebijakan, atau melaporkan ketidakpatuhan. Akun individual Anda dapat membuat aturan khusus untuk dijalankan di antara aturan pertama dan terakhir kebijakan.

  • Apakah akan memaksa remediasi ketika remediasi akan mengakibatkan konflik manajemen lalu lintas antara aturan dalam jaringan ACL. Ini hanya berlaku jika remediasi diaktifkan untuk kebijakan.

Aturan dan penandaan ACL jaringan Firewall Manager

Bagian ini menjelaskan spesifikasi aturan kebijakan ACL jaringan dan ACL jaringan yang dikelola oleh Firewall Manager.

Menandai pada jaringan terkelola ACL

Firewall Manager menandai ACL jaringan terkelola dengan FMManaged tag yang memiliki nilai. true Firewall Manager hanya melakukan remediasi pada ACL jaringan yang memiliki setelan tag ini.

Aturan yang Anda tetapkan dalam kebijakan

Dalam spesifikasi kebijakan ACL jaringan Anda, Anda menentukan aturan yang ingin Anda jalankan pertama dan terakhir untuk lalu lintas masuk dan aturan yang ingin Anda jalankan pertama dan terakhir untuk lalu lintas keluar.

Secara default, Anda dapat menentukan hingga 5 aturan masuk, untuk digunakan dalam kombinasi aturan pertama dan terakhir dalam kebijakan. Demikian pula, Anda dapat menentukan hingga 5 aturan keluar. Untuk informasi lebih lanjut tentang batasan ini, lihatKuota lembut. Untuk informasi tentang batasan umum pada ACL jaringan, lihat Kuota VPC Amazon pada ACL jaringan di Panduan Pengguna Amazon VPC.

Anda tidak menetapkan nomor aturan ke aturan kebijakan. Sebagai gantinya, Anda menentukan aturan dalam urutan yang Anda inginkan untuk dievaluasi, dan Firewall Manager menggunakan urutan tersebut untuk menetapkan nomor aturan di ACL jaringan yang dikelola.

Selain itu, Anda mengelola spesifikasi aturan ACL jaringan kebijakan karena Anda akan mengelola aturan dalam ACL jaringan melalui Amazon VPC. Untuk informasi tentang manajemen ACL jaringan di Amazon VPC, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan dan Bekerja dengan ACL jaringan di Panduan Pengguna Amazon VPC.

Aturan dalam jaringan terkelola ACL

Firewall Manager mengonfigurasi aturan dalam ACL jaringan yang dikelola dengan menempatkan aturan pertama dan terakhir kebijakan sebelum dan sesudah aturan kustom apa pun yang ditentukan oleh manajer akun individual. Firewall Manager mempertahankan urutan aturan kustom. ACL jaringan dievaluasi dimulai dengan aturan bernomor terendah.

Ketika Firewall Manager pertama kali membuat ACL jaringan, ia mendefinisikan aturan dengan penomoran berikut:

  • Aturan pertama: 1, 2,... — Didefinisikan oleh Anda dalam kebijakan ACL jaringan Firewall Manager.

    Firewall Manager menetapkan nomor aturan mulai dari 1 dengan penambahan 1, dengan aturan yang diurutkan seperti yang Anda pesan dalam spesifikasi kebijakan.

  • Aturan kustom: 5.000, 5,100,... — Dikelola oleh manajer akun individu melalui Amazon VPC.

    Firewall Manager menetapkan nomor untuk aturan ini mulai dari 5.000 dan bertambah 100 untuk setiap aturan berikutnya.

  • Aturan terakhir:... 32,765, 32,766 — Ditentukan oleh Anda dalam kebijakan ACL jaringan Firewall Manager.

    Firewall Manager menetapkan nomor aturan yang berakhir pada angka setinggi mungkin, 32766 dengan penambahan 1, dengan aturan yang diurutkan seperti yang Anda pesan dalam spesifikasi kebijakan.

Setelah inisialisasi ACL jaringan, Firewall Manager tidak mengontrol perubahan yang dilakukan akun individual di ACL jaringan terkelolanya. Akun individu dapat mengubah ACL jaringan tanpa mengeluarkannya dari kepatuhan, dengan ketentuan aturan kustom apa pun tetap diberi nomor di antara aturan pertama dan terakhir kebijakan, dan aturan pertama dan terakhir mempertahankan urutan yang ditentukan. Sebagai praktik terbaik, saat mengelola aturan khusus, patuhi penomoran yang dijelaskan di bagian ini.

Bagaimana Firewall Manager memulai manajemen ACL jaringan untuk subnet

Firewall Manager memulai pengelolaan jaringan ACL untuk subnet ketika mengaitkan subnet dengan jaringan ACL yang Firewall Manager telah dibuat dan ditandai dengan set to. FMManaged true

Kepatuhan terhadap kebijakan ACL jaringan mengharuskan ACL jaringan subnet untuk menempatkan aturan pertama kebijakan terlebih dahulu, dalam urutan yang ditentukan dalam kebijakan, aturan terakhir yang diposisikan terakhir, berurutan, dan aturan kustom lainnya yang ditempatkan di tengah. Persyaratan ini dapat dipenuhi oleh ACL jaringan yang tidak dikelola bahwa subnet sudah dikaitkan dengan atau oleh ACL jaringan terkelola.

Ketika Firewall Manager menerapkan kebijakan ACL jaringan ke subnet yang terkait dengan ACL jaringan yang tidak dikelola, Firewall Manager memeriksa hal-hal berikut secara berurutan, berhenti ketika mengidentifikasi opsi yang layak:

  1. ACL jaringan terkait sudah sesuai — Jika ACL jaringan yang saat ini terkait dengan subnet sesuai, maka Firewall Manager meninggalkan asosiasi itu dan tidak memulai manajemen ACL jaringan untuk subnet.

    Firewall Manager tidak mengubah atau mengelola ACL jaringan yang tidak dimilikinya, tetapi selama itu sesuai, Firewall Manager membiarkannya di tempatnya dan hanya memantaunya untuk kepatuhan kebijakan.

  2. Tersedia ACL jaringan terkelola yang sesuai — Jika Firewall Manager sudah mengelola ACL jaringan yang sesuai dengan konfigurasi yang diperlukan, maka ini adalah opsi. Jika remediasi diaktifkan, Firewall Manager mengaitkan subnet ke subnet tersebut. Jika remediasi dinonaktifkan, Firewall Manager menandai subnet yang tidak sesuai dan menawarkan penggantian asosiasi ACL jaringan sebagai opsi remediasi.

  3. Buat ACL jaringan terkelola baru yang sesuai — Jika remediasi diaktifkan, Firewall Manager membuat ACL jaringan baru dan mengaitkannya dengan subnet. Jika tidak, Firewall Manager menandai subnet yang tidak sesuai dan menawarkan opsi remediasi untuk membuat ACL jaringan baru dan mengganti asosiasi ACL jaringan.

Jika langkah-langkah ini gagal, Firewall Manager melaporkan ketidakpatuhan untuk subnet.

Firewall Manager mengikuti langkah-langkah ini ketika subnet pertama kali masuk ke ruang lingkup dan ketika ACL jaringan subnet yang tidak dikelola tidak sesuai.

Bagaimana Firewall Manager memulihkan ACL jaringan terkelola yang tidak sesuai

Bagian ini menjelaskan cara Firewall Manager memulihkan ACL jaringan terkelolanya ketika mereka tidak sesuai dengan kebijakan. Firewall Manager hanya memperbaiki ACL jaringan terkelola—dengan tag disetel ke. FMManaged true Untuk ACL jaringan yang tidak dikelola oleh Firewall Manager, lihatManajemen ACL jaringan awal.

Remediasi mengembalikan lokasi relatif dari aturan pertama, kustom, dan terakhir dan mengembalikan pemesanan untuk aturan pertama dan terakhir. Selama remediasi, Firewall Manager tidak akan selalu memindahkan aturan ke nomor aturan yang digunakan dalam inisialisasi ACL jaringan. Untuk pengaturan nomor awal dan deskripsi kategori aturan ini, lihatManajemen ACL jaringan awal.

Untuk menetapkan aturan dan urutan aturan yang sesuai, Firewall Manager mungkin perlu memindahkan aturan di dalam ACL jaringan. Sebisa mungkin, Firewall Manager mempertahankan perlindungan ACL jaringan dengan mempertahankan urutan aturan yang sesuai seperti yang dilakukan. Misalnya, mungkin sementara menduplikasi aturan ke lokasi baru, dan kemudian melakukan penghapusan berurutan aturan asli, menjaga lokasi relatif selama proses.

Pendekatan ini melindungi pengaturan Anda, tetapi juga membutuhkan ruang di ACL jaringan untuk aturan sementara. Jika Firewall Manager mencapai batas untuk aturan dalam ACL jaringan, itu akan menghentikan remediasi. Ketika ini terjadi, ACL jaringan tetap tidak sesuai dan Firewall Manager melaporkan alasannya.

Jika akun menambahkan aturan khusus ke ACL jaringan yang dikelola oleh Firewall Manager, dan aturan tersebut mengganggu remediasi Firewall Manager, Firewall Manager menghentikan aktivitas remediasi apa pun di ACL jaringan dan melaporkan konflik tersebut.

Remediasi paksa

Jika Anda memilih remediasi otomatis untuk kebijakan tersebut, Anda juga menentukan apakah akan memaksa remediasi untuk aturan pertama atau aturan terakhir.

Ketika Firewall Manager menghadapi konflik dalam penanganan lalu lintas antara aturan kustom dan aturan kebijakan, itu mengacu pada pengaturan remediasi paksa yang sesuai. Jika remediasi paksa diaktifkan, Firewall Manager menerapkan remediasi, terlepas dari konflik. Jika opsi ini tidak diaktifkan, Firewall Manager menghentikan remediasi. Dalam kedua kasus tersebut, Firewall Manager melaporkan konflik aturan dan menawarkan opsi remediasi.

Persyaratan dan batasan jumlah aturan

Selama remediasi, Firewall Manager mungkin sementara menduplikasi aturan untuk memindahkannya tanpa mengubah perlindungan yang mereka berikan.

Untuk aturan masuk atau keluar, jumlah aturan terbesar yang mungkin diperlukan oleh Manajer Firewall untuk melakukan remediasi adalah sebagai berikut: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

ACL jaringan dan kebijakan ACL jaringan terikat oleh batas aturan yang dapat berubah. Jika Firewall Manager mencapai batas dalam upaya remediasi, ia berhenti mencoba untuk memulihkan dan melaporkan ketidakpatuhan.

Untuk memberi ruang bagi Firewall Manager untuk melakukan aktivitas remediasi, Anda dapat meminta peningkatan batas. Sebagai alternatif, Anda dapat mengubah konfigurasi dalam kebijakan atau jaringan ACL untuk mengurangi jumlah aturan yang digunakan.

Untuk informasi tentang batas ACL jaringan, lihat Kuota VPC Amazon pada ACL jaringan di Panduan Pengguna Amazon VPC.

Ketika remediasi gagal

Saat memperbarui ACL jaringan, jika Firewall Manager perlu berhenti karena alasan apa pun, itu tidak mengembalikan perubahan, tetapi sebaliknya meninggalkan ACL jaringan dalam keadaan sementara. Jika Anda melihat aturan duplikat di ACL jaringan yang memiliki FMManaged tag yang disetel ketrue, Firewall Manager mungkin sedang memperbaiki itu. Perubahan mungkin sebagian selesai untuk suatu periode, tetapi karena pendekatan yang dilakukan Firewall Manager untuk remediasi, ini tidak akan mengganggu lalu lintas atau mengurangi perlindungan untuk subnet terkait.

Ketika Firewall Manager tidak sepenuhnya memulihkan ACL jaringan yang tidak sesuai, ia melaporkan ketidakpatuhan untuk subnet terkait dan menyarankan kemungkinan opsi remediasi.

Mencoba lagi setelah remediasi gagal

Dalam kebanyakan kasus, jika Firewall Manager gagal menyelesaikan perubahan remediasi ke ACL jaringan, pada akhirnya akan mencoba kembali perubahan tersebut.

Pengecualian untuk ini adalah ketika remediasi mencapai batas jumlah aturan ACL jaringan atau batas jumlah ACL jaringan VPC. Firewall Manager tidak dapat melakukan aktivitas remediasi yang mengambil AWS sumber daya melebihi pengaturan batasnya. Dalam kasus ini, Anda perlu mengurangi jumlah atau menambah batas untuk melanjutkan. Untuk informasi tentang batasan, lihat kuota VPC Amazon pada ACL jaringan di Panduan Pengguna Amazon VPC.

Pelaporan kepatuhan ACL jaringan Firewall Manager

Firewall Manager memantau dan melaporkan kepatuhan untuk semua ACL jaringan yang dilampirkan ke subnet dalam lingkup.

Secara umum, ketidakpatuhan terjadi untuk situasi seperti urutan aturan yang salah atau konflik dalam perilaku penanganan lalu lintas antara aturan kebijakan dan aturan khusus. Pelaporan ketidakpatuhan mencakup pelanggaran kepatuhan dan opsi remediasi.

Firewall Manager melaporkan pelanggaran kepatuhan untuk kebijakan ACL jaringan dengan cara yang sama seperti jenis kebijakan lainnya. Untuk informasi tentang pelaporan kepatuhan, lihatMelihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan.

Ketidakpatuhan selama pembaruan kebijakan

Setelah Anda mengubah kebijakan ACL jaringan, hingga Firewall Manager memperbarui ACL jaringan yang berada dalam cakupan kebijakan, Firewall Manager menandai ACL jaringan tersebut tidak sesuai. Firewall Manager melakukan ini bahkan jika ACL jaringan mungkin, secara tegas, mematuhi.

Misalnya, jika Anda menghapus aturan dari spesifikasi kebijakan, sementara ACL jaringan dalam cakupan masih memiliki aturan tambahan, definisi aturannya mungkin masih mematuhi kebijakan. Namun, karena aturan tambahan adalah bagian dari aturan yang dikelola oleh Firewall Manager, Firewall Manager melihatnya sebagai pelanggaran pengaturan kebijakan saat ini. Ini berbeda dengan cara Manajer Firewall melihat aturan khusus yang Anda tambahkan ke ACL jaringan terkelola Manajer Firewall.

Praktik terbaik untuk menggunakan kebijakan ACL jaringan Firewall Manager

Bagian ini mencantumkan rekomendasi untuk bekerja dengan kebijakan ACL jaringan Firewall Manager dan ACL jaringan terkelola.

Lihat FMManaged tag untuk mengidentifikasi ACL jaringan yang dikelola oleh Firewall Manager

ACL jaringan yang dikelola Firewall Manager memiliki FMManaged tag yang disetel ketrue. Gunakan tag ini untuk membantu membedakan ACL jaringan kustom Anda sendiri dari yang Anda kelola melalui Firewall Manager.

Jangan mengubah nilai FMManaged tag pada ACL jaringan

Firewall Manager menggunakan tag ini untuk mengatur dan menentukan status manajemennya dengan ACL jaringan.

Jangan mengubah asosiasi untuk subnet yang memiliki ACL jaringan terkelola Firewall Manager

Jangan secara manual mengubah asosiasi antara subnet Anda dan ACL jaringan apa pun yang dikelola oleh Firewall Manager. Melakukannya dapat menonaktifkan kemampuan Firewall Manager untuk mengelola perlindungan untuk subnet tersebut. Anda dapat mengidentifikasi ACL jaringan yang dikelola oleh Firewall Manager dengan mencari pengaturan FMManaged tag. true

Untuk menghapus subnet dari manajemen kebijakan Firewall Manager, gunakan pengaturan cakupan kebijakan Manajer Firewall untuk mengecualikan subnet. Misalnya, Anda dapat menandai subnet dan kemudian mengecualikan tag tersebut dari cakupan kebijakan. Untuk informasi selengkapnya, lihat AWS Firewall Manager ruang lingkup kebijakan.

Saat Anda memperbarui ACL jaringan terkelola, jangan mengubah aturan yang dikelola oleh Firewall Manager

Di ACL jaringan yang dikelola oleh Firewall Manager, pisahkan aturan kustom Anda dari aturan kebijakan dengan mengikuti skema penomoran yang dijelaskan dalam. Aturan dan penandaan ACL jaringan Firewall Manager Hanya menambah atau memodifikasi aturan yang memiliki angka antara 5.000 dan 32.000.

Hindari menambahkan terlalu banyak aturan untuk batas akun Anda

Selama remediasi ACL jaringan, Firewall Manager biasanya meningkatkan jumlah aturan ACL jaringan sementara. Untuk menghindari masalah ketidakpatuhan, pastikan Anda memiliki cukup ruang untuk aturan yang Anda gunakan. Untuk informasi selengkapnya, lihat Bagaimana Firewall Manager memulihkan ACL jaringan terkelola yang tidak sesuai.

Mulailah dengan remediasi otomatis dinonaktifkan

Mulailah dengan remediasi otomatis dinonaktifkan, lalu tinjau informasi detail kebijakan untuk menentukan efek yang akan ditimbulkan oleh remediasi otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.

Peringatan kebijakan ACL jaringan Firewall Manager

Bagian ini mencantumkan peringatan dan batasan untuk menggunakan kebijakan ACL jaringan Firewall Manager.

  • Waktu pembaruan lebih lambat dibandingkan dengan kebijakan lain — Firewall Manager umumnya menerapkan kebijakan ACL jaringan dan perubahan kebijakan lebih lambat dibandingkan dengan kebijakan Firewall Manager lainnya, karena keterbatasan dalam tingkat di mana API ACL jaringan Amazon EC2 dapat memproses permintaan. Anda mungkin memperhatikan bahwa perubahan kebijakan membutuhkan waktu lebih lama daripada perubahan serupa dengan kebijakan Firewall Manager lainnya, khususnya saat Anda pertama kali menambahkan kebijakan.

  • Untuk perlindungan subnet awal, Firewall Manager lebih memilih kebijakan yang lebih lama — Ini hanya berlaku untuk subnet yang belum dilindungi oleh kebijakan ACL jaringan Firewall Manager. Jika subnet masuk ke dalam cakupan lebih dari satu kebijakan ACL jaringan pada saat yang sama, maka Firewall Manager menggunakan kebijakan tertua untuk melindungi subnet.

  • Alasan kebijakan untuk berhenti melindungi subnet — Kebijakan yang mengelola ACL jaringan untuk subnet mempertahankan manajemen sampai salah satu hal berikut terjadi:

    • Subnet keluar dari cakupan kebijakan.

    • Kebijakan ini dihapus.

    • Anda secara manual mengubah asosiasi subnet ke ACL jaringan yang dikelola oleh kebijakan Firewall Manager yang berbeda dan cakupannya subnet.

Menghapus kebijakan ACL jaringan Firewall Manager

Saat Anda menghapus kebijakan ACL jaringan Manajer Firewall, Firewall Manager mengubah nilai FMManaged tag false pada semua ACL jaringan yang telah dikelola untuk kebijakan tersebut.

Selain itu, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan. Jika Anda memilih membersihkan, Firewall Manager mencoba langkah-langkah berikut secara berurutan:

  1. Kembalikan asosiasi ke aslinya — Firewall Manager mencoba mengaitkan subnet kembali ke ACL jaringan yang dikaitkan dengannya sebelum Firewall Manager mulai mengelolanya.

  2. Hapus aturan pertama dan terakhir dari ACL jaringan — Jika tidak dapat mengubah asosiasi, Firewall Manager mencoba menghapus aturan pertama dan terakhir kebijakan, hanya menyisakan aturan khusus di ACL jaringan yang terkait dengan subnet.

  3. Jangan lakukan apa pun pada aturan atau asosiasi — Jika tidak dapat melakukan salah satu dari hal-hal di atas, Firewall Manager meninggalkan jaringan ACL dan asosiasinya sebagaimana adanya.

Jika Anda tidak memilih opsi pembersihan, Anda harus mengelola setiap ACL jaringan secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana.