Kebijakan AWS Network Firewall - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan AWS Network Firewall

Anda dapat menggunakanAWS Firewall ManagerNetwork Firewallkebijakanuntuk mengelolaAWS Network Firewall firewallAmazon Virtual Private CloudVPCke seluruh AndaorganisasidiAWS Organizations. Anda dapat menerapkan firewall yang dikendalikan secara terpusat ke seluruh organisasi Anda atau ke bagian tertentu dari akun dan VPC Anda.

Network Firewall menyediakan perlindungan penyaringan lalu lintas jaringan untuk subnet publik di VPC Anda. Ketika Anda menerapkan kebijakan Firewall Manager, untuk setiap akun dan VPC yang berada dalam cakupan kebijakan, Firewall Manager membuat firewall Network Firewall dan menyebarkan endpoint firewall ke subnet VPC, untuk memfilter lalu lintas jaringan.

catatan

Kebijakan Firewall Manager Network Firewall adalah kebijakan Firewall Manager yang Anda gunakan untuk mengelola perlindungan Network Firewall untuk VPC Anda di seluruh organisasi Anda.

Perlindungan Network Firewall ditentukan dalam sumber daya dalam layanan Network Firewall yang disebut kebijakan firewall.

Untuk informasi tentang cara menggunakan Network Firewall, lihatAWS Network FirewallPanduan Pengembang.

Bagian berikut mencakup persyaratan untuk menggunakan kebijakan Firewall Network Firewall Manager dan menjelaskan cara kerja kebijakan. Untuk prosedur pembuatan kebijakan, lihatMembuatAWS Firewall Managerkebijakan untukAWS Network Firewall.

Anda harus mengaktifkan berbagi sumber daya

Kebijakan Network Firewall berbagi grup aturan Network Firewall di seluruh akun di organisasi Anda. Agar ini berfungsi, Anda harus mengaktifkan berbagi sumber dayaAWS Organizations. Untuk informasi tentang cara mengaktifkan berbagi sumber daya, lihatBerbagi sumber daya untuk kebijakan Network Firewall dan Firewall DNS.

Anda harus menetapkan grup aturan Network Firewall

Ketika Anda menentukan kebijakan Network Firewall baru, Anda menentukan kebijakan firewall sama seperti yang Anda lakukan saat Anda menggunakanAWS Network Firewalllangsung. Anda menentukan grup aturan stateless untuk ditambahkan, tindakan stateless default, dan grup aturan stateful. Grup aturan Anda harus sudah ada di akun administrator Firewall Manager agar Anda dapat memasukkannya ke dalam kebijakan. Untuk informasi tentang cara membuat grup aturan Network Firewall, lihatAWS Network Firewallkelompok aturan.

Bagaimana Firewall Manager membuat endpoint firewall

YangModel deploymentdalam kebijakan Anda menentukan bagaimana Firewall Manager membuat endpoint firewall. Ada dua model penyebaran untuk dipilih, yaitumodel penyebaran terdistribusi, danmodel penyebaran terpusat:

  • Model penyebaran terdistribusi- Dengan model penyebaran terdistribusi, Firewall Manager membuat titik akhir untuk setiap VPC yang berada dalam cakupan kebijakan. Anda dapat menyesuaikan lokasi titik akhir dengan menentukan Availability Zone untuk membuat endpoint firewall, atau Firewall Manager dapat secara otomatis membuat titik akhir di Availability Zone dengan subnet publik. Jika Anda memilih Availability Zone secara manual, Anda memiliki opsi untuk membatasi kumpulan CIDR yang diizinkan per Availability Zone. Jika Anda memutuskan untuk membiarkan Firewall Manager secara otomatis membuat titik akhir, Anda juga harus menentukan apakah layanan akan membuat satu titik akhir atau beberapa titik akhir firewall dalam VPC Anda.

    • Untuk beberapa endpoint firewall, Firewall Manager menerapkan endpoint firewall di setiap Availability Zone tempat Anda memiliki subnet dengan gateway internet atau rute endpoint firewall yang dibuat oleh Firewall Manager di tabel rute. Ini adalah opsi default untuk kebijakan Network Firewall.

    • Untuk endpoint firewall tunggal, Firewall Manager menyebarkan endpoint firewall di Availability Zone tunggal di subnet apa pun yang memiliki rute gateway internet. Dengan opsi ini, lalu lintas di zona lain perlu melintasi batas zona untuk disaring oleh firewall.

      catatan

      Untuk kedua opsi ini, harus ada subnet yang terkait dengan tabel rute yang memiliki rute IPv4/prefixList di dalamnya. Firewall Manager tidak memeriksa sumber daya lainnya.

  • Model penyebaran terpusat- Dengan model penyebaran terpusat, Firewall Manager menciptakan satu atau lebih endpoint firewall dalaminspeksi VPC. VPC inspeksi adalah VPC pusat tempat Firewall Manager meluncurkan titik akhir Anda. Saat Anda menggunakan model penyebaran terpusat, Anda juga menentukan Availability Zone mana yang akan membuat titik akhir firewall. Anda tidak dapat mengubah pemeriksaan VPC setelah Anda membuat kebijakan Anda. Untuk menggunakan VPC inspeksi yang berbeda, Anda harus membuat kebijakan baru.

Jika Anda mengubah daftar Availability Zone, Firewall Manager akan mencoba membersihkan titik akhir yang dibuat sebelumnya, namun saat ini tidak berada dalam cakupan kebijakan. Firewall Manager akan menghapus endpoint hanya jika tidak ada rute tabel rute yang referensi keluar dari lingkup endpoint. Jika Firewall Manager menemukan bahwa ia tidak dapat menghapus endpoint ini, itu akan menandai subnet firewall sebagai non-compliant dan akan terus mencoba untuk menghapus endpoint sampai waktu yang aman untuk dihapus.

Bagaimana Firewall Manager mengelola subnet firewall Anda

Subnet firewall adalah subnet VPC yang dibuat oleh Firewall Manager untuk endpoint firewall yang menyaring lalu lintas jaringan Anda. Setiap titik akhir firewall harus dikerahkan dalam subnet VPC khusus. Firewall Manager membuat setidaknya satu subnet firewall di setiap VPC yang berada dalam lingkup kebijakan.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir otomatis, Firewall Manager hanya membuat subnet firewall di Availability Zones yang memiliki subnet dengan rute gateway internet, atau subnet dengan rute ke endpoint firewall yang dibuat oleh Firewall Manager untuk kebijakannya. Untuk informasi lebih lanjut, lihat VPC dan subnet di Panduan Pengguna Amazon VPC.

Untuk kebijakan yang menggunakan model terdistribusi atau terpusat tempat Anda menentukan Availability Zones Firewall Manager yang membuat titik akhir firewall, Firewall Manager membuat titik akhir di Availability Zone tertentu terlepas dari apakah ada sumber daya lain di Availability Zone.

Ketika Anda pertama kali menentukan kebijakan Network Firewall, Anda menentukan bagaimana Firewall Manager mengelola subnet firewall di setiap VPC yang berada dalam lingkup. Anda tidak dapat mengubah pilihan ini nanti.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir otomatis, Anda dapat memilih di antara opsi berikut:

  • Menyebarkan subnet firewall untuk setiap Availability Zone yang memiliki subnet publik. Ini adalah perilaku default. Ini memberikan ketersediaan tinggi perlindungan pemfilteran lalu lintas Anda.

  • Menyebarkan subnet firewall tunggal dalam satu Availability Zone. Dengan pilihan ini, Firewall Manager mengidentifikasi zona di VPC yang memiliki subnet paling publik dan menciptakan subnet firewall di sana. Titik akhir firewall tunggal menyaring semua lalu lintas jaringan untuk VPC. Ini dapat mengurangi biaya firewall, tetapi tidak terlalu tersedia dan memerlukan lalu lintas dari zona lain untuk melintasi batas zona agar dapat disaring.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir kustom atau model penyebaran terpusat, Firewall Manager membuat subnet di Availability Zone yang ditentukan yang berada dalam cakupan kebijakan.

Anda dapat menyediakan blok CIDR VPC untuk Firewall Manager untuk digunakan untuk subnet firewall atau Anda dapat meninggalkan pilihan alamat endpoint firewall hingga Firewall Manager untuk menentukan.

  • Jika Anda tidak menyediakan blok CIDR, Firewall Manager menanyakan VPC Anda untuk alamat IP yang tersedia untuk digunakan.

  • Jika Anda memberikan daftar blok CIDR, Firewall Manager mencari subnet baru hanya di blok CIDR yang Anda berikan. Anda harus menggunakan/28 blok CIDR. Untuk setiap subnet firewall yang dibuat oleh Firewall Manager, ia menjalankan daftar blok CIDR Anda dan menggunakan yang pertama yang ditemukan yang berlaku untuk Availability Zone dan VPC dan memiliki alamat yang tersedia. Jika Firewall Manager tidak dapat menemukan ruang terbuka di VPC (dengan atau tanpa batasan), layanan tidak akan membuat firewall di VPC.

Jika Firewall Manager tidak dapat membuat subnet firewall yang diperlukan di Availability Zone, ia menandai subnet sebagai tidak sesuai dengan kebijakan tersebut. Sementara zona dalam keadaan ini, lalu lintas untuk zona harus melintasi batas zona untuk disaring oleh titik akhir di zona lain. Ini mirip dengan skenario subnet firewall tunggal.

Bagaimana Firewall Manager mengelola sumber daya Network Firewall Anda

Ketika Anda menentukan kebijakan di Firewall Manager, Anda memberikan perilaku pemfilteran lalu lintas jaringan standarAWS Network FirewallKebijakan Firewall. Anda menambahkan grup aturan Network Firewall stateless dan stateful dan menetapkan tindakan default untuk paket yang tidak cocok dengan aturan stateless. Untuk informasi tentang bekerja dengan kebijakan firewall diAWS Network Firewall, lihatAWS Network FirewallKebijakan Firewall.

Saat Anda menyimpan kebijakan Network Firewall, Firewall Manager membuat kebijakan firewall dan firewall di setiap VPC yang berada dalam cakupan kebijakan. Firewall Manager menamai sumber daya Network Firewall ini dengan menggabungkan nilai berikut:

  • Sebuah string tetap, baikFMManagedNetworkFirewallatauFMManagedNetworkFirewallPolicy, tergantung pada jenis sumber daya.

  • Nama kebijakan Firewall Manager. Ini adalah nama yang Anda tetapkan saat membuat kebijakan.

  • ID kebijakan Firewall Manager. Ini adalahAWSID sumber daya untuk kebijakan Firewall Manager.

  • ID Amazon VPC. Ini adalahAWSID sumber daya untuk VPC tempat Firewall Manager membuat kebijakan firewall dan firewall.

Berikut ini menunjukkan contoh nama untuk firewall yang dikelola oleh Firewall Manager:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Berikut ini menunjukkan contoh nama kebijakan firewall:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Setelah Anda membuat kebijakan, pemilik akun di VPC tidak dapat mengganti pengaturan kebijakan firewall atau grup aturan Anda, tetapi mereka dapat menambahkan grup aturan ke kebijakan firewall yang telah dibuat oleh Firewall Manager.

Bagaimana Firewall Manager mengelola dan memantau tabel rute VPC untuk kebijakan Anda

catatan

Manajemen tabel rute saat ini tidak didukung untuk kebijakan yang menggunakan model penyebaran terpusat.

Ketika Firewall Manager membuat endpoint firewall Anda, itu juga membuat tabel rute VPC untuk mereka. Namun, Firewall Manager tidak mengelola tabel rute VPC Anda. Anda harus mengkonfigurasi tabel rute VPC Anda untuk mengarahkan lalu lintas jaringan ke endpoint firewall yang dibuat oleh Firewall Manager. Dengan menggunakan peningkatan perutean ingress Amazon VPC, ubah tabel perutean Anda untuk merutekan lalu lintas melalui titik akhir firewall baru. Perubahan Anda harus memasukkan endpoint firewall antara subnet yang ingin Anda lindungi dan di luar lokasi. Perutean yang tepat yang perlu Anda lakukan tergantung pada arsitektur dan komponennya.

Saat ini, Firewall Manager memungkinkan pemantauan rute tabel rute VPC Anda untuk lalu lintas yang ditujukan ke gateway internet, yaitu melewati firewall. Firewall Manager tidak mendukung gateway target lain seperti gateway NAT.

Untuk informasi tentang mengelola tabel rute untuk VPC Anda, lihatMengelola tabel rute untuk VPC Andadi dalamPanduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang mengelola tabel rute Anda untuk Network Firewall, lihatKonfigurasi tabel rute untukAWS Network Firewalldi dalamAWS Network FirewallPanduan Pengembang.

Ketika Anda mengaktifkan pemantauan untuk kebijakan, Firewall Manager terus memantau konfigurasi rute VPC dan memberi tahu Anda tentang lalu lintas yang melewati pemeriksaan firewall untuk VPC tersebut. Jika subnet memiliki rute endpoint firewall, Firewall Manager mencari rute berikut:

  • Rute untuk mengirim lalu lintas ke titik akhir Network Firewall.

  • Rute untuk meneruskan lalu lintas dari titik akhir Network Firewall ke gateway internet.

  • Rute masuk dari gateway internet ke endpoint Network Firewall.

  • Rute dari subnet firewall.

Jika subnet memiliki rute Network Firewall tetapi ada routing asimetris di Network Firewall dan tabel rute gateway internet Anda, Firewall Manager melaporkan subnet sebagai non-compliant. Firewall Manager juga mendeteksi rute ke gateway internet di tabel rute firewall yang dibuat oleh Firewall Manager, serta tabel rute untuk subnet Anda, dan melaporkannya sebagai non-compliant. Rute tambahan di tabel rute subnet Network Firewall dan tabel rute gateway internet Anda juga dilaporkan sebagai non-compliant. Tergantung pada jenis pelanggaran, Firewall Manager menyarankan tindakan perbaikan untuk membawa konfigurasi rute ke dalam kepatuhan. Firewall Manager tidak menawarkan saran dalam semua kasus. Misalnya, jika subnet pelanggan Anda memiliki titik akhir firewall yang dibuat di luar Firewall Manager, Firewall Manager tidak menyarankan tindakan perbaikan.

Secara default, Firewall Manager akan menandai setiap lalu lintas yang melintasi batas Availability Zone untuk diperiksa sebagai non-compliant. Namun, jika Anda memilih untuk secara otomatis membuat satu titik akhir di VPC Anda, Firewall Manager tidak akan menandai lalu lintas yang melintasi batas Availability Zone sebagai non-compliant.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir kustom, Anda dapat memilih apakah lalu lintas yang melintasi batas Availability Zone dari Availability Zone tanpa titik akhir firewall ditandai sebagai sesuai atau tidak sesuai.

catatan
  • Firewall Manager tidak menyarankan tindakan remediasi untuk rute non-IPv4, seperti IPv6 dan rute daftar awalan.

  • Panggilan yang dilakukan menggunakanDisassociateRouteTablePanggilan API dapat memakan waktu hingga 12 jam untuk dideteksi.

  • Firewall Manager membuat tabel rute Network Firewall untuk subnet yang berisi endpoint firewall. Firewall Manager mengasumsikan bahwa tabel rute ini hanya berisi gateway internet yang valid dan rute default VPC. Setiap rute tambahan atau tidak valid dalam tabel rute ini dianggap tidak patuh.

Saat Anda mengonfigurasi kebijakan Firewall Manager, jika Anda memilihPemantauanMode, Firewall Manager menyediakan pelanggaran sumber daya dan rincian remediasi tentang sumber daya Anda. Anda dapat menggunakan tindakan remediasi yang disarankan ini untuk memperbaiki masalah rute di tabel rute Anda. Jika Anda memilihMatiMode, Firewall Manager tidak memantau konten tabel rute Anda untuk Anda. Dengan opsi ini, Anda mengelola tabel rute VPC Anda sendiri. Untuk informasi lebih lanjut tentang pelanggaran sumber daya ini, lihatMenampilkan informasi kepatuhan untukAWS Firewall Managerkebijakan.

Awas

Jika Anda memilihPemantauandi bawah AWS Network Firewallkonfigurasi rutesaat membuat kebijakan, Anda tidak dapat mematikannya untuk kebijakan tersebut. Namun, jika Anda memilihMati, Anda dapat mengaktifkannya nanti.

Mengonfigurasi pencatatan untukAWS Network Firewallkebijakan

Anda dapat mengaktifkan pencatatan terpusat untuk kebijakan Network Firewall Anda untuk mendapatkan informasi terperinci tentang lalu lintas dalam organisasi Anda. Anda dapat memilih pencatatan alur untuk menangkap arus lalu lintas jaringan, atau pencatatan peringatan untuk melaporkan lalu lintas yang cocok dengan aturan dengan tindakan aturan yang ditetapkanDROPatauALERT. Untuk informasi lebih lanjut tentangAWS Network Firewalllogging, lihatMengonfigurasi lalu lintas jaringan log dariAWS Network Firewalldi dalamAWS Network FirewallPanduan Pengembang.

Anda mengirim log dari firewall Network Firewall kebijakan Anda ke bucket Amazon S3. Setelah Anda mengaktifkan logging,AWS Network Firewallmengirimkan log untuk setiap Network Firewall yang dikonfigurasi dengan memperbarui pengaturan firewall untuk mengirimkan log ke bucket Amazon S3 pilihan Anda dengan yang dicadangkanAWS Firewall Managerawalan,<policy-name>-<policy-id>.

catatan

Awalan ini digunakan oleh Firewall Manager untuk menentukan apakah konfigurasi logging ditambahkan oleh Firewall Manager, atau apakah itu ditambahkan oleh pemilik akun. Jika pemilik akun mencoba menggunakan awalan cadangan untuk pencatatan kustom mereka sendiri, itu akan ditimpa oleh konfigurasi pencatatan dalam kebijakan Firewall Manager.

Untuk informasi selengkapnya tentang cara membuat bucket Amazon S3 dan meninjau log yang tersimpan, lihat.Apa itu Amazon S3?di dalamPanduan Pengguna Amazon Simple Storage Service.

Untuk mengaktifkan pencatatan log Anda harus memenuhi persyaratan berikut:

  • Amazon S3 yang Anda tentukan dalam kebijakan Firewall Manager harus ada.

  • Anda harus memiliki izin berikut:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Jika bucket Amazon S3 yang merupakan tujuan logging Anda menggunakan enkripsi sisi server dengan kunci yang disimpanAWS Key Management Service, Anda harus menambahkan kebijakan berikut keAWS KMSkunci yang dikelola pelanggan untuk memungkinkan Firewall Manager masuk ke CloudWatch Log log grup log:

    { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

Perhatikan bahwa hanya bucket di akun administrator Firewall Manager yang dapat digunakanAWS Network Firewallpenebangan pusat.

Saat Anda mengaktifkan pencatatan terpusat pada kebijakan Network Firewall, Firewall Manager mengambil tindakan ini di akun Anda:

  • Firewall Manager memperbarui izin pada bucket S3 yang dipilih untuk memungkinkan pengiriman log.

  • Firewall Manager membuat direktori di bucket S3 untuk setiap akun anggota dalam lingkup kebijakan. Log untuk setiap akun dapat ditemukan di<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

Untuk mengaktifkan pembuatan log untuk kebijakan Network Firewall

  1. Buat bucket Amazon S3 menggunakan akun administrator Firewall Manager. Untuk informasi selengkapnya, lihatMembuat bucketdi dalamPanduan Pengguna Amazon Simple Storage Service.

  2. Masuk keAWS Management Consolemenggunakan akun administrator Firewall Manager Anda, dan kemudian buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun Firewall Manager, lihat.Prasyarat AWS Firewall Manager.

  3. Di panel navigasi, pilihKebijakan keamanan.

  4. Pilih kebijakan Network Firewall yang ingin Anda aktifkan pencatatan. Untuk informasi lebih lanjut tentangAWS Network Firewalllogging, lihatMengonfigurasi lalu lintas jaringan log dariAWS Network Firewalldi dalamAWS Network FirewallPanduan Pengembang.

  5. PadaRincian kebijakantab, diAturan kebijakanbagian, pilihedit.

  6. Untuk mengaktifkan dan mengumpulkan log, pilih satu atau lebih opsi di bawahKonfigurasi log:

    • Aktifkan dan agregat log aliran

    • Aktifkan dan agregat log peringatan

  7. Pilih bucket Amazon S3 tempat Anda ingin log Anda dikirimkan. Anda harus memilih bucket untuk setiap jenis log yang Anda aktifkan. Anda dapat menggunakan keranjang yang sama untuk kedua jenis log.

  8. (Opsional) Jika Anda ingin pencatatan yang dibuat akun anggota kustom diganti dengan konfigurasi pencatatan kebijakan, pilihGanti konfigurasi logging yang ada.

  9. Pilih Selanjutnya.

  10. Peninjauan pengaturan Anda, lalu pilihSimpanmenyimpan perubahan Anda ke kebijakan.

Untuk menonaktifkan pembuatan log untuk kebijakan Network Firewall

  1. Masuk keAWS Management Consolemenggunakan akun administrator Firewall Manager, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun Firewall Manager, lihat.Prasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilihKebijakan keamanan.

  3. Pilih kebijakan Network Firewall yang ingin Anda nonaktifkan pencatatan.

  4. PadaRincian kebijakantab, diAturan kebijakanbagian, pilihedit.

  5. Di bawahStatus konfigurasi log, batalkan pilihanAktifkan dan agregat log alirandanAktifkan dan agregat log peringatanjika mereka dipilih.

  6. Pilih Selanjutnya.

  7. Peninjauan pengaturan Anda, lalu pilihSimpanmenyimpan perubahan Anda ke kebijakan.