Kebijakan kelompok keamanan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Kebijakan kelompok keamanan umumKebijakan grup keamanan audit kontenPenggunaan kebijakan grup keamanan auditPraktik terbaikBatasan kebijakan grup keamananKasus penggunaan kebijakan grup keamanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan kelompok keamanan

Anda dapat menggunakan kebijakan grup AWS Firewall Manager keamanan untuk mengelola grup keamanan Amazon Virtual Private Cloud untuk organisasi Anda AWS Organizations. Anda dapat menerapkan kebijakan grup keamanan yang dikontrol secara terpusat ke seluruh organisasi Anda atau ke subset tertentu dari akun dan sumber daya Anda. Anda juga dapat memantau dan mengelola kebijakan grup keamanan yang digunakan di organisasi Anda, dengan kebijakan grup keamanan audit dan penggunaan.

Firewall Manager terus mempertahankan kebijakan Anda dan menerapkannya ke akun dan sumber daya saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk selengkapnya AWS Organizations, lihat Panduan AWS Organizations Pengguna. Untuk informasi tentang grup keamanan Amazon Virtual Private Cloud, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.

Anda dapat menggunakan kebijakan grup keamanan Firewall Manager untuk melakukan hal berikut di seluruh AWS organisasi Anda:

  • Terapkan grup keamanan umum ke akun dan sumber daya tertentu.

  • Audit aturan kelompok keamanan, untuk menemukan dan memulihkan aturan yang tidak patuh.

  • Audit penggunaan kelompok keamanan, untuk membersihkan kelompok keamanan yang tidak terpakai dan berlebihan.

Bagian ini mencakup cara kerja kebijakan grup keamanan Firewall Manager dan memberikan panduan untuk menggunakannya. Untuk prosedur untuk membuat kebijakan grup keamanan, lihatMembuat AWS Firewall Manager kebijakan.

Kebijakan kelompok keamanan umum

Dengan kebijakan grup keamanan umum, Firewall Manager menyediakan asosiasi grup keamanan yang dikontrol secara terpusat ke akun dan sumber daya di seluruh organisasi Anda. Anda menentukan di mana dan bagaimana menerapkan kebijakan di organisasi Anda.

Anda dapat menerapkan kebijakan grup keamanan umum ke jenis sumber daya berikut:

  • Contoh Amazon Elastic Compute Cloud (Amazon EC2)

  • Antarmuka Jaringan Elastis

  • Penyeimbang Beban Aplikasi

  • Classic Load Balancer

Untuk panduan cara membuat kebijakan grup keamanan umum menggunakan konsol, lihatMembuat kebijakan grup keamanan umum.

VPC bersama

Dalam pengaturan cakupan kebijakan untuk kebijakan grup keamanan umum, Anda dapat memilih untuk menyertakan VPC bersama. Pilihan ini mencakup VPC yang dimiliki oleh akun lain dan dibagikan dengan akun dalam lingkup. VPC yang memiliki akun dalam lingkup selalu disertakan. Untuk informasi tentang VPC bersama, lihat Bekerja dengan VPC bersama di Panduan Pengguna VPC Amazon.

Peringatan berikut berlaku untuk menyertakan VPC bersama. Ini adalah tambahan dari peringatan umum untuk kebijakan kelompok keamanan diBatasan kebijakan grup keamanan.

  • Firewall Manager mereplikasi grup keamanan utama ke dalam VPC untuk setiap akun dalam lingkup. Untuk VPC bersama, Firewall Manager mereplikasi grup keamanan utama satu kali untuk setiap akun dalam lingkup tempat VPC dibagikan. Ini dapat menghasilkan beberapa replika dalam satu VPC bersama.

  • Saat membuat VPC bersama baru, Anda tidak akan melihatnya terwakili dalam detail kebijakan grup keamanan Firewall Manager hingga setelah Anda membuat setidaknya satu sumber daya di VPC yang berada dalam cakupan kebijakan.

  • Saat Anda menonaktifkan VPC bersama dalam kebijakan yang mengaktifkan VPC bersama, di VPC bersama, Firewall Manager menghapus grup keamanan replika yang tidak terkait dengan sumber daya apa pun. Firewall Manager meninggalkan grup keamanan replika yang tersisa di tempatnya, tetapi berhenti mengelolanya. Penghapusan grup keamanan yang tersisa ini memerlukan manajemen manual di setiap instance VPC bersama.

Kelompok keamanan utama

Untuk setiap kebijakan grup keamanan umum, Anda AWS Firewall Manager menyediakan satu atau beberapa grup keamanan utama:

  • Grup keamanan utama harus dibuat oleh akun administrator Firewall Manager dan dapat berada di instans VPC Amazon apa pun di akun.

  • Anda mengelola grup keamanan utama melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

  • Anda dapat memberi nama satu atau beberapa grup keamanan sebagai pendahuluan untuk kebijakan grup keamanan Firewall Manager. Secara default, jumlah grup keamanan yang diizinkan dalam kebijakan adalah satu, tetapi Anda dapat mengirimkan permintaan untuk meningkatkannya. Untuk informasi, lihat AWS Firewall Manager kuota.

Pengaturan aturan kebijakan

Anda dapat memilih satu atau beberapa perilaku kontrol perubahan berikut untuk grup keamanan dan sumber daya kebijakan grup keamanan umum Anda:

  • Identifikasi dan laporkan setiap perubahan yang dibuat oleh pengguna lokal ke grup keamanan replika.

  • Putuskan hubungan kelompok keamanan lain dari AWS sumber daya yang berada dalam lingkup kebijakan.

  • Mendistribusikan tag dari grup utama ke grup keamanan replika.

    penting

    Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan oleh AWS layanan ke dalam grup keamanan replika. Tag sistem dimulai dengan aws: awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan tersebut memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat Kebijakan tag di Panduan AWS Organizations Pengguna.

  • Mendistribusikan referensi grup keamanan dari grup utama ke grup keamanan replika.

    Ini memungkinkan Anda untuk dengan mudah membuat aturan referensi grup keamanan umum di semua sumber daya dalam lingkup ke instance yang terkait dengan VPC grup keamanan yang ditentukan. Saat Anda mengaktifkan opsi ini, Firewall Manager hanya menyebarkan referensi grup keamanan jika grup keamanan mereferensikan grup keamanan rekan di Amazon Virtual Private Cloud. Jika grup keamanan replika tidak mereferensikan grup keamanan sejawat dengan benar, Firewall Manager menandai grup keamanan yang direplikasi ini sebagai tidak sesuai. Untuk informasi tentang cara mereferensikan grup keamanan rekan di Amazon VPC, lihat Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan Peering VPC Amazon.

    Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak menyebarkan referensi grup keamanan ke grup keamanan replika. Untuk informasi tentang mengintip VPC di Amazon VPC, lihat Panduan Peering VPC Amazon.

Pembuatan dan manajemen kebijakan

Saat Anda membuat kebijakan grup keamanan umum, Firewall Manager mereplikasi grup keamanan utama ke setiap instans VPC Amazon dalam cakupan kebijakan, dan mengaitkan grup keamanan yang direplikasi ke akun dan sumber daya yang berada dalam cakupan kebijakan. Saat Anda memodifikasi grup keamanan utama, Firewall Manager menyebarkan perubahan ke replika.

Saat menghapus kebijakan grup keamanan umum, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan tersebut. Untuk grup keamanan umum Firewall Manager, sumber daya ini adalah grup keamanan replika. Pilih opsi pembersihan kecuali Anda ingin mengelola setiap replika secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana.

Bagaimana replika dikelola

Grup keamanan replika dalam instans VPC Amazon dikelola seperti grup keamanan Amazon VPC lainnya. Untuk selengkapnya, lihat Grup Keamanan untuk VPC Anda di Panduan Pengguna Amazon VPC.

Kebijakan grup keamanan audit konten

Gunakan kebijakan grup keamanan audit AWS Firewall Manager konten untuk mengaudit dan menerapkan tindakan kebijakan pada aturan yang digunakan dalam grup keamanan organisasi Anda. Kebijakan grup keamanan audit konten berlaku untuk semua grup keamanan yang dibuat pelanggan yang digunakan di AWS organisasi Anda, sesuai dengan cakupan yang Anda tetapkan dalam kebijakan.

Untuk panduan cara membuat kebijakan grup keamanan audit konten menggunakan konsol, lihatMembuat kebijakan grup keamanan audit konten.

Jenis sumber daya lingkup kebijakan

Anda dapat menerapkan kebijakan grup keamanan audit konten ke jenis sumber daya berikut:

  • Contoh Amazon Elastic Compute Cloud (Amazon EC2)

  • Antarmuka Jaringan Elastis

  • Grup keamanan Amazon VPC

Kelompok keamanan dipertimbangkan dalam lingkup kebijakan jika mereka secara eksplisit berada dalam ruang lingkup atau jika mereka terkait dengan sumber daya yang berada dalam ruang lingkup.

Opsi aturan kebijakan

Anda dapat menggunakan aturan kebijakan terkelola atau aturan kebijakan khusus untuk setiap kebijakan audit konten, tetapi tidak keduanya.

  • Aturan kebijakan terkelola — Dalam kebijakan dengan aturan terkelola, Anda dapat menggunakan daftar aplikasi dan protokol untuk mengontrol aturan mana yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak patuh. Anda dapat menggunakan daftar yang dikelola oleh Firewall Manager. Anda juga dapat membuat dan menggunakan daftar aplikasi dan protokol Anda sendiri. Untuk informasi tentang jenis daftar ini dan opsi manajemen Anda untuk daftar kustom, lihatDaftar terkelola.

  • Aturan kebijakan khusus — Dalam kebijakan dengan aturan kebijakan khusus, Anda menentukan grup keamanan yang ada sebagai grup keamanan audit untuk kebijakan Anda. Anda dapat menggunakan aturan grup keamanan audit sebagai templat yang mendefinisikan aturan yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak sesuai.

Grup keamanan audit

Anda harus membuat grup keamanan audit menggunakan akun administrator Firewall Manager Anda, sebelum Anda dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

Grup keamanan yang Anda gunakan untuk kebijakan grup keamanan audit konten digunakan oleh Firewall Manager hanya sebagai referensi perbandingan untuk grup keamanan yang berada dalam cakupan kebijakan. Firewall Manager tidak mengaitkannya dengan sumber daya apa pun di organisasi Anda.

Cara Anda menentukan aturan dalam grup keamanan audit bergantung pada pilihan Anda di setelan aturan kebijakan:

  • Aturan kebijakan terkelola — Untuk pengaturan aturan kebijakan terkelola, Anda menggunakan grup keamanan audit untuk mengganti setelan lain dalam kebijakan, untuk secara eksplisit mengizinkan atau menolak aturan yang mungkin memiliki hasil kepatuhan lainnya.

    • Jika Anda memilih untuk selalu mengizinkan aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditentukan dalam grup keamanan audit dianggap sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.

    • Jika Anda memilih untuk selalu menolak aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditetapkan dalam grup keamanan audit dianggap tidak sesuai dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.

  • Aturan kebijakan khusus — Untuk pengaturan aturan kebijakan khusus, grup keamanan audit memberikan contoh apa yang dapat diterima atau tidak dapat diterima dalam aturan grup keamanan dalam lingkup:

    • Jika Anda memilih untuk mengizinkan penggunaan aturan, semua grup keamanan dalam ruang lingkup hanya boleh memiliki aturan yang berada dalam rentang yang diizinkan dari aturan grup keamanan audit kebijakan. Dalam hal ini, aturan kelompok keamanan kebijakan memberikan contoh tentang apa yang dapat diterima untuk dilakukan.

    • Jika Anda memilih untuk menolak penggunaan aturan, semua grup keamanan dalam ruang lingkup hanya boleh memiliki aturan yang tidak berada dalam rentang yang diizinkan dari aturan grup keamanan audit kebijakan. Dalam hal ini, kelompok keamanan kebijakan memberikan contoh tentang apa yang tidak dapat diterima untuk dilakukan.

Pembuatan dan manajemen kebijakan

Saat membuat kebijakan grup keamanan audit, remediasi otomatis harus dinonaktifkan. Praktik yang disarankan adalah meninjau efek pembuatan kebijakan sebelum mengaktifkan remediasi otomatis. Setelah meninjau efek yang diharapkan, Anda dapat mengedit kebijakan dan mengaktifkan remediasi otomatis. Ketika remediasi otomatis diaktifkan, Firewall Manager memperbarui atau menghapus aturan yang tidak sesuai dalam grup keamanan dalam lingkup.

Kelompok keamanan yang terpengaruh oleh kebijakan grup keamanan audit

Semua grup keamanan di organisasi Anda yang dibuat pelanggan memenuhi syarat untuk berada dalam cakupan kebijakan grup keamanan audit.

Grup keamanan replika tidak dibuat oleh pelanggan sehingga tidak memenuhi syarat untuk secara langsung berada dalam lingkup kebijakan grup keamanan audit. Namun, mereka dapat diperbarui sebagai hasil dari kegiatan remediasi otomatis kebijakan. Grup keamanan utama kebijakan grup keamanan umum dibuat oleh pelanggan dan dapat berada dalam lingkup kebijakan grup keamanan audit. Jika kebijakan grup keamanan audit membuat perubahan pada grup keamanan utama, Firewall Manager secara otomatis menyebarkan perubahan tersebut ke replika.

Penggunaan kebijakan grup keamanan audit

Gunakan kebijakan grup keamanan audit AWS Firewall Manager penggunaan untuk memantau organisasi Anda untuk grup keamanan yang tidak digunakan dan berlebihan dan secara opsional melakukan pembersihan. Bila Anda mengaktifkan remediasi otomatis untuk kebijakan ini, Firewall Manager melakukan hal berikut:

  1. Mengkonsolidasikan grup keamanan yang berlebihan, jika Anda memilih opsi itu.

  2. Menghapus grup keamanan yang tidak digunakan, jika Anda memilih opsi itu.

Anda dapat menerapkan kebijakan grup keamanan audit penggunaan ke jenis sumber daya berikut:

  • Grup keamanan Amazon VPC

Untuk panduan cara membuat kebijakan grup keamanan audit penggunaan menggunakan konsol, lihatMembuat kebijakan grup keamanan audit penggunaan.

Bagaimana Firewall Manager mendeteksi dan memulihkan grup keamanan yang berlebihan

Agar kelompok keamanan dianggap berlebihan, mereka harus memiliki aturan yang persis sama dan berada dalam instance VPC Amazon yang sama.

Untuk memulihkan kumpulan grup keamanan yang berlebihan, Firewall Manager memilih salah satu grup keamanan dalam set yang akan disimpan, dan kemudian mengaitkannya ke semua sumber daya yang terkait dengan grup keamanan lain di set. Firewall Manager kemudian memisahkan grup keamanan lain dari sumber daya yang terkait dengannya, yang membuat mereka tidak digunakan.

catatan

Jika Anda juga memilih untuk menghapus grup keamanan yang tidak digunakan, Firewall Manager melakukannya selanjutnya. Hal ini dapat mengakibatkan penghapusan kelompok keamanan yang berada di set redundan.

Bagaimana Firewall Manager mendeteksi dan memulihkan grup keamanan yang tidak digunakan

Firewall Manager menganggap grup keamanan tidak digunakan jika kedua hal berikut benar:

  • Grup keamanan tidak digunakan oleh instans Amazon EC2 atau antarmuka elastis network Amazon EC2.

  • Firewall Manager belum menerima item konfigurasi untuk itu dalam jumlah menit yang ditentukan dalam periode waktu aturan kebijakan.

Periode waktu aturan kebijakan memiliki pengaturan default nol menit, tetapi Anda dapat meningkatkan waktu hingga 365 hari (525.600 menit), untuk memberi diri Anda waktu untuk mengaitkan grup keamanan baru dengan sumber daya.

penting

Jika Anda menentukan jumlah menit selain nilai default nol, Anda harus mengaktifkan hubungan tidak langsung di AWS Config. Jika tidak, kebijakan grup keamanan audit penggunaan Anda tidak akan berfungsi sebagaimana dimaksud. Untuk informasi tentang hubungan tidak langsung di AWS Config, lihat Hubungan Tidak Langsung di AWS Config dalam Panduan AWS Config Pengembang.

Firewall Manager memulihkan grup keamanan yang tidak digunakan dengan menghapusnya dari akun Anda sesuai dengan pengaturan aturan Anda, jika memungkinkan. Jika Firewall Manager tidak dapat menghapus grup keamanan, ia menandainya sebagai tidak sesuai dengan kebijakan. Firewall Manager tidak dapat menghapus grup keamanan yang direferensikan oleh grup keamanan lain.

Waktu remediasi bervariasi sesuai dengan apakah Anda menggunakan pengaturan periode waktu default atau pengaturan kustom:

  • Periode waktu ditetapkan ke nol, default — Dengan pengaturan ini, grup keamanan dianggap tidak digunakan segera setelah tidak digunakan oleh instans Amazon EC2 atau elastic network interface.

    Untuk pengaturan periode waktu nol ini, Firewall Manager segera memperbaiki grup keamanan.

  • Periode waktu lebih besar dari nol — Dengan pengaturan ini, grup keamanan dianggap tidak digunakan saat tidak digunakan oleh instans Amazon EC2 atau elastic network interface dan Firewall Manager belum menerima item konfigurasi untuk itu dalam jumlah menit yang ditentukan.

    Untuk pengaturan periode waktu bukan nol, Firewall Manager memulihkan grup keamanan setelah tetap dalam keadaan tidak digunakan selama 24 jam.

Spesifikasi akun default

Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, Firewall Manager secara otomatis memilih Kecualikan akun yang ditentukan dan menyertakan semua akun lainnya. Layanan kemudian menempatkan akun administrator Firewall Manager dalam daftar untuk dikecualikan. Ini adalah pendekatan yang disarankan, dan memungkinkan Anda untuk secara manual mengelola grup keamanan milik akun administrator Firewall Manager.

Praktik terbaik untuk kebijakan grup keamanan

Bagian ini mencantumkan rekomendasi untuk mengelola grup keamanan yang digunakan AWS Firewall Manager.

Kecualikan akun administrator Firewall Manager

Saat Anda menetapkan cakupan kebijakan, kecualikan akun administrator Manajer Firewall. Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, ini adalah opsi default.

Mulailah dengan remediasi otomatis dinonaktifkan

Untuk kebijakan grup keamanan audit konten atau penggunaan, mulailah dengan remediasi otomatis dinonaktifkan. Tinjau informasi detail kebijakan untuk menentukan efek yang akan ditimbulkan oleh remediasi otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.

Hindari konflik jika Anda juga menggunakan sumber luar untuk mengelola grup keamanan

Jika Anda menggunakan alat atau layanan selain Firewall Manager untuk mengelola grup keamanan, berhati-hatilah untuk menghindari konflik antara pengaturan Anda di Firewall Manager dan pengaturan di sumber luar Anda. Jika Anda menggunakan remediasi otomatis dan konflik pengaturan, Anda dapat membuat siklus remediasi yang bertentangan yang menghabiskan sumber daya di kedua sisi.

Misalnya, Anda mengonfigurasi layanan lain untuk mempertahankan grup keamanan untuk sekumpulan AWS sumber daya, dan Anda mengonfigurasi kebijakan Firewall Manager untuk mempertahankan grup keamanan yang berbeda untuk beberapa atau semua sumber daya yang sama. Jika Anda mengonfigurasi kedua sisi untuk melarang grup keamanan lain dikaitkan dengan sumber daya dalam lingkup, pihak tersebut akan menghapus asosiasi grup keamanan yang dikelola oleh pihak lain. Jika kedua belah pihak dikonfigurasi dengan cara ini, Anda dapat berakhir dengan siklus disasosiasi dan asosiasi yang saling bertentangan.

Selain itu, katakan bahwa Anda membuat kebijakan audit Firewall Manager untuk menerapkan konfigurasi grup keamanan yang bertentangan dengan konfigurasi grup keamanan dari layanan lain. Remediasi yang diterapkan oleh kebijakan audit Firewall Manager dapat memperbarui atau menghapus grup keamanan tersebut, membuatnya tidak sesuai dengan layanan lainnya. Jika layanan lain dikonfigurasi untuk memantau dan secara otomatis memperbaiki masalah yang ditemukannya, itu akan membuat ulang atau memperbarui grup keamanan, membuatnya lagi tidak sesuai dengan kebijakan audit Manajer Firewall. Jika kebijakan audit Firewall Manager dikonfigurasi dengan remediasi otomatis, kebijakan tersebut akan memperbarui atau menghapus grup keamanan luar, dan seterusnya.

Untuk menghindari konflik seperti ini, buat konfigurasi yang saling eksklusif, antara Firewall Manager dan sumber luar mana pun.

Anda dapat menggunakan penandaan untuk mengecualikan grup keamanan luar dari remediasi otomatis berdasarkan kebijakan Firewall Manager Anda. Untuk melakukan ini, tambahkan satu atau beberapa tag ke grup keamanan atau sumber daya lain yang dikelola oleh sumber luar. Kemudian, ketika Anda menentukan cakupan kebijakan Manajer Firewall, dalam spesifikasi sumber daya Anda, kecualikan sumber daya yang memiliki tag atau tag yang telah Anda tambahkan.

Demikian pula, di alat atau layanan luar Anda, kecualikan grup keamanan yang dikelola Manajer Firewall dari aktivitas manajemen atau audit apa pun. Jangan mengimpor sumber daya Firewall Manager atau gunakan penandaan khusus Manajer Firewall untuk mengecualikannya dari manajemen luar.

Praktik terbaik untuk penggunaan kebijakan grup keamanan audit

Ikuti panduan ini saat Anda menggunakan kebijakan grup keamanan audit penggunaan.

  • Hindari membuat beberapa perubahan pada status asosiasi grup keamanan dalam waktu singkat, seperti dalam jendela 15 menit. Melakukannya dapat menyebabkan Firewall Manager melewatkan beberapa atau semua peristiwa terkait. Misalnya, jangan cepat mengasosiasikan dan memisahkan grup keamanan dengan elastic network interface.

  • Jangan gunakan perekam AWS Config konfigurasi untuk penggunaan kebijakan grup keamanan audit. Itu tidak diperlukan dan penggunaannya menimbulkan biaya tambahan AWS Config .

Batasan kebijakan grup keamanan

Bagian ini mencantumkan batasan untuk menggunakan kebijakan grup AWS Firewall Manager keamanan:

  • Memperbarui grup keamanan untuk antarmuka jaringan elastis Amazon EC2 yang dibuat menggunakan jenis layanan Fargate tidak didukung. Namun, Anda dapat memperbarui grup keamanan untuk antarmuka jaringan elastis Amazon ECS dengan jenis layanan Amazon EC2.

  • Firewall Manager tidak mendukung grup keamanan untuk antarmuka jaringan elastis Amazon EC2 yang dibuat oleh Amazon Relational Database Service.

  • Memperbarui antarmuka jaringan elastis Amazon ECS hanya dimungkinkan untuk layanan Amazon ECS yang menggunakan pengontrol penyebaran pembaruan bergulir (Amazon ECS). Untuk pengontrol penyebaran Amazon ECS lainnya seperti CODE_DEPLOY atau pengontrol eksternal, Firewall Manager saat ini tidak dapat memperbarui antarmuka jaringan elastis.

  • Dengan grup keamanan untuk antarmuka jaringan elastis Amazon EC2, perubahan pada grup keamanan tidak langsung terlihat oleh Firewall Manager. Firewall Manager biasanya mendeteksi perubahan dalam beberapa jam, tetapi deteksi dapat ditunda hingga enam jam.

  • Firewall Manager tidak mendukung pembaruan grup keamanan di antarmuka jaringan elastis untuk Network Load Balancer.

  • Dalam kebijakan grup keamanan umum, jika VPC bersama kemudian tidak dibagikan dengan akun, Firewall Manager tidak akan menghapus grup keamanan replika di akun.

  • Dengan kebijakan grup keamanan audit penggunaan, jika Anda membuat beberapa kebijakan dengan setelan waktu tunda khusus yang semuanya memiliki cakupan yang sama, kebijakan pertama dengan temuan kepatuhan adalah kebijakan yang melaporkan temuan.

Kasus penggunaan kebijakan grup keamanan

Anda dapat menggunakan kebijakan grup keamanan AWS Firewall Manager umum untuk mengotomatiskan konfigurasi firewall host untuk komunikasi antara instans Amazon VPC. Bagian ini mencantumkan arsitektur VPC Amazon standar dan menjelaskan cara mengamankan masing-masing menggunakan kebijakan grup keamanan umum Firewall Manager. Kebijakan grup keamanan ini dapat membantu Anda menerapkan seperangkat aturan terpadu untuk memilih sumber daya di akun yang berbeda dan menghindari konfigurasi per akun di Amazon Elastic Compute Cloud dan Amazon VPC.

Dengan kebijakan grup keamanan umum Firewall Manager, Anda dapat menandai hanya antarmuka jaringan elastis EC2 yang Anda perlukan untuk komunikasi dengan instance di VPC Amazon lainnya. Contoh lain di VPC Amazon yang sama kemudian lebih aman dan terisolasi.

Kasus penggunaan: Memantau dan mengendalikan permintaan ke Application Load Balancers dan Classic Load Balancer

Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk menentukan permintaan penyeimbang beban dalam ruang lingkup yang harus disajikan. Anda dapat mengonfigurasi ini melalui konsol Firewall Manager. Hanya permintaan yang mematuhi aturan masuk grup keamanan yang dapat mencapai penyeimbang beban Anda, dan penyeimbang beban hanya akan mendistribusikan permintaan yang memenuhi aturan keluar.

Kasus penggunaan: VPC Amazon publik yang dapat diakses Internet

Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk mengamankan VPC Amazon publik, misalnya, untuk mengizinkan hanya port masuk 443. Ini sama dengan hanya mengizinkan lalu lintas HTTPS masuk untuk VPC publik. Anda dapat menandai sumber daya publik dalam VPC (misalnya, sebagai “PublicVPC”), lalu menyetel cakupan kebijakan Manajer Firewall ke hanya sumber daya dengan tag tersebut. Firewall Manager secara otomatis menerapkan kebijakan ke sumber daya tersebut.

Kasus penggunaan: Instans VPC Amazon Publik dan Pribadi

Anda dapat menggunakan kebijakan grup keamanan umum yang sama untuk sumber daya publik seperti yang direkomendasikan dalam kasus penggunaan sebelumnya untuk instans VPC Amazon publik yang dapat diakses internet. Anda dapat menggunakan kebijakan grup keamanan umum kedua untuk membatasi komunikasi antara sumber daya publik dan sumber daya pribadi. Tandai sumber daya dalam instance VPC Amazon publik dan pribadi dengan sesuatu seperti "PublicPrivate" untuk menerapkan kebijakan kedua kepada mereka. Anda dapat menggunakan kebijakan ketiga untuk menentukan komunikasi yang diizinkan antara sumber daya pribadi dan perusahaan lain atau instans VPC Amazon pribadi. Untuk kebijakan ini, Anda dapat menggunakan tag pengenal lain pada sumber daya pribadi.

Kasus penggunaan: Hub dan ucapkan instans VPC Amazon

Anda dapat menggunakan kebijakan grup keamanan umum untuk menentukan komunikasi antara instans VPC Amazon hub dan instance VPC Amazon. Anda dapat menggunakan kebijakan kedua untuk menentukan komunikasi dari setiap instance VPC Amazon spoke ke hub Amazon VPC instance.

Kasus penggunaan: Antarmuka jaringan default untuk instans Amazon EC2

Anda dapat menggunakan kebijakan grup keamanan umum untuk hanya mengizinkan komunikasi standar, misalnya layanan pembaruan SSH dan Patch/OS internal, dan untuk melarang komunikasi tidak aman lainnya.

Kasus penggunaan: Identifikasi sumber daya dengan izin terbuka

Anda dapat menggunakan kebijakan grup keamanan audit untuk mengidentifikasi semua sumber daya dalam organisasi Anda yang memiliki izin untuk berkomunikasi dengan alamat IP publik atau yang memiliki alamat IP milik vendor pihak ketiga.