Kebijakan AWS Shield Advanced

Di Manajer FirewallAWS Shieldkebijakan, Anda memilih sumber daya yang ingin Anda lindungi. Bila Anda menerapkan kebijakan dengan perbaikan otomatis diaktifkan, untuk setiap sumber daya dalam lingkup yang belum dikaitkan denganAWS WAFweb ACL, Firewall Manager mengaitkan kosongAWS WAFACL web. ACL web kosong digunakan untuk tujuan pemantauan Shield. Jika Anda kemudian mengaitkan ACL web lain ke sumber daya, Firewall Manager menghapus asosiasi ACL web kosong.

catatan

Ketika sumber daya yang berada dalam lingkup aAWS WAFkebijakan masuk ke dalam lingkup kebijakan Shield Advanced yang dikonfigurasi denganmitigasi DDoS lapisan aplikasi otomatis, Firewall Manager menerapkan perlindungan Shield Advanced hanya setelah mengaitkan ACL web yang dibuat olehAWS WAFkebijakan.

BagaimanaAWS Firewall Managermengelola ACL web yang tidak terkait dalam kebijakan Shield

Anda dapat mengkonfigurasi apakah Firewall Manager mengelola ACL web yang tidak terkait untuk Anda melaluiMengelola ACL web yang tidak terkaitpengaturan dalam kebijakan Anda, atauoptimizeUnassociatedWebACLspengaturan diSecurityServicePolicyDatatipe data dalam API. Jika Anda mengaktifkan pengelolaan ACL web yang tidak terkait dalam kebijakan Anda, Manajer Firewall membuat ACL web di akun dalam cakupan kebijakan hanya jika ACL web akan digunakan oleh setidaknya satu sumber daya. Jika suatu saat akun masuk ke lingkup kebijakan, Firewall Manager secara otomatis membuat ACL web di akun jika setidaknya satu sumber daya akan menggunakan ACL web.

Saat Anda mengaktifkan pengelolaan ACL web yang tidak terkait, Manajer Firewall melakukan pembersihan satu kali ACL web yang tidak terkait di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat web ACL, Firewall Manager tidak memisahkan sumber daya dari web ACL. Jika Anda ingin Firewall Manager untuk membersihkan ACL web, Anda harus terlebih dahulu secara manual memisahkan sumber daya dari web ACL, dan kemudian mengaktifkan opsi mengelola ACL web yang tidak terkait dalam kebijakan Anda.

Jika Anda tidak mengaktifkan opsi ini, Manajer Firewall tidak mengelola ACL web yang tidak terkait, dan Firewall Manager secara otomatis membuat ACL web di setiap akun yang berada dalam cakupan kebijakan.

BagaimanaAWS Firewall Managermengelola perubahan cakupan dalam kebijakan Shield

Akun dan sumber daya dapat keluar dari lingkupAWS Firewall ManagerShield Kebijakan lanjutan karena sejumlah perubahan, seperti perubahan pada pengaturan cakupan kebijakan, perubahan tag pada sumber daya, dan penghapusan akun dari organisasi. Untuk informasi umum tentang pengaturan cakupan kebijakan, lihatAWS Firewall Managercakupan kebijakan.

Dengan sebuahAWS Firewall ManagerShield Kebijakan lanjutan, jika akun atau sumber daya keluar dari ruang lingkup, Manajer Firewall berhenti memantau akun atau sumber daya.

Jika akun keluar dari ruang lingkup dengan dihapus dari organisasi, akun akan terus berlangganan Shield Advanced. Karena akun bukan lagi bagian dari keluarga penagihan konsolidasi, akun tersebut akan dikenakan biaya berlangganan Shield Advanced yang diprorata. Di sisi lain, akun yang keluar dari ruang lingkup tetapi tetap dalam organisasi tidak dikenakan biaya tambahan.

Jika sumber daya keluar dari ruang lingkup, itu terus dilindungi oleh Shield Advanced dan terus dikenakan biaya transfer data Shield Advanced.

Mitigasi DDoS lapisan aplikasi otomatis untuk AmazonCloudFrontdistribusi

Saat Anda menerapkan kebijakan Shield Advanced ke AmazonCloudFrontdistribusi, Anda memiliki opsi untuk mengonfigurasi mitigasi lapisan aplikasi otomatis Shield Advanced DDoS dalam kebijakan.

Untuk informasi tentang mitigasi otomatis Shield Advanced, lihatShield Mitigasi DDoS lapisan aplikasi otomatis tingkat lanjut.

Mitigasi lapisan aplikasi otomatis Shield Advanced DDoS memiliki persyaratan sebagai berikut:

• Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan AmazonCloudFrontsumber daya.

  Karena itu, Anda hanya dapat memilih opsi ini untuk Kebijakan Lanjutan Perisai yang Anda buat untukGlobalWilayah, untuk digunakan dengan AmazonCloudFrontdistribusi.

• Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan ACL web yang dibuat menggunakan versi terbaruAWS WAF(v2).

  Karena itu, jika Anda memiliki kebijakan yang menggunakanAWS WAFACL web klasik, Anda perlu mengganti kebijakan dengan kebijakan baru, yang secara otomatis akan menggunakan versi terbaruAWS WAF, atau minta Firewall Manager membuat ACL web versi baru untuk kebijakan Anda yang ada dan beralih ke menggunakannya. Untuk informasi lebih lanjut tentang opsi, lihat GantiAWS WAFACL web klasik dengan ACL web versi terbaru.

Konfigurasi mitigasi otomatis

Opsi mitigasi DDoS lapisan aplikasi otomatis untuk Firewall Manager Shield Kebijakan lanjutan menerapkan fungsionalitas mitigasi otomatis Shield Advanced ke akun dan sumber daya dalam lingkup kebijakan Anda. Untuk informasi rinci tentang fitur Shield Advanced ini, lihatShield Mitigasi DDoS lapisan aplikasi otomatis tingkat lanjut.

Anda dapat memilih agar Firewall Manager mengaktifkan atau menonaktifkan mitigasi otomatis untukCloudFrontdistribusi yang berada dalam lingkup kebijakan, atau Anda dapat memilih agar kebijakan mengabaikan pengaturan mitigasi otomatis Shield Advanced:

• Aktifkan- Jika Anda memilih untuk mengaktifkan mitigasi otomatis, Anda juga menentukan apakah mitigasi aturan Shield Advanced harus menghitung atau memblokir permintaan web yang cocok. Manajer Firewall akan menandai sumber daya dalam lingkup sebagai noncompliant jika mereka tidak memiliki mitigasi otomatis diaktifkan, atau menggunakan tindakan aturan yang tidak cocok dengan yang Anda tentukan untuk kebijakan. Jika Anda mengonfigurasi kebijakan untuk perbaikan otomatis, Manajer Firewall memperbarui sumber daya yang tidak sesuai jika diperlukan.

• Nonaktifkan- Jika Anda memilih untuk menonaktifkan mitigasi otomatis, Manajer Firewall akan menandai sumber daya dalam lingkup sebagai tidak sesuai jika mitigasi otomatis diaktifkan. Jika Anda mengonfigurasi kebijakan untuk perbaikan otomatis, Manajer Firewall memperbarui sumber daya yang tidak sesuai jika diperlukan.

• Abaikan- Jika Anda memilih untuk mengabaikan mitigasi otomatis, Manajer Firewall tidak akan mempertimbangkan pengaturan mitigasi otomatis saat melakukan aktivitas perbaikan untuk kebijakan tersebut. Pengaturan ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan mitigasi otomatis di tingkat sumber daya, melalui Shield Advanced, tanpa pengaturan tersebut ditimpa oleh Firewall Manager.

GantiAWS WAFACL web klasik dengan ACL web versi terbaru

Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan ACL web yang dibuat menggunakan versi terbaruAWS WAF(v2).

Untuk menentukan versi ACL web untuk kebijakan Shield Advanced Anda, lihatMenentukan versiAWS WAFyang digunakan oleh kebijakan Shield Advanced.

Jika Anda ingin menggunakan mitigasi otomatis dalam kebijakan Shield Advanced, dan kebijakan Anda saat ini digunakanAWS WAFACL web klasik, Anda dapat membuat kebijakan Shield Advanced baru untuk menggantikan yang sekarang, atau Anda dapat menggunakan opsi yang dijelaskan di bagian ini untuk mengganti ACL web versi sebelumnya dengan ACL web (v2) baru di dalam kebijakan Shield Advanced Anda saat ini. Kebijakan baru selalu membuat ACL web menggunakan versi terbaruAWS WAF. Jika Anda mengganti seluruh kebijakan, ketika Anda menghapusnya, Anda dapat memiliki Firewall Manager menghapus semua ACL web versi sebelumnya juga. Bagian lain dari bagian ini menjelaskan opsi Anda untuk mengganti ACL web di dalam kebijakan Anda yang ada.

Saat Anda memodifikasi kebijakan Shield Advanced yang ada untuk AmazonCloudFrontsumber daya, Firewall Manager dapat secara otomatis membuat kosong baruAWS WAF(v2) web ACL untuk kebijakan, di akun dalam lingkup apa pun yang belum memiliki ACL web v2. Ketika Firewall Manager membuat ACL web baru, jika kebijakan sudah memilikiAWS WAFACL web klasik di akun yang sama, Firewall Manager mengonfigurasi ACL web versi baru dengan pengaturan tindakan default yang sama dengan ACL web yang ada. Jika tidak adaAWS WAFKlasik web ACL, Firewall Manager menetapkan tindakan default untukAllowdi ACL web baru. Setelah Firewall Manager membuat ACL web baru, Anda dapat menyesuaikannya sesuai kebutuhan melaluiAWS WAFkonsol.

Bila Anda memilih salah satu opsi konfigurasi kebijakan berikut, Firewall Manager membuat ACL web (v2) baru untuk akun dalam lingkup yang belum memilikinya:

• Saat Anda mengaktifkan atau menonaktifkan mitigasi DDoS lapisan aplikasi otomatis. Pilihan ini saja hanya menyebabkan Firewall Manager untuk membuat ACL web baru, dan tidak mengganti yang adaAWS WAFAsosiasi ACL web klasik pada sumber daya dalam lingkup kebijakan.

• Ketika Anda memilih tindakan kebijakan remediasi otomatis dan Anda memilih opsi untuk menggantiAWS WAFACL web klasik denganAWS WAF(v2) ACL web. Anda dapat memilih untuk mengganti ACL web versi sebelumnya terlepas dari pilihan konfigurasi Anda untuk mitigasi DDoS lapisan aplikasi otomatis.

  Ketika Anda memilih opsi penggantian, Firewall Manager membuat ACL web versi baru sesuai kebutuhan dan kemudian melakukan hal berikut untuk sumber daya dalam lingkup kebijakan:

  • Jika sumber daya dikaitkan dengan ACL web dari kebijakan Manajer Firewall aktif lainnya, Manajer Firewall membiarkan asosiasi itu sendiri.

  • Untuk kasus lain, Firewall Manager menghapus asosiasi apa pun denganAWS WAFACL web klasik dan mengaitkan sumber daya dengan kebijakanAWS WAF(v2) ACL web.

Anda dapat memilih untuk meminta Firewall Manager mengganti ACL web versi sebelumnya dengan ACL web versi baru saat Anda mau. Jika sebelumnya Anda telah menyesuaikan kebijakanAWS WAFACL web klasik, Anda dapat memperbarui ACL web versi baru ke pengaturan yang sebanding sebelum Anda memilih untuk memiliki Firewall Manager melakukan langkah penggantian.

Anda dapat mengakses salah satu versi web ACL untuk kebijakan melalui konsol versi yang sama untukAWS WAFatauAWS WAFKlasik.

Manajer Firewall tidak menghapus semua yang digantiAWS WAFACL web klasik hingga Anda menghapus kebijakan itu sendiri. SetelahAWS WAFACL web klasik tidak lagi digunakan oleh kebijakan, Anda dapat menghapusnya jika Anda mau.

Menentukan versiAWS WAFyang digunakan oleh kebijakan Shield Advanced

Anda dapat menentukan versiAWS WAFKebijakan lanjutan Firewall Manager Shield Anda gunakan dengan melihat kunci parameter di kebijakanAWS Configaturan terkait layanan. JikaAWS WAFversi yang digunakan adalah yang terbaru, kunci parameter termasukpolicyIddanwebAclArn. Jika itu versi sebelumnya,AWS WAFKlasik, kunci parameter termasukwebAclIddanresourceTypes.

YangAWS Configaturan hanya mencantumkan kunci untuk ACL web yang saat ini digunakan kebijakan dengan sumber daya dalam lingkup.

Untuk menentukan versiAWS WAFFirewall Manager Shield Penggunaan kebijakan lanjutan

1. Ambil ID kebijakan untuk kebijakan Shield Advanced:

   1. Masuk keAWS Management Consolemenggunakan akun administrator Firewall Manager, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

   2. Di panel navigasi, pilihKebijakan Keamanan.

   3. Pilih Wilayah untuk kebijakan. UntukCloudFrontdistribusi, iniGlobal.

   4. Temukan kebijakan yang Anda inginkan dan salin nilainyaID Kebijakan.

      Contoh ID kebijakan:1111111-2222-3333-4444-a55aa5aaa555.

2. Buat kebijakanAWS Confignama aturan dengan menambahkan ID kebijakan ke stringFMManagedShieldConfigRule.

   ContohAWS Confignama aturan:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

3. Cari parameter untuk yang terkaitAWS Configaturan untuk kunci bernamapolicyIddanwebAclArn:

   1. BukaAWS Configkonsol dihttps://console.aws.amazon.com/config/.

   2. Di panel navigasi, pilih Aturan.

   3. Temukan kebijakan Manajer FirewallAWS Confignama aturan dalam daftar dan pilih. Halaman aturan terbuka.

   4. Di bawahRincian aturan, diParameterbagian, lihat kuncinya. Jika Anda menemukan kunci bernamapolicyIddanwebAclArn, kebijakan menggunakan web ACL yang dibuat menggunakan versi terbaruAWS WAF. Jika Anda menemukan kunci bernamawebAclIddanresourceTypes, kebijakan menggunakan web ACL yang dibuat menggunakan versi sebelumnya,AWS WAFKlasik.