AWS Shield Advanced kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Bagaimana Firewall Manager mengelola ACL web yang tidak terkaitPerubahan cakupan kebijakan Shield AdvancedMitigasi lapisan aplikasi otomatisMenentukan versi yang AWS WAF digunakan oleh kebijakan Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Shield Advanced kebijakan

Dalam AWS Shield kebijakan Firewall Manager, Anda memilih sumber daya yang ingin Anda lindungi. Saat Anda menerapkan kebijakan dengan remediasi otomatis diaktifkan, untuk setiap sumber daya dalam lingkup yang belum dikaitkan dengan ACL AWS WAF web, Firewall Manager mengaitkan ACL web kosong. AWS WAF ACL web kosong digunakan untuk tujuan pemantauan Shield. Jika Anda kemudian mengaitkan ACL web lain ke sumber daya, Firewall Manager menghapus asosiasi ACL web kosong.

catatan

Ketika sumber daya yang berada dalam cakupan AWS WAF kebijakan masuk ke dalam cakupan kebijakan Shield Advanced yang dikonfigurasi dengan mitigasi DDoS lapisan aplikasi otomatis, Firewall Manager menerapkan perlindungan Shield Advanced hanya setelah mengaitkan ACL web yang dibuat oleh kebijakan. AWS WAF

Cara AWS Firewall Manager mengelola ACL web yang tidak terkait dalam kebijakan Shield

Anda dapat mengonfigurasi apakah Firewall Manager mengelola ACL web yang tidak terkait untuk Anda melalui setelan Kelola ACL web yang tidak terkait dalam kebijakan Anda, atau optimizeUnassociatedWebACLs setelan dalam tipe SecurityServicePolicyDatadata di API. Jika Anda mengaktifkan pengelolaan ACL web yang tidak terkait dalam kebijakan Anda, Firewall Manager akan membuat ACL web di akun dalam cakupan kebijakan hanya jika ACL web akan digunakan oleh setidaknya satu sumber daya. Jika sewaktu-waktu akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun jika setidaknya satu sumber daya akan menggunakan ACL web.

Saat Anda mengaktifkan pengelolaan ACL web yang tidak terkait, Firewall Manager melakukan pembersihan satu kali dari ACL web yang tidak terkait di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager tidak memisahkan sumber daya dari ACL web. Jika Anda ingin Firewall Manager membersihkan ACL web, Anda harus terlebih dahulu memisahkan sumber daya dari ACL web secara manual, lalu mengaktifkan opsi kelola ACL web yang tidak terkait dalam kebijakan Anda.

Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak mengelola ACL web yang tidak terkait, dan Firewall Manager secara otomatis membuat ACL web di setiap akun yang berada dalam cakupan kebijakan.

Cara AWS Firewall Manager mengelola perubahan cakupan dalam kebijakan Shield

Akun dan sumber daya dapat keluar dari cakupan kebijakan AWS Firewall Manager Shield Advanced karena sejumlah perubahan, seperti perubahan pengaturan cakupan kebijakan, perubahan tag pada sumber daya, dan penghapusan akun dari organisasi. Untuk informasi umum tentang pengaturan cakupan kebijakan, lihatAWS Firewall Manager ruang lingkup kebijakan.

Dengan kebijakan AWS Firewall Manager Shield Advanced, jika akun atau sumber daya keluar dari cakupan, Firewall Manager berhenti memantau akun atau sumber daya.

Jika akun keluar dari cakupan dengan dihapus dari organisasi, akun akan terus berlangganan Shield Advanced. Karena akun tidak lagi menjadi bagian dari keluarga penagihan konsolidasi, akun tersebut akan dikenakan biaya berlangganan Shield Advanced yang diprorata. Di sisi lain, akun yang keluar dari ruang lingkup tetapi tetap berada di organisasi tidak dikenakan biaya tambahan.

Jika sumber daya keluar dari cakupan, itu terus dilindungi oleh Shield Advanced dan terus dikenakan biaya transfer data Shield Advanced.

Mitigasi DDoS lapisan aplikasi otomatis

Bila Anda menerapkan kebijakan Shield Advanced ke CloudFront distribusi Amazon atau Application Load Balancers, Anda memiliki opsi untuk mengonfigurasi mitigasi DDoS lapisan aplikasi otomatis Shield Advanced dalam kebijakan.

Untuk informasi tentang mitigasi otomatis Shield Advanced, lihat. Mitigasi DDoS lapisan aplikasi otomatis Shield Advanced

Mitigasi DDoS lapisan aplikasi otomatis Shield Advanced memiliki persyaratan sebagai berikut:

  • Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan CloudFront distribusi Amazon dan Application Load Balancer.

    Jika menerapkan kebijakan Shield Advanced ke CloudFront distribusi Amazon, Anda dapat memilih opsi ini untuk kebijakan Shield Advanced yang Anda buat untuk Wilayah Global. Jika menerapkan perlindungan pada Application Load Balancers, Anda dapat menerapkan kebijakan tersebut ke Wilayah mana pun yang didukung oleh Firewall Manager.

  • Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan ACL web yang dibuat menggunakan versi terbaru (v2). AWS WAF

    Karena itu, jika Anda memiliki kebijakan yang menggunakan ACL web AWS WAF Klasik, Anda perlu mengganti kebijakan tersebut dengan kebijakan baru, yang secara otomatis akan menggunakan versi terbaru AWS WAF, atau meminta Firewall Manager membuat ACL web versi baru untuk kebijakan yang ada dan beralih ke menggunakannya. Untuk informasi lebih lanjut tentang opsi, lihat Ganti ACL web AWS WAF Klasik dengan ACL web versi terbaru.

Konfigurasi mitigasi otomatis

Opsi mitigasi DDoS lapisan aplikasi otomatis untuk Kebijakan Firewall Manager Shield Advanced menerapkan fungsionalitas mitigasi otomatis Shield Advanced ke akun dan sumber daya dalam cakupan kebijakan Anda. Untuk informasi rinci tentang fitur Shield Advanced ini, lihatMitigasi DDoS lapisan aplikasi otomatis Shield Advanced.

Anda dapat memilih agar Firewall Manager mengaktifkan atau menonaktifkan mitigasi otomatis untuk CloudFront distribusi atau Application Load Balancer yang berada dalam cakupan kebijakan, atau Anda dapat memilih agar kebijakan mengabaikan pengaturan mitigasi otomatis Shield Advanced:

  • Aktifkan - Jika Anda memilih untuk mengaktifkan mitigasi otomatis, Anda juga menentukan apakah mitigasi aturan Shield Advanced harus menghitung atau memblokir permintaan web yang cocok. Firewall Manager akan menandai sumber daya dalam lingkup sebagai tidak sesuai jika tidak mengaktifkan mitigasi otomatis, atau menggunakan tindakan aturan yang tidak cocok dengan yang Anda tentukan untuk kebijakan tersebut. Jika Anda mengonfigurasi kebijakan untuk remediasi otomatis, Firewall Manager akan memperbarui sumber daya yang tidak sesuai kebutuhan.

  • Nonaktifkan - Jika Anda memilih untuk menonaktifkan mitigasi otomatis, Firewall Manager akan menandai sumber daya dalam lingkup sebagai tidak sesuai jika mitigasi otomatis diaktifkan. Jika Anda mengonfigurasi kebijakan untuk remediasi otomatis, Firewall Manager akan memperbarui sumber daya yang tidak sesuai kebutuhan.

  • Abaikan — Jika Anda memilih untuk mengabaikan mitigasi otomatis, Firewall Manager tidak akan mempertimbangkan setelan mitigasi otomatis apa pun dalam kebijakan Shield saat melakukan aktivitas remediasi untuk kebijakan tersebut. Pengaturan ini memungkinkan Anda untuk mengontrol mitigasi otomatis melalui Shield Advanced, tanpa pengaturan tersebut ditimpa oleh Firewall Manager. Pengaturan ini tidak berlaku untuk sumber daya Classic Load Balancer atau IP Elastic yang dikelola melalui Shield Advanced, karena Shield Advanced saat ini tidak mendukung mitigasi otomatis L7 untuk sumber daya tersebut.

Ganti ACL web AWS WAF Klasik dengan ACL web versi terbaru

Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan ACL web yang dibuat menggunakan versi terbaru (v2). AWS WAF

Untuk menentukan versi ACL web untuk kebijakan Shield Advanced Anda, lihatMenentukan versi AWS WAF yang digunakan oleh kebijakan Shield Advanced.

Jika Anda ingin menggunakan mitigasi otomatis dalam kebijakan Shield Advanced, dan kebijakan Anda saat ini menggunakan AWS WAF Classic web ACL, Anda dapat membuat kebijakan Shield Advanced baru untuk menggantikan kebijakan Anda saat ini, atau Anda dapat menggunakan opsi yang dijelaskan di bagian ini untuk mengganti ACL web versi sebelumnya dengan ACL web baru (v2) di dalam kebijakan Shield Advanced Anda saat ini. Kebijakan baru selalu membuat ACL web menggunakan versi terbaru. AWS WAF Jika Anda mengganti seluruh kebijakan, saat Anda menghapusnya, Anda dapat meminta Firewall Manager menghapus semua ACL web versi sebelumnya juga. Bagian lainnya menjelaskan opsi Anda untuk mengganti ACL web di dalam kebijakan yang ada.

Saat Anda mengubah kebijakan Shield Advanced yang ada untuk CloudFront sumber daya Amazon, Firewall Manager dapat secara otomatis membuat ACL web kosong AWS WAF (v2) baru untuk kebijakan tersebut, di akun dalam lingkup apa pun yang belum memiliki ACL web v2. Saat Firewall Manager membuat ACL web baru, jika kebijakan sudah memiliki ACL web AWS WAF Klasik di akun yang sama, Firewall Manager mengonfigurasi ACL web versi baru dengan setelan tindakan default yang sama dengan ACL web yang ada. Jika tidak ada ACL web AWS WAF Klasik yang ada, Firewall Manager menetapkan tindakan default ke Allow ACL web baru. Setelah Firewall Manager membuat ACL web baru, Anda dapat menyesuaikannya sesuai kebutuhan melalui AWS WAF konsol.

Bila Anda memilih salah satu opsi konfigurasi kebijakan berikut, Firewall Manager membuat ACL web baru (v2) untuk akun dalam lingkup yang belum memilikinya:

  • Saat Anda mengaktifkan atau menonaktifkan mitigasi DDoS lapisan aplikasi otomatis. Pilihan ini saja hanya menyebabkan Firewall Manager membuat ACL web baru, dan tidak menggantikan asosiasi ACL web AWS WAF Klasik yang ada pada sumber daya dalam cakupan kebijakan.

  • Bila Anda memilih tindakan kebijakan remediasi otomatis dan Anda memilih opsi untuk mengganti ACL web AWS WAF Klasik dengan AWS WAF (v2) ACL web. Anda dapat memilih untuk mengganti ACL web versi sebelumnya terlepas dari pilihan konfigurasi Anda untuk mitigasi DDoS lapisan aplikasi otomatis.

    Saat Anda memilih opsi penggantian, Firewall Manager membuat ACL web versi baru sesuai kebutuhan, lalu melakukan hal berikut untuk sumber daya dalam cakupan kebijakan:

    • Jika sumber daya dikaitkan dengan ACL web dari kebijakan Firewall Manager aktif lainnya, Firewall Manager meninggalkan asosiasi sendirian.

    • Untuk kasus lain, Firewall Manager menghapus asosiasi apa pun dengan ACL web AWS WAF Klasik dan mengaitkan sumber daya dengan ACL web kebijakan AWS WAF (v2).

Anda dapat memilih untuk meminta Firewall Manager mengganti ACL web versi sebelumnya dengan ACL web versi baru saat Anda mau. Jika sebelumnya Anda telah menyesuaikan ACL web AWS WAF Klasik kebijakan, Anda dapat memperbarui ACL web versi baru ke setelan yang sebanding sebelum Anda memilih agar Firewall Manager melakukan langkah penggantian.

Anda dapat mengakses salah satu versi ACL web untuk kebijakan melalui konsol versi yang sama untuk AWS WAF atau Classic. AWS WAF

Firewall Manager tidak menghapus ACL web AWS WAF Klasik yang diganti sampai Anda menghapus kebijakan itu sendiri. Setelah ACL web AWS WAF Klasik tidak lagi digunakan oleh kebijakan, Anda dapat menghapusnya jika mau.

Menentukan versi AWS WAF yang digunakan oleh kebijakan Shield Advanced

Anda dapat menentukan versi kebijakan Lanjutan Firewall Manager Shield yang digunakan dengan melihat kunci parameter dalam aturan AWS Config terkait layanan kebijakan. AWS WAF Jika AWS WAF versi yang digunakan adalah yang terbaru, kunci parameter menyertakan policyId danwebAclArn. Jika versi sebelumnya, AWS WAF Classic, kunci parameter termasuk webAclId danresourceTypes.

AWS Config Aturan hanya mencantumkan kunci untuk ACL web yang saat ini digunakan kebijakan dengan sumber daya dalam cakupan.

Untuk menentukan versi kebijakan Firewall Manager Shield Advanced yang digunakan AWS WAF

  1. Mengambil ID kebijakan untuk kebijakan Shield Advanced:

    1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    2. Di panel navigasi, pilih Kebijakan Keamanan.

    3. Pilih Wilayah untuk kebijakan. Untuk CloudFront distribusi, iniGlobal.

    4. Temukan kebijakan yang Anda inginkan dan salin nilai ID Policy-nya.

      Contoh ID kebijakan:1111111-2222-3333-4444-a55aa5aaa555.

  2. Buat nama AWS Config aturan kebijakan dengan menambahkan ID kebijakan ke stringFMManagedShieldConfigRule.

    Contoh nama AWS Config aturan:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. Cari parameter untuk AWS Config aturan terkait untuk kunci bernama policyId danwebAclArn:

    1. Buka AWS Config konsol di https://console.aws.amazon.com/config/.

    2. Di panel navigasi, pilih Aturan.

    3. Temukan nama AWS Config aturan kebijakan Firewall Manager Anda dalam daftar dan pilih. Halaman aturan terbuka.

    4. Di bawah Rincian aturan, di bagian Parameter, lihat tombol. Jika Anda menemukan kunci bernama policyId danwebAclArn, kebijakan menggunakan ACL web yang dibuat menggunakan versi terbaru. AWS WAF Jika Anda menemukan kunci bernama webAclId danresourceTypes, kebijakan menggunakan ACL web yang dibuat menggunakan versi sebelumnya, AWS WAF Classic.