Fase 3: Creare e applicare una policy Fortigate CNF

Dopo aver completato i prerequisiti, crei una AWS Firewall Manager policy Fortigate CNF.

Per ulteriori informazioni sulle politiche di Firewall Manager per Fortigate CNF, vedere. Politiche di Fortigate Cloud Native Firewall (CNF) as a Service

Per creare una policy Firewall Manager per Fortigate CNF (console)

1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

   Nota

   Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

3. Scegli Crea policy.

4. Per il tipo di policy, scegli Fortigate CNF. Se non ti sei ancora abbonato al servizio Fortigate CNF nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli Visualizza i dettagli del AWS Marketplace.

5. Per il modello di implementazione, scegli il modello distribuito o il modello centralizzato. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.

6. Per Regione, scegli un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.

7. Seleziona Successivo.

9. Nella configurazione della politica, scegli la politica firewall Fortigate CNF da associare a questa politica. L'elenco delle politiche firewall di Fortigate CNF contiene tutte le politiche firewall Fortigate CNF associate al tenant di Fortigate CNF. Per informazioni sulla creazione e la gestione delle politiche firewall di Fortigate CNF, consulta la documentazione di Fortigate CNF.

10. Seleziona Successivo.

11. In Configura un endpoint firewall di terze parti, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:

    • Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di disponibilità, seleziona in quali zone di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

    • Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli AWS Firewall Manager endpoint in configurazione Inspection VPC, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.

      • In Zone di disponibilità, seleziona le zone di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al nome della zona di disponibilità o all'ID della zona di disponibilità.

12. Seleziona Successivo.

13. Per l'ambito della politica, in base a cui si applica Account AWS questa politica, scegli l'opzione seguente:

    • Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita Includi tutti gli account della mia AWS organizzazione.

    • Se desideri applicare la politica solo a conti specifici o account che si trovano in unità AWS Organizations organizzative (OU) specifiche, scegli Includi solo gli account e le unità organizzative specificati, quindi aggiungi gli account e le unità organizzative che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in ognuna delle unità organizzative figlio, incluse le unità organizzative secondarie e gli account aggiunti in un secondo momento.

    • Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative (OU) tranne uno specifico, scegli Escludi gli account e le unità organizzative specificati e includi tutti gli altri, quindi aggiungi gli account e le unità organizzative che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in ognuna delle unità organizzative figlio, incluse le unità organizzative secondarie e gli account aggiunti in un secondo momento.

    È possibile scegliere solo una delle opzioni.

    Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a una delle relative unità organizzative secondarie, Firewall Manager applica automaticamente la politica al nuovo account.

    Il tipo di risorsa per le policy CNF di Fortigate è VPC.

14. Per le risorse, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

    Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

15. Per Concedi l'accesso a più account, scegli Scarica AWS CloudFormation modello. In questo modo viene scaricato un AWS CloudFormation modello che puoi utilizzare per creare uno AWS CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse Fortigate CNF. Per informazioni sugli stack, consulta Working with stacks nella Guida per l'utente.AWS CloudFormation Per creare uno stack, è necessario l'ID dell'account dal portale Fortigate CNF.

16. Seleziona Successivo.

17. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

18. Seleziona Successivo.

19. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Verificare che le azioni dei criteri siano impostate su Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente. Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.

20. Al termine, scegliere Create policy (Crea policy).

    Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Per ulteriori informazioni sulle politiche CNF di Firewall Manager Fortigate, vedere. Politiche di Fortigate Cloud Native Firewall (CNF) as a Service