Politiche della lista di controllo degli accessi alla rete (ACL) di Amazon VPC - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Regole e tagging degli ACL di reteGestione iniziale degli ACL di reteRiparazione degli ACL di rete gestitaSegnalazione della conformità ACL di reteBest practiceAvvertenzeEliminazione di una politica ACL di rete

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche della lista di controllo degli accessi alla rete (ACL) di Amazon VPC

Questa sezione spiega come funzionano le politiche ACL di AWS Firewall Manager rete e fornisce indicazioni per il loro utilizzo. Per indicazioni sulla creazione di una politica ACL di rete utilizzando la console, vedere. Creazione di una ACL politica di rete

Per informazioni sulle liste di controllo degli accessi alla rete (ACL) di Amazon VPC, consulta Controllare il traffico verso le sottoreti utilizzando gli ACL di rete nella Amazon VPC User Guide.

Puoi utilizzare le policy ACL di rete Firewall Manager per gestire le liste di controllo degli accessi alla rete (ACL) di Amazon Virtual Private Cloud (Amazon VPC) per la tua organizzazione in. AWS Organizations Sei tu a definire le impostazioni delle regole ACL di rete della policy e gli account e le sottoreti in cui desideri che tali impostazioni vengano applicate. Firewall Manager applica continuamente le impostazioni delle policy agli account e alle sottoreti man mano che vengono aggiunti o aggiornati all'interno dell'organizzazione. Per informazioni sull'ambito delle politiche e AWS Organizations, consulta AWS Firewall Manager ambito della politica la Guida per l'AWS Organizations utente.

Quando si definisce un criterio ACL di rete di Firewall Manager, oltre alle impostazioni standard dei criteri di Firewall Manager, come nome e ambito, si fornisce quanto segue:

  • Prima e ultima regola per la gestione del traffico in entrata e in uscita. Firewall Manager impone la presenza e l'ordine di questi ACL negli ACL di rete che rientrano nell'ambito della policy o segnala la non conformità. I singoli account possono creare regole personalizzate da eseguire tra la prima e l'ultima regola della policy.

  • Se forzare la riparazione quando la riparazione comporterebbe conflitti di gestione del traffico tra le regole dell'ACL di rete. Ciò si applica solo quando la correzione è abilitata per la politica.

Regole e tagging degli ACL di rete Firewall Manager

Questa sezione descrive le specifiche delle regole dei criteri ACL di rete e gli ACL di rete gestiti da Firewall Manager.

Etichettatura su un ACL di rete gestita

Firewall Manager contrassegna un ACL di rete gestita con un FMManaged tag con un valore ditrue. Firewall Manager esegue la correzione solo sugli ACL di rete con questa impostazione di tag.

Regole definite nella politica

Nella specifica della politica ACL di rete, si definiscono le regole che si desidera eseguire per prime e ultime per il traffico in entrata e le regole che si desidera eseguire per prime e ultime per il traffico in uscita.

Per impostazione predefinita, puoi definire fino a 5 regole in entrata, da utilizzare in qualsiasi combinazione della prima e dell'ultima regola della policy. Allo stesso modo, è possibile definire fino a 5 regole in uscita. Per ulteriori informazioni su questi limiti, consultaQuote flessibili. Per informazioni sui limiti generali degli ACL di rete, consulta le quote Amazon VPC sugli ACL di rete nella Amazon VPC User Guide.

Non si assegnano numeri di regole alle regole della policy. Al contrario, si specificano le regole nell'ordine in cui si desidera che vengano valutate e Firewall Manager utilizza tale ordinamento per assegnare i numeri delle regole negli ACL di rete che gestisce.

Oltre a ciò, gestisci le specifiche delle regole ACL di rete della policy come gestiresti le regole in un ACL di rete tramite Amazon VPC. Per informazioni sulla gestione degli ACL di rete in Amazon VPC, consulta Controllare il traffico verso le sottoreti utilizzando gli ACL di rete e Lavorare con gli ACL di rete nella Amazon VPC User Guide.

Regole in una rete gestita (ACL)

Firewall Manager configura le regole in un ACL di rete che gestisce inserendo la prima e l'ultima regola della policy prima e dopo qualsiasi regola personalizzata definita da un singolo account manager. Firewall Manager mantiene l'ordine delle regole personalizzate. Gli ACL di rete vengono valutati a partire dalla regola con il numero più basso.

Quando Firewall Manager crea per la prima volta un ACL di rete, definisce le regole con la seguente numerazione:

  • Prime regole: 1, 2,... — Definito dall'utente nella politica ACL di rete Firewall Manager.

    Firewall Manager assegna i numeri alle regole a partire da 1 con incrementi di 1, con le regole ordinate come le hai ordinate nelle specifiche della policy.

  • Regole personalizzate: 5.000, 5.100,... — Gestito da singoli account manager tramite Amazon VPC.

    Firewall Manager assegna numeri a queste regole a partire da 5.000 e incrementando di 100 per ogni regola successiva.

  • Ultime regole:... 32.765, 32.766: definito dall'utente nella politica ACL di rete Firewall Manager.

    Firewall Manager assegna numeri di regole che terminano con il numero più alto possibile, 32766 con incrementi di 1, con le regole ordinate come le hai ordinate nelle specifiche della policy.

Dopo l'inizializzazione degli ACL di rete, Firewall Manager non controlla le modifiche apportate dai singoli account agli ACL della rete gestita. I singoli account possono modificare un ACL di rete senza comprometterne la conformità, a condizione che le regole personalizzate rimangano numerate tra la prima e l'ultima regola della policy e che la prima e l'ultima regola mantengano l'ordine specificato. È consigliabile attenersi alla numerazione descritta in questa sezione per gestire le regole personalizzate.

In che modo Firewall Manager avvia la gestione ACL di rete per una sottorete

Firewall Manager inizia la gestione dell'ACL di rete per una sottorete quando associa la sottorete a un ACL di rete che Firewall Manager ha creato e impostato su. FMManaged true

La conformità a una politica ACL di rete richiede che l'ACL di rete della sottorete abbia le prime regole della policy posizionate per prime, nell'ordine specificato nella policy, le ultime regole posizionate per ultime nell'ordine e tutte le altre regole personalizzate posizionate al centro. Questi requisiti possono essere soddisfatti da un ACL di rete non gestito a cui la sottorete è già associata o da un ACL di rete gestita.

Quando Firewall Manager applica una politica ACL di rete a una sottorete associata a un ACL di rete non gestito, Firewall Manager controlla quanto segue nell'ordine, interrompendo quando identifica un'opzione valida:

  1. L'ACL di rete associato è già conforme: se l'ACL di rete attualmente associato alla sottorete è conforme, Firewall Manager mantiene tale associazione e non avvia la gestione degli ACL di rete per la sottorete.

    Firewall Manager non modifica né gestisce in altro modo un ACL di rete di cui non è proprietario, ma finché è conforme, Firewall Manager lo lascia in vigore e si limita a monitorarlo per verificarne la conformità alle policy.

  2. È disponibile un ACL di rete gestita conforme: se Firewall Manager gestisce già un ACL di rete conforme alla configurazione richiesta, questa è un'opzione. Se la riparazione è abilitata, Firewall Manager associa la sottorete ad essa. Se la riparazione è disabilitata, Firewall Manager contrassegna la sottorete come non conforme e offre la sostituzione dell'associazione ACL di rete come opzione di riparazione.

  3. Crea un nuovo ACL di rete gestita conforme: se la correzione è abilitata, Firewall Manager crea un nuovo ACL di rete e lo associa alla sottorete. In caso contrario, Firewall Manager contrassegna la sottorete come non conforme e offre le opzioni di correzione relative alla creazione del nuovo ACL di rete e alla sostituzione dell'associazione ACL di rete.

Se questi passaggi falliscono, Firewall Manager segnala la non conformità per la sottorete.

Firewall Manager segue questi passaggi quando una sottorete entra per la prima volta nell'ambito e quando l'ACL di rete non gestita di una sottorete non è conforme.

In che modo Firewall Manager corregge gli ACL di rete gestita non conformi

Questa sezione descrive come Firewall Manager corregge gli ACL di rete gestiti quando non sono conformi alla policy. Firewall Manager corregge solo gli ACL di rete gestita, con il FMManaged tag impostato su. true Per gli ACL di rete che non sono gestiti da Firewall Manager, vediGestione iniziale degli ACL di rete.

La riparazione ripristina le posizioni relative della prima, della regola personalizzata e dell'ultima regola e ripristina l'ordine della prima e dell'ultima regola. Durante la riparazione, Firewall Manager non sposterà necessariamente le regole sui numeri di regola utilizzati nell'inizializzazione dell'ACL di rete. Per le impostazioni iniziali dei numeri e le descrizioni di queste categorie di regole, vedere. Gestione iniziale degli ACL di rete

Per stabilire regole e ordinamento conformi, Firewall Manager potrebbe dover spostare le regole all'interno dell'ACL di rete. Per quanto possibile, Firewall Manager preserva le protezioni dell'ACL di rete mantenendo l'ordine delle regole conforme esistente a tale scopo. Ad esempio, potrebbe duplicare temporaneamente le regole in nuove posizioni e quindi eseguire una rimozione ordinata delle regole originali, preservando le posizioni relative durante il processo.

Questo approccio protegge le impostazioni, ma richiede anche spazio nell'ACL di rete per le regole provvisorie. Se Firewall Manager raggiunge il limite per le regole in un ACL di rete, interromperà la riparazione. In questo caso, l'ACL di rete non è conforme e Firewall Manager ne segnala il motivo.

Se un account aggiunge regole personalizzate a un ACL di rete gestito da Firewall Manager e tali regole interferiscono con la riparazione di Firewall Manager, Firewall Manager interrompe qualsiasi attività di riparazione sull'ACL di rete e segnala il conflitto.

Riparazione forzata

Se si sceglie la riparazione automatica per la politica, si specifica anche se forzare la riparazione per le prime o le ultime regole.

Quando Firewall Manager rileva un conflitto nella gestione del traffico tra una regola personalizzata e una regola di policy, fa riferimento alla corrispondente impostazione di riparazione forzata. Se la riparazione forzata è abilitata, Firewall Manager applica la riparazione, nonostante il conflitto. Se questa opzione non è abilitata, Firewall Manager interrompe la riparazione. In entrambi i casi, Firewall Manager segnala il conflitto di regole e offre opzioni di correzione.

Requisiti e limiti relativi al numero di regole

Durante la riparazione, Firewall Manager potrebbe duplicare temporaneamente le regole per spostarle senza alterare le protezioni fornite.

Per le regole in entrata o in uscita, il maggior numero di regole che Firewall Manager potrebbe richiedere per eseguire la correzione è il seguente: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Gli ACL di rete e le politiche ACL di rete sono vincolati da limiti di regole modificabili. Se Firewall Manager raggiunge un limite nelle sue attività di riparazione, interrompe i tentativi di correzione e segnala la non conformità.

Per fare spazio a Firewall Manager per svolgere le proprie attività di riparazione, è possibile richiedere un aumento del limite. In alternativa, è possibile modificare la configurazione nella policy o nell'ACL di rete per ridurre il numero di regole utilizzate.

Per informazioni sui limiti ACL di rete, consulta le quote Amazon VPC sugli ACL di rete nella Amazon VPC User Guide.

Quando la riparazione fallisce

Durante l'aggiornamento di un ACL di rete, se Firewall Manager deve interrompersi per qualsiasi motivo, non ripristina le modifiche, ma lascia l'ACL di rete in uno stato provvisorio. Se vedi regole duplicate in un ACL di rete con il FMManaged tag impostato sutrue, Firewall Manager è probabilmente in procinto di porvi rimedio. Le modifiche potrebbero essere parzialmente complete per un periodo, ma grazie all'approccio adottato da Firewall Manager per la riparazione, questa non interromperà il traffico né ridurrà la protezione delle sottoreti associate.

Quando Firewall Manager non corregge completamente gli ACL di rete che non sono conformi, segnala la non conformità per le sottoreti associate e suggerisce possibili opzioni di riparazione.

Riprovare dopo che la riparazione non è riuscita

Nella maggior parte dei casi, se Firewall Manager non riesce a completare le modifiche correttive a un ACL di rete, alla fine riproverà a eseguire la modifica.

L'eccezione si verifica quando la riparazione raggiunge il limite di conteggio delle regole ACL di rete o il limite di conteggio ACL della rete VPC. Firewall Manager non è in grado di eseguire attività di riparazione che richiedono AWS risorse oltre i limiti impostati. In questi casi, è necessario ridurre i conteggi o aumentare i limiti per procedere. Per informazioni sui limiti, consulta le quote Amazon VPC sugli ACL di rete nella Amazon VPC User Guide.

Segnalazione della conformità ACL di rete Firewall Manager

Firewall Manager monitora e segnala la conformità per tutti gli ACL di rete collegati alle sottoreti relative all'ambito.

In generale, la non conformità si verifica in situazioni quali un ordine errato delle regole o un conflitto nel comportamento di gestione del traffico tra regole di policy e regole personalizzate. La segnalazione di non conformità include violazioni della conformità e opzioni di riparazione.

Firewall Manager segnala le violazioni della conformità per una politica ACL di rete allo stesso modo degli altri tipi di policy. Per informazioni sulla segnalazione della conformità, vedereVisualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica.

Non conformità durante gli aggiornamenti delle politiche

Dopo aver modificato un criterio ACL di rete, fino a quando Firewall Manager non aggiorna gli ACL di rete che rientrano nell'ambito della politica, Firewall Manager contrassegna tali ACL di rete come non conformi. Firewall Manager esegue questa operazione anche se gli ACL di rete potrebbero, in senso stretto, essere conformi.

Ad esempio, se si rimuovono le regole dalle specifiche delle policy, mentre gli ACL di rete pertinenti contengono ancora regole aggiuntive, le relative definizioni delle regole potrebbero comunque essere conformi alla policy. Tuttavia, poiché le regole aggiuntive fanno parte delle regole gestite da Firewall Manager, Firewall Manager le considera violazioni delle impostazioni dei criteri correnti. Questo è diverso dal modo in cui Firewall Manager visualizza le regole personalizzate aggiunte agli ACL della rete gestita di Firewall Manager.

Procedure consigliate per l'utilizzo delle politiche ACL di rete Firewall Manager

Questa sezione elenca i consigli per l'utilizzo delle politiche ACL di rete e degli ACL di rete gestita di Firewall Manager.

Fai riferimento al FMManaged tag per identificare gli ACL di rete gestiti da Firewall Manager

Il FMManaged tag è impostato su per gli ACL di rete gestiti da true Firewall Manager. Usa questo tag per distinguere gli ACL di rete personalizzati da quelli che gestisci tramite Firewall Manager.

Non modificare il valore del FMManaged tag su un ACL di rete

Firewall Manager utilizza questo tag per impostare e determinare lo stato di gestione con un ACL di rete.

Non modificare le associazioni per le sottoreti che dispongono di ACL di rete gestite da Firewall Manager

Non modificare manualmente le associazioni tra le sottoreti e gli ACL di rete gestiti da Firewall Manager. In questo modo è possibile disabilitare la capacità di Firewall Manager di gestire le protezioni per tali sottoreti. È possibile identificare gli ACL di rete gestiti da Firewall Manager cercando le impostazioni dei FMManaged tag ditrue.

Per rimuovere una sottorete dalla gestione delle policy di Firewall Manager, utilizzare le impostazioni dell'ambito dei criteri di Firewall Manager per escludere la sottorete. Ad esempio, è possibile etichettare la sottorete e quindi escludere tale tag dall'ambito delle politiche. Per ulteriori informazioni, consulta AWS Firewall Manager ambito della politica.

Quando aggiorni un ACL di rete gestita, non modificare le regole gestite da Firewall Manager

In un ACL di rete gestito da Firewall Manager, mantieni le regole personalizzate separate dalle regole dei criteri aderendo allo schema di numerazione descritto in. Regole e tagging degli ACL di rete Firewall Manager Aggiungi o modifica solo regole con numeri compresi tra 5.000 e 32.000.

Evita di aggiungere troppe regole per i limiti del tuo account

Durante la riparazione di un ACL di rete, Firewall Manager di solito aumenta temporaneamente il numero di regole ACL di rete. Per evitare problemi di non conformità, assicurati di avere abbastanza spazio per le regole che stai utilizzando. Per ulteriori informazioni, consulta In che modo Firewall Manager corregge gli ACL di rete gestita non conformi.

Avvio con la correzione automatica disabilitata

Inizia con la riparazione automatica disattivata, quindi esamina le informazioni dettagliate sulla politica per determinare gli effetti che avrebbe la riparazione automatica. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio per abilitare la correzione automatica.

Avvertenze sulla politica ACL di rete Firewall Manager

Questa sezione elenca gli avvertimenti e le limitazioni per l'utilizzo delle politiche ACL di rete di Firewall Manager.

  • Tempi di aggiornamento più lenti rispetto ad altre policy: Firewall Manager generalmente applica le policy ACL di rete e le modifiche alle policy più lentamente rispetto ad altre policy di Firewall Manager, a causa delle limitazioni nella velocità con cui le API ACL di rete Amazon EC2 sono in grado di elaborare le richieste. Potresti notare che le modifiche ai criteri richiedono più tempo rispetto a modifiche simili con altre politiche di Firewall Manager, in particolare quando aggiungi una politica per la prima volta.

  • Per la protezione iniziale delle sottoreti, Firewall Manager preferisce le policy più vecchie: questo vale solo per le sottoreti che non sono ancora protette da una politica ACL di rete Firewall Manager. Se una sottorete rientra nell'ambito di più di una politica ACL di rete contemporaneamente, Firewall Manager utilizza la politica più vecchia per proteggere la sottorete.

  • Motivi per cui una politica smette di proteggere una sottorete: una politica che gestisce l'ACL di rete per una sottorete mantiene la gestione fino a quando non si verifica una delle seguenti condizioni:

    • La sottorete non rientra nell'ambito della policy.

    • La policy viene eliminata.

    • È possibile modificare manualmente l'associazione della sottorete in un ACL di rete gestito da una politica di Firewall Manager diversa e per il quale la sottorete rientra nell'ambito.

Eliminazione di un criterio ACL di rete Firewall Manager

Quando si elimina una politica ACL di rete Firewall Manager, Firewall Manager modifica i valori dei FMManaged tag false in tutti gli ACL di rete che gestisce per la policy.

Inoltre, è possibile scegliere se ripulire le risorse create dalla policy. Se si sceglie la disinfezione, Firewall Manager prova i seguenti passaggi nell'ordine:

  1. Ripristina l'associazione all'originale: Firewall Manager tenta di associare nuovamente la sottorete all'ACL di rete a cui era associata prima che Firewall Manager iniziasse a gestirla.

  2. Rimuovi la prima e l'ultima regola dall'ACL di rete: se non riesce a modificare l'associazione, Firewall Manager tenta di rimuovere la prima e l'ultima regola della politica, lasciando solo le regole personalizzate nell'ACL di rete associato alla sottorete.

  3. Non modificare le regole o l'associazione: se non è in grado di eseguire nessuna delle operazioni precedenti, Firewall Manager lascia l'ACL di rete e la relativa associazione così come sono.

Se non scegli l'opzione di pulizia, dovrai gestire manualmente ogni ACL di rete dopo l'eliminazione della policy. Per la maggior parte delle situazioni, scegliere l'opzione di pulizia è l'approccio più semplice.