Politiche dei gruppi di sicurezza - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Policy di gruppo di sicurezza comuniPolicy di gruppo di sicurezza del controllo dei contenutiPolicy di gruppo di sicurezza controllo dell'utilizzoBest practiceAvvertenze e limitazioni relative alle politiche dei gruppi di sicurezzaCasi d'uso delle policy di gruppo di sicurezza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche dei gruppi di sicurezza

Puoi utilizzare le policy AWS Firewall Manager dei gruppi di sicurezza per gestire i gruppi di sicurezza Amazon Virtual Private Cloud per la tua organizzazione in AWS Organizations. È possibile applicare criteri di gruppo di protezione controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato di account e risorse. È inoltre possibile monitorare e gestire i criteri dei gruppi di protezione in uso nell'organizzazione, con criteri di gruppo di protezione di controllo e utilizzo.

Firewall Manager mantiene continuamente le policy e le applica agli account e alle risorse man mano che vengono aggiunte o aggiornate all'interno dell'organizzazione. Per informazioni in merito AWS Organizations, consulta la Guida AWS Organizations per l'utente.

Per informazioni sui gruppi di sicurezza di Amazon Virtual Private Cloud, consulta Security Groups for Your VPC nella Amazon VPC User Guide.

È possibile utilizzare le politiche dei gruppi di sicurezza di Firewall Manager per eseguire le seguenti operazioni all'interno AWS dell'organizzazione:

  • Applica gruppi di sicurezza comuni agli account e alle risorse specificati.

  • Controlla le regole dei gruppi di sicurezza per individuare e correggere le regole non conformi.

  • Controlla l'utilizzo dei gruppi di sicurezza per ripulire i gruppi di sicurezza inutilizzati e ridondanti.

Questa sezione illustra come funzionano le policy dei gruppi di sicurezza di Firewall Manager e fornisce indicazioni per il loro utilizzo. Per le procedure per creare le politiche dei gruppi di sicurezza, vedereCreazione di una AWS Firewall Manager politica.

Policy di gruppo di sicurezza comuni

Con una politica comune per i gruppi di sicurezza, Firewall Manager fornisce un'associazione controllata centralmente dei gruppi di sicurezza agli account e alle risorse dell'organizzazione. Specificare dove e come applicare le policy nell'organizzazione.

È possibile applicare politiche comuni per i gruppi di sicurezza ai seguenti tipi di risorse:

  • Istanza Amazon Elastic Compute Cloud (Amazon EC2)

  • Interfaccia di rete elastica

  • Application Load Balancer

  • Classic Load Balancer

Per indicazioni sulla creazione di una politica comune per i gruppi di sicurezza tramite la console, consultaCreazione di una policy di gruppo di sicurezza comune.

VPC condivisi

Nelle impostazioni relative all'ambito della policy per una policy di gruppo di sicurezza comune, è possibile scegliere di includere i VPC condivisi. Questa scelta include i VPC di proprietà di un altro account e condivisi con un account rientrante nell’ambito. I VPC che possiedono account rientranti nell’ambito sono sempre inclusi. Per informazioni sui VPC condivisi, consulta Working with shared VPC nella Amazon VPC User Guide.

Le seguenti avvertenze si applicano all'inclusione di VPC condivisi. Queste si aggiungono alle avvertenze generali relative alle politiche dei gruppi di sicurezza riportate all'indirizzo. Avvertenze e limitazioni relative alle politiche dei gruppi di sicurezza

  • Firewall Manager replica il gruppo di sicurezza primario nei VPC per ogni account interessato. Per un VPC condiviso, Firewall Manager replica il gruppo di sicurezza primario una volta per ogni account interno con cui è condiviso il VPC. Ciò può comportare più repliche in un singolo VPC condiviso.

  • Quando crei un nuovo VPC condiviso, non lo vedrai rappresentato nei dettagli delle policy del gruppo di sicurezza Firewall Manager fino a quando non avrai creato almeno una risorsa nel VPC che rientra nell'ambito della policy.

  • Quando si disabilitano i VPC condivisi in una policy che aveva abilitato i VPC condivisi, nei VPC condivisi, Firewall Manager elimina i gruppi di sicurezza di replica che non sono associati ad alcuna risorsa. Firewall Manager lascia attivi i restanti gruppi di sicurezza delle repliche, ma smette di gestirli. La rimozione di questi gruppi di sicurezza rimanenti richiede la gestione manuale in ogni istanza VPC condivisa.

Gruppi di sicurezza primari

Per ogni politica di gruppo di sicurezza comune, vengono forniti AWS Firewall Manager uno o più gruppi di sicurezza primari:

  • I gruppi di sicurezza primari devono essere creati dall'account amministratore di Firewall Manager e possono risiedere in qualsiasi istanza Amazon VPC dell'account.

  • Gestisci i tuoi gruppi di sicurezza principali tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2). Per informazioni, consulta Working with Security Groups nella Amazon VPC User Guide.

  • È possibile nominare uno o più gruppi di sicurezza come primari per una politica di gruppo di sicurezza di Firewall Manager. Per impostazione predefinita, il numero di gruppi di sicurezza consentiti in una policy è uno, ma è possibile inviare una richiesta per aumentarlo. Per informazioni, consulta AWS Firewall Manager quote.

Impostazioni delle regole dei criteri

È possibile scegliere uno o più dei seguenti comportamenti di controllo delle modifiche per i gruppi di sicurezza e le risorse della politica comune dei gruppi di sicurezza:

  • Identifica e segnala eventuali modifiche apportate dagli utenti locali alla replica dei gruppi di sicurezza.

  • Dissocia gli altri gruppi di sicurezza dalle AWS risorse che rientrano nell'ambito della policy.

  • Distribuisci i tag dal gruppo primario ai gruppi di sicurezza di replica.

    Importante

    Firewall Manager non distribuirà i tag di sistema aggiunti dai AWS servizi nei gruppi di sicurezza delle repliche. I tag di sistema iniziano con il prefisso aws:. Inoltre, Firewall Manager non aggiornerà i tag dei gruppi di sicurezza esistenti né creerà nuovi gruppi di sicurezza se la policy contiene tag che sono in conflitto con la politica dei tag dell'organizzazione. Per informazioni sulle politiche relative ai tag, consulta le politiche relative ai tag nella Guida AWS Organizations per l'utente.

  • Distribuisci i riferimenti ai gruppi di sicurezza dal gruppo primario ai gruppi di sicurezza di replica.

    Ciò consente di stabilire facilmente regole di riferimento comuni ai gruppi di sicurezza su tutte le risorse pertinenti alle istanze associate al VPC del gruppo di sicurezza specificato. Quando abiliti questa opzione, Firewall Manager propaga i riferimenti ai gruppi di sicurezza solo se i gruppi di sicurezza fanno riferimento a gruppi di sicurezza peer in Amazon Virtual Private Cloud. Se i gruppi di sicurezza di replica non fanno correttamente riferimento al gruppo di sicurezza peer, Firewall Manager contrassegna questi gruppi di sicurezza replicati come non conformi. Per informazioni su come fare riferimento ai gruppi di sicurezza peer in Amazon VPC, consulta Aggiorna i tuoi gruppi di sicurezza per fare riferimento ai gruppi di sicurezza peer nella Amazon VPC Peering Guide.

    Se non si abilita questa opzione, Firewall Manager non propaga i riferimenti ai gruppi di sicurezza di replica ai gruppi di sicurezza di replica. Per informazioni sul peering VPC in Amazon VPC, consulta la Amazon VPC Peering Guide.

Creazione e gestione delle politiche

Quando crei una policy comune per i gruppi di sicurezza, Firewall Manager replica i gruppi di sicurezza primari su ogni istanza Amazon VPC nell'ambito della policy e associa i gruppi di sicurezza replicati agli account e alle risorse che rientrano nell'ambito della policy. Quando si modifica un gruppo di sicurezza primario, Firewall Manager propaga la modifica alle repliche.

Quando si elimina un criterio di gruppo di protezione comune, è possibile scegliere se pulire le risorse create dal criterio. Per i gruppi di sicurezza comuni di Firewall Manager, queste risorse sono i gruppi di sicurezza delle repliche. Scegliere l'opzione di pulitura a meno che non si desideri gestire manualmente ogni singola replica dopo l'eliminazione del criterio. Per la maggior parte delle situazioni, scegliere l'opzione di pulizia è l'approccio più semplice.

Come vengono gestite le repliche

I gruppi di sicurezza di replica nelle istanze Amazon VPC sono gestiti come gli altri gruppi di sicurezza Amazon VPC. Per informazioni, consulta Security Groups for Your VPC nella Amazon VPC User Guide.

Policy di gruppo di sicurezza del controllo dei contenuti

Utilizzate le policy dei gruppi di sicurezza per il controllo dei AWS Firewall Manager contenuti per controllare e applicare azioni politiche alle regole in uso nei gruppi di sicurezza dell'organizzazione. Le politiche dei gruppi di sicurezza per il controllo dei contenuti si applicano a tutti i gruppi di sicurezza creati dai clienti e utilizzati nell' AWS organizzazione, in base all'ambito definito nella politica.

Per indicazioni sulla creazione di una policy di gruppo di sicurezza per il controllo dei contenuti tramite la console, consulta. Creazione di una policy di gruppo di sicurezza di controllo del contenuto

Tipo di risorsa ambito criteri

È possibile applicare le policy di gruppo di Content Audit Security ai seguenti tipi di risorse:

  • Istanza Amazon Elastic Compute Cloud (Amazon EC2)

  • Interfaccia di rete elastica

  • Gruppo di sicurezza Amazon VPC

I gruppi di protezione vengono considerati nell'ambito del criterio se sono esplicitamente nell'ambito o se sono associati a risorse nell'ambito.

Opzioni relative alle regole politiche

È possibile utilizzare regole di policy gestite o regole di policy personalizzate per ogni policy di controllo dei contenuti, ma non entrambe.

  • Regole di policy gestite: in una policy con regole gestite, è possibile utilizzare elenchi di applicazioni e protocolli per controllare le regole che Firewall Manager controlla e contrassegna come conformi o non conformi. È possibile utilizzare elenchi gestiti da Firewall Manager. È inoltre possibile creare e utilizzare elenchi di applicazioni e protocolli personalizzati. Per informazioni su questi tipi di elenchi e sulle opzioni di gestione degli elenchi personalizzati, vedereElenchi gestiti.

  • Regole di policy personalizzate: in una policy con regole di policy personalizzate, si specifica un gruppo di sicurezza esistente come gruppo di sicurezza di controllo per la policy. È possibile utilizzare le regole del gruppo di sicurezza di controllo come modello che definisce le regole che Firewall Manager controlla e contrassegna come conformi o non conformi.

Controlla i gruppi di sicurezza

È necessario creare gruppi di sicurezza di controllo utilizzando l'account amministratore di Firewall Manager, prima di poterli utilizzare nella politica. Puoi gestire i gruppi di sicurezza tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2). Per informazioni, consulta Working with Security Groups nella Amazon VPC User Guide.

Un gruppo di sicurezza utilizzato per una politica di gruppo di sicurezza di controllo dei contenuti viene utilizzato da Firewall Manager solo come riferimento di confronto per i gruppi di sicurezza che rientrano nell'ambito della politica. Firewall Manager non lo associa ad alcuna risorsa dell'organizzazione.

Il modo in cui si definiscono le regole nel gruppo di sicurezza di controllo dipende dalle scelte effettuate nelle impostazioni delle regole dei criteri:

  • Regole dei criteri gestiti: per le impostazioni delle regole dei criteri gestiti, si utilizza un gruppo di sicurezza di controllo per sovrascrivere le altre impostazioni della politica, per consentire o negare esplicitamente regole che altrimenti potrebbero avere un altro risultato di conformità.

    • Se si sceglie di consentire sempre le regole definite nel gruppo di sicurezza di controllo, qualsiasi regola che corrisponde a quella definita nel gruppo di sicurezza di controllo viene considerata conforme alla politica, indipendentemente dalle altre impostazioni della politica.

    • Se si sceglie di negare sempre le regole definite nel gruppo di sicurezza di controllo, qualsiasi regola che corrisponde a quella definita nel gruppo di sicurezza di controllo viene considerata non conforme alla politica, indipendentemente dalle altre impostazioni della politica.

  • Regole dei criteri personalizzate: per le impostazioni delle regole dei criteri personalizzate, il gruppo di sicurezza di controllo fornisce l'esempio di ciò che è accettabile o non accettabile nelle regole del gruppo di sicurezza pertinenti:

    • Se si sceglie di consentire l'uso delle regole, tutti i gruppi di sicurezza interessati devono disporre solo di regole che rientrano nell'intervallo consentito delle regole del gruppo di sicurezza di controllo della policy. In questo caso, le regole del gruppo di sicurezza della policy forniscono l'esempio di cosa è accettabile fare.

    • Se scegli di negare l'uso delle regole, tutti i gruppi di sicurezza interessati devono avere solo regole che non rientrano nell'intervallo consentito delle regole del gruppo di sicurezza di controllo della policy. In questo caso, il gruppo di sicurezza della policy fornisce l'esempio di cosa non è accettabile fare.

Creazione e gestione delle politiche

Quando si crea un criterio di gruppo di sicurezza di controllo, è necessario disattivare la correzione automatica. La prassi consigliata consiste nell'esaminare gli effetti della creazione dei criteri prima di abilitare la correzione automatica. Dopo aver esaminato gli effetti previsti, è possibile modificare il criterio e abilitare la correzione automatica. Quando la riparazione automatica è abilitata, Firewall Manager aggiorna o rimuove le regole non conformi nei gruppi di sicurezza pertinenti.

Gruppi di protezione interessati da un criterio di gruppo di sicurezza di controllo

Tutti i gruppi di sicurezza dell'organizzazione creati dal cliente sono idonei all'ambito di un criterio di gruppo di sicurezza di controllo.

I gruppi di protezione della replica non vengono creati dal cliente e pertanto non sono idonei a rientrare direttamente nell'ambito di un criterio di gruppo di sicurezza di controllo. Tuttavia, possono essere aggiornati a seguito delle attività di correzione automatica dei criteri. Il gruppo di protezione principale di un criterio di gruppo di protezione comune è creato dal cliente e può rientrare nell'ambito di un criterio di gruppo di sicurezza di controllo. Se una politica di controllo del gruppo di sicurezza apporta modifiche a un gruppo di sicurezza primario, Firewall Manager propaga automaticamente tali modifiche alle repliche.

Policy di gruppo di sicurezza controllo dell'utilizzo

Utilizza le policy dei gruppi di sicurezza di controllo dell' AWS Firewall Manager utilizzo per monitorare l'organizzazione alla ricerca di gruppi di sicurezza inutilizzati e ridondanti e, facoltativamente, eseguire la pulizia. Quando si abilita la riparazione automatica per questa politica, Firewall Manager esegue le seguenti operazioni:

  1. Consolida i gruppi di sicurezza ridondanti, se è stata scelta questa opzione.

  2. Rimuove i gruppi di sicurezza inutilizzati, se è stata scelta questa opzione.

È possibile applicare le policy dei gruppi di sicurezza per il controllo dell'utilizzo ai seguenti tipi di risorse:

  • Gruppo di sicurezza Amazon VPC

Per indicazioni sulla creazione di una politica di gruppo di sicurezza per il controllo dell'utilizzo utilizzando la console, consultaCreazione di una policy di gruppo di sicurezza di controllo dell'utilizzo.

In che modo Firewall Manager rileva e corregge i gruppi di sicurezza ridondanti

Affinché i gruppi di sicurezza siano considerati ridondanti, devono avere esattamente lo stesso set di regole e trovarsi nella stessa istanza Amazon VPC.

Per correggere un set di gruppi di sicurezza ridondanti, Firewall Manager seleziona uno dei gruppi di sicurezza del set da conservare, quindi lo associa a tutte le risorse associate agli altri gruppi di sicurezza del set. Firewall Manager dissocia quindi gli altri gruppi di sicurezza dalle risorse a cui erano associati, rendendoli inutilizzati.

Nota

Se hai scelto di rimuovere anche i gruppi di sicurezza non utilizzati, Firewall Manager esegue questa operazione. Ciò può comportare la rimozione dei gruppi di sicurezza presenti nel set ridondante.

In che modo Firewall Manager rileva e corregge i gruppi di sicurezza inutilizzati

Firewall Manager considera un gruppo di sicurezza inutilizzato se entrambe le seguenti condizioni sono vere:

  • Il gruppo di sicurezza non viene utilizzato da nessuna istanza di Amazon EC2 o da un'interfaccia di rete elastica di Amazon EC2.

  • Firewall Manager non ha ricevuto un elemento di configurazione relativo entro il numero di minuti specificato nel periodo di tempo della regola dei criteri.

Il periodo di tempo della regola di policy ha un'impostazione predefinita di zero minuti, ma è possibile aumentare il tempo fino a 365 giorni (525.600 minuti), per avere il tempo di associare nuovi gruppi di sicurezza alle risorse.

Importante

Se si specifica un numero di minuti diverso dal valore predefinito zero, è necessario abilitare le relazioni indirette in. AWS Config In caso contrario, le politiche del gruppo di sicurezza per il controllo dell'utilizzo non funzioneranno come previsto. Per informazioni sulle relazioni indirette in AWS Config, vedere Relazioni indirette AWS Config nella Guida per gli AWS Config sviluppatori.

Firewall Manager corregge i gruppi di sicurezza inutilizzati eliminandoli dall'account in base alle impostazioni delle regole, se possibile. Se Firewall Manager non è in grado di eliminare un gruppo di sicurezza, lo contrassegna come non conforme alla policy. Firewall Manager non può eliminare un gruppo di sicurezza a cui fa riferimento un altro gruppo di sicurezza.

La tempistica della riparazione varia a seconda che si utilizzi l'impostazione del periodo di tempo predefinita o un'impostazione personalizzata:

  • Periodo di tempo impostato su zero, l'impostazione predefinita: con questa impostazione, un gruppo di sicurezza viene considerato inutilizzato non appena non viene utilizzato da un'istanza Amazon EC2 o da un'interfaccia di rete elastica.

    Per questa impostazione del periodo di tempo zero, Firewall Manager corregge immediatamente il gruppo di sicurezza.

  • Periodo di tempo maggiore di zero: con questa impostazione, un gruppo di sicurezza viene considerato inutilizzato quando non viene utilizzato da un'istanza Amazon EC2 o da un'interfaccia di rete elastica e Firewall Manager non ha ricevuto un elemento di configurazione per esso entro il numero di minuti specificato.

    Per l'impostazione del periodo di tempo diverso da zero, Firewall Manager corregge il gruppo di sicurezza dopo che è rimasto nello stato inutilizzato per 24 ore.

Specificazioni account predefinite

Quando si crea una policy di gruppo di sicurezza per il controllo dell'utilizzo tramite la console, Firewall Manager sceglie automaticamente Escludi gli account specificati e includi tutti gli altri. Il servizio inserisce quindi l'account amministratore di Firewall Manager nell'elenco da escludere. Questo è l'approccio consigliato e consente di gestire manualmente i gruppi di sicurezza che appartengono all'account amministratore di Firewall Manager.

Procedure consigliate per policy di gruppo di sicurezza

In questa sezione sono elencati i suggerimenti per la gestione dei gruppi di sicurezza mediante AWS Firewall Manager:

Escludere l'account amministratore di Firewall Manager

Quando si imposta l'ambito della politica, si esclude l'account amministratore di Firewall Manager. Quando si crea un criterio di gruppo di protezione controllo dell'utilizzo tramite la console, questa è l'opzione predefinita.

Avvio con la correzione automatica disabilitata

Per i criteri del gruppo di protezione del controllo del contenuto o dell'utilizzo, iniziare con la correzione automatica disabilitata. Esaminare le informazioni dettagliate sui criteri per determinare gli effetti che la correzione automatica avrebbe avuto. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio per abilitare la correzione automatica.

Evitare conflitti se si utilizzano anche origini esterne per gestire i gruppi di sicurezza

Se si utilizza uno strumento o un servizio diverso da Firewall Manager per gestire i gruppi di sicurezza, fare attenzione a evitare conflitti tra le impostazioni in Firewall Manager e le impostazioni nella fonte esterna. Se si utilizzano la correzione automatica e il conflitto di impostazioni, è possibile creare un ciclo di correzione in conflitto che consuma risorse su entrambi i lati.

Ad esempio, supponiamo di configurare un altro servizio per gestire un gruppo di sicurezza per un set di AWS risorse e di configurare una politica di Firewall Manager per mantenere un gruppo di sicurezza diverso per alcune o tutte le stesse risorse. Se si configura uno dei due lati per non consentire l'associazione di altri gruppi di sicurezza alle risorse nell'ambito, tale lato rimuoverà l'associazione dei gruppi di sicurezza mantenuta dall'altro lato. Se entrambi i lati sono configurati in questo modo, si può finire con un ciclo di disassociazioni e associazioni in conflitto.

Inoltre, supponiamo di creare una politica di controllo di Firewall Manager per applicare una configurazione del gruppo di sicurezza che sia in conflitto con la configurazione del gruppo di sicurezza dell'altro servizio. La correzione applicata dalla politica di controllo di Firewall Manager può aggiornare o eliminare quel gruppo di sicurezza, rendendolo non conforme per l'altro servizio. Se l'altro servizio è configurato per monitorare e risolvere automaticamente eventuali problemi rilevati, ricreerà o aggiornerà il gruppo di sicurezza, rendendolo nuovamente non conforme alla politica di controllo di Firewall Manager. Se la politica di controllo di Firewall Manager è configurata con la riparazione automatica, aggiornerà o eliminerà nuovamente il gruppo di sicurezza esterno e così via.

Per evitare conflitti come questi, create configurazioni che si escludano a vicenda, tra Firewall Manager e qualsiasi fonte esterna.

È possibile utilizzare i tag per escludere i gruppi di sicurezza esterni dalla riparazione automatica mediante le politiche di Firewall Manager. A tale scopo, aggiungere uno o più tag ai gruppi di sicurezza o ad altre risorse gestite dall'origine esterna. Quindi, quando definisci l'ambito della policy di Firewall Manager, nelle specifiche delle risorse, escludi le risorse che hanno il tag o i tag che hai aggiunto.

Analogamente, nello strumento o servizio esterno, escludi i gruppi di sicurezza gestiti da Firewall Manager da qualsiasi attività di gestione o controllo. Non importate le risorse di Firewall Manager o utilizzate i tag specifici di Firewall Manager per escluderle dalla gestione esterna.

Le migliori pratiche per l'utilizzo, il controllo delle politiche di sicurezza dei gruppi.

Segui queste linee guida quando utilizzi le politiche dei gruppi di sicurezza per il controllo dell'utilizzo.

  • Evita di apportare più modifiche allo stato di associazione di un gruppo di sicurezza in un breve lasso di tempo, ad esempio entro una finestra di 15 minuti. In questo modo, Firewall Manager potrebbe perdere alcuni o tutti gli eventi corrispondenti. Ad esempio, non associare e dissociare rapidamente un gruppo di sicurezza da un'interfaccia di rete elastica.

Avvertenze e limitazioni relative alla politica dei gruppi di sicurezza

Questa sezione elenca le avvertenze e le limitazioni per l'utilizzo delle politiche dei gruppi di sicurezza di Firewall Manager:

  • L'aggiornamento dei gruppi di sicurezza per le interfacce di rete elastiche di Amazon EC2 create utilizzando il tipo di servizio Fargate non è supportato. Tuttavia, puoi aggiornare i gruppi di sicurezza per le interfacce di rete elastiche di Amazon ECS con il tipo di servizio Amazon EC2.

  • Firewall Manager non supporta i gruppi di sicurezza per le interfacce di rete elastiche di Amazon EC2 create da Amazon Relational Database Service.

  • L'aggiornamento delle interfacce di rete elastiche di Amazon ECS è possibile solo per i servizi Amazon ECS che utilizzano il controller di distribuzione Rolling Update (Amazon ECS). Per altri controller di distribuzione Amazon ECS come CODE_DEPLOY o controller esterni, Firewall Manager attualmente non è in grado di aggiornare le interfacce di rete elastiche.

  • Con i gruppi di sicurezza per le interfacce di rete elastiche di Amazon EC2, le modifiche a un gruppo di sicurezza non sono immediatamente visibili a Firewall Manager. Firewall Manager di solito rileva le modifiche entro diverse ore, ma il rilevamento può essere ritardato fino a sei ore.

  • Firewall Manager non supporta l'aggiornamento dei gruppi di sicurezza nelle interfacce di rete elastiche per Network Load Balancer.

  • Nelle politiche comuni dei gruppi di sicurezza, se un VPC condiviso viene successivamente annullato con un account, Firewall Manager non eliminerà i gruppi di sicurezza di replica presenti nell'account.

  • Con le policy dei gruppi di sicurezza di usage audit, se si creano più politiche con un'impostazione personalizzata del tempo di ritardo che hanno tutte lo stesso ambito, la prima politica con i risultati di conformità sarà la politica che riporta i risultati.

Casi d'uso delle policy di gruppo di sicurezza

Puoi utilizzare politiche AWS Firewall Manager comuni dei gruppi di sicurezza per automatizzare la configurazione del firewall host per la comunicazione tra istanze Amazon VPC. Questa sezione elenca le architetture standard di Amazon VPC e descrive come proteggerle utilizzando le politiche comuni dei gruppi di sicurezza di Firewall Manager. Queste policy dei gruppi di sicurezza possono aiutarti ad applicare un set unificato di regole per selezionare le risorse in diversi account ed evitare configurazioni per account in Amazon Elastic Compute Cloud e Amazon VPC.

Con le politiche comuni dei gruppi di sicurezza di Firewall Manager, puoi etichettare solo le interfacce di rete elastiche EC2 necessarie per la comunicazione con le istanze in un altro Amazon VPC. Le altre istanze nello stesso Amazon VPC sono quindi più sicure e isolate.

Caso d'uso: monitoraggio e controllo delle richieste agli Application Load Balancer e ai Classic Load Balancer

È possibile utilizzare una politica di gruppo di sicurezza comune di Firewall Manager per definire le richieste che i sistemi di bilanciamento del carico interessati devono soddisfare. È possibile configurarlo tramite la console Firewall Manager. Solo le richieste conformi alle regole in entrata del gruppo di sicurezza possono raggiungere i sistemi di bilanciamento del carico, che distribuiranno solo le richieste che soddisfano le regole in uscita.

Caso d'uso: Amazon VPC pubblico e accessibile da Internet

Puoi utilizzare una policy di gruppo di sicurezza comune di Firewall Manager per proteggere un Amazon VPC pubblico, ad esempio per consentire solo la porta in entrata 443. Ciò equivale a consentire solo il traffico HTTPS in ingresso per un VPC pubblico. È possibile etichettare le risorse pubbliche all'interno del VPC (ad esempio, come «PublicVPC») e quindi impostare l'ambito della policy di Firewall Manager solo sulle risorse con quel tag. Firewall Manager applica automaticamente la policy a tali risorse.

Caso d'uso: istanze Amazon VPC pubbliche e private

Puoi utilizzare la stessa politica comune dei gruppi di sicurezza per le risorse pubbliche consigliata nel caso d'uso precedente per le istanze Amazon VPC pubbliche e accessibili da Internet. È possibile utilizzare un secondo criterio comune di gruppo di protezione per limitare la comunicazione tra le risorse pubbliche e quelle private. Etichetta le risorse nelle istanze Amazon VPC pubbliche e private con qualcosa come "PublicPrivate" per applicare loro la seconda policy. Puoi utilizzare una terza policy per definire la comunicazione consentita tra le risorse private e altre istanze Amazon VPC aziendali o private. Per questo criterio, è possibile utilizzare un altro tag identificativo sulle risorse private.

Caso d'uso: istanze Amazon VPC Hub and spoke

Puoi utilizzare una policy di gruppo di sicurezza comune per definire le comunicazioni tra l'istanza Amazon VPC hub e le istanze Amazon VPC spoke. Puoi utilizzare una seconda policy per definire la comunicazione da ogni istanza Amazon VPC spoke all'istanza Amazon VPC hub.

Caso d'uso: interfaccia di rete predefinita per le istanze Amazon EC2

È possibile utilizzare un criterio di gruppo di protezione comune per consentire solo le comunicazioni standard, ad esempio i servizi di aggiornamento SSH e Patch/OS interni, e per non consentire altre comunicazioni non sicure.

Caso d'uso: identifica le risorse con autorizzazioni aperte

È possibile utilizzare un criterio di gruppo di sicurezza di controllo per identificare tutte le risorse all'interno dell'organizzazione che dispongono dell'autorizzazione per comunicare con gli indirizzi IP pubblici o con indirizzi IP appartenenti a fornitori di terze parti.