AWS Firewall Manager Palo Alto Networks Cloud Next Generation Firewall 정책 설정
AWS Firewall Manager를 사용하여 Palo Alto Networks 클라우드 차세대 방화벽(NGFW) 정책을 활성화하려면 다음 단계를 순서대로 수행하십시오. Palo Alto Networks 클라우드 NGFW 정책에 대한 자세한 설명은 Firewall Manager용 Palo Alto Networks Cloud NGFW 정책 사용을 참조하세요.
주제
1단계: 일반적인 사전 조건 완료
AWS Firewall Manager의 계정을 준비하려면 몇 가지 필수 단계를 거쳐야 합니다. 이 단계는 AWS Firewall Manager 필수 조건에서 설명합니다. 그 다음 단계로 진행하기 전에 사전 조건을 모두 완료하십시오.
2단계: Palo Alto Networks 클라우드 NGFW 정책 사전 조건 완료
Palo Alto Networks 클라우드 NGFW 정책을 사용하려면 몇 가지 추가 필수 단계를 완료해야 합니다. 이 단계는 Palo Alto Networks Cloud Next Generation Firewall 정책 사전 요구 사항에서 설명합니다. 그 다음 단계로 진행하기 전에 사전 조건을 모두 완료하십시오.
3단계: Palo Alto Networks 클라우드 NGFW 정책 생성 및 적용
사전 조건을 완료한 후 AWS Firewall Manager Palo Alto Networks 클라우드 NGFW 정책을 생성합니다.
Palo Alto Networks 클라우드 NGFW의 Firewall Manager 정책에 대한 자세한 설명은 Firewall Manager용 Palo Alto Networks Cloud NGFW 정책 사용을 참조하세요.
Palo Alto Networks Cloud NGFW에 대한 Firewall Manager 정책을 생성하려면(콘솔)
-
Firewall Manager 관리자 계정을 사용하여 AWS Management Console에 로그인한 후 https://console.aws.amazon.com/wafv2/fmsv2
에서 Firewall Manager 콘솔을 엽니다. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요. 참고
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.
-
탐색 창에서 보안 정책을 선택합니다.
-
정책 생성을 선택합니다.
-
정책 유형에서 Palo Alto Networks Cloud NGFW를 선택합니다. AWS Marketplace에서 Palo Alto Networks Cloud NGFW 서비스를 아직 구독하지 않았다면 먼저 구독해야 합니다. AWS Marketplace에서 가입하려면 AWS Marketplace 세부 정보 보기를 선택합니다.
배포 모델의 경우, 분산 모델 또는 중앙 집중식 모델을 선택합니다. 배포 모델은 Firewall Manager가 정책의 엔드포인트를 관리하는 방법을 결정합니다. 분산 모델을 사용하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에서 방화벽 엔드포인트를 유지 관리합니다. 중앙 집중식 모델을 사용하면 Firewall Manager는 검열 VPC에 단일 엔드포인트를 유지합니다.
-
리전에서 AWS 리전을 선택합니다. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.
-
다음을 선택합니다.
-
정책 명칭에 서술적 명칭을 입력하십시오.
-
정책 구성에서 이 정책과 연결할 Palo Alto Networks Cloud NGFW 방화벽 정책을 선택합니다. Palo Alto Networks Cloud NGFW 방화벽 정책 목록에는 Palo Alto Networks Cloud NGFW 테넌트와 관련된 모든 Palo Alto Networks Cloud NGFW 방화벽 정책이 포함되어 있습니다. Palo Alto Networks Cloud NGFW 방화벽 정책의 생성 및 관리에 대한 자세한 내용은 AWS용 Palo Alto Networks Cloud NGFW 배포 가이드의 AWS Firewall Manager 주제와 함께 AWS용 Palo Alto Networks Cloud NGFW 배포
를 참조하세요. -
Palo Alto Networks Cloud NGFW 로깅의 경우, 선택 사항이며, 정책에 대해 로그할 Palo Alto Networks Cloud NGFW 로그 유형을 선택할 수 있습니다. Palo Alto Networks Cloud NGFW 로그 유형에 대한 자세한 내용은 AWS용 Palo Alto Networks Cloud NGFW 배포 가이드의 AWS에서 Palo Alto Networks Cloud NGFW에 대한 로깅 구성
을 참조하세요. 로그 대상의 경우, Firewall Manager에서 로그를 기록해야 하는 시기를 지정합니다.
-
다음을 선택합니다.
-
방화벽 엔드포인트를 생성할 때 분산 배포 모델을 사용하는지 아니면 중앙 집중식 배포 모델을 사용하는지에 따라 제3자 방화벽 엔드포인트 구성에서 다음 중 하나를 수행하십시오.
-
이 정책에 분산 배포 모델을 사용하는 경우, 가용 영역에서 방화벽 엔드포인트를 만들 가용 영역을 선택합니다. 가용 영역 명칭 또는 가용 영역 ID별로 가용 영역을 선택할 수 있습니다.
-
이 정책에 중앙 집중식 배포 모델을 사용하는 경우, 검사 VPC 구성의 AWS Firewall Manager 엔드포인트 구성에서 검사 VPC 소유자의 AWS 계정 ID와 검사 VPC의 VPC ID를 입력합니다.
-
가용 영역에서 방화벽 엔드포인트를 생성할 가용 영역을 선택합니다. 가용 영역 명칭 또는 가용 영역 ID별로 가용 영역을 선택할 수 있습니다.
-
-
-
다음을 선택합니다.
-
정책 범위의 경우 이 정책이 적용되는 AWS 계정에서 다음과 같이 옵션을 선택합니다.
-
정책을 조직의 모든 계정에 적용하려면 기본 선택인 내 AWS 조직의 모든 계정 포함을 그대로 둡니다.
-
특정 계정 또는 특정 AWS Organizations 조직 단위(OU)에 있는 계정에만 정책을 적용하려는 경우, 지정된 계정과 조직 단위만 포함을 선택한 다음 포함할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
-
특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우, 지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
Network Firewall 정책의 리소스 타입은 VPC입니다.
-
-
리소스의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.
태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
-
크로스 계정 액세스 권한 부여에서 AWS CloudFormation 템플릿 다운로드를 선택합니다. 그러면 AWS CloudFormation 스택을 생성하는 데 사용할 수 있는 AWS CloudFormation 템플릿이 다운로드됩니다. 이 스택은 Firewall Manager에 Palo Alto Networks Cloud NGFW 리소스를 관리할 수 있는 계정 간 권한을 부여하는 AWS Identity and Access Management 역할을 생성합니다. 스택에 대한 자세한 설명은 AWS CloudFormation 사용자 가이드의 스택 작업을 참조하세요.
-
다음을 선택합니다.
-
정책 태그에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.
-
다음을 선택합니다.
-
새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책 작업이 Identify resources that don’t comply with the policy rules, but don’t auto remediate(정책 규칙을 준수하지 않는 리소스를 식별하지만 자동으로 문제를 해결하지 않음)으로 설정되어 있는지 확인합니다. 이렇게 하면 정책이 활성화되기 전에 변경 사항을 검토할 수 있습니다.
-
정책이 마음에 들면 정책 생성를 선택합니다.
AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 보류 중이 표시되고 자동 문제 해결 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기 섹션을 참조하세요.
Firewall Manager Palo Alto Networks 클라우드 NGFW 정책에 대한 자세한 설명은 Firewall Manager용 Palo Alto Networks Cloud NGFW 정책 사용을 참조하세요.