Criação de uma AWS Firewall Manager política - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Crie uma política para AWS WAFCrie uma política para o AWS WAF ClassicCrie uma política para o Shield AdvancedCriar uma política de grupo de segurança comumCriar uma política de grupo de segurança de auditoria de conteúdoCriar uma política de grupo de segurança de auditoria de usoCriando uma política de ACL de redeCrie uma política para o Network FirewallCriar uma política para Firewall DNSCrie uma política para NGFW na nuvem da Palo Alto NetworksCriar uma política para Fortigate CNF

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de uma AWS Firewall Manager política

As etapas para criar uma política variam entre os diferentes tipos de política. Use o procedimento para o tipo de política de que você precisa.

Importante

AWS Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as instruções em Adicionando AWS Shield Advanced proteção aos AWS recursos.

Criação de uma AWS Firewall Manager política para AWS WAF

Em uma AWS WAF política do Firewall Manager, você pode usar grupos de regras gerenciados, que AWS AWS Marketplace os vendedores criam e mantêm para você. Também é possível criar e usar os próprios grupos de regras. Para obter mais informações sobre grupos de regras, consulte AWS WAF grupos de regras.

Se quiser usar seus próprios grupos de regras, crie-os antes da política do Firewall Manager do AWS WAF . Para obter orientações, consulte Gerenciar seus próprios grupos de regras. Para usar uma regra personalizada individual, é necessário definir seu próprio grupo de regras, definir a regra nele e, depois, usar o grupo de regras na política.

Para obter informações sobre AWS WAF as políticas do Firewall Manager, consulteAWS WAF políticas.

Para criar uma política do Firewall Manager para AWS WAF (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha AWS WAF.

  5. Para Região, escolha um Região da AWS. Para proteger as CloudFront distribuições da Amazon, escolha Global.

    Para proteger recursos em várias regiões (exceto CloudFront distribuições), você deve criar políticas separadas do Firewall Manager para cada região.

  6. Escolha Próximo.

  7. Em Nome da política, insira um nome descritivo. O Firewall Manager inclui o nome da política nos nomes das web ACLs que ele gerencia. Os nomes da web ACL têm FMManagedWebACLV2- seguido do nome da política que você insere aqui, -‬, e do timestamp da criação da web ACL, em milissegundos UTC. Por exemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

  8. Para a inspeção do corpo da solicitação da web, altere opcionalmente o limite de tamanho do corpo. Para obter informações sobre os limites de tamanho da inspeção do corpo, incluindo considerações de preços, consulte Gerenciando os limites de tamanho da inspeção corporal no Guia do desenvolvedor de AWS WAF .

  9. Em Regras de política, adicione os grupos de regras que você AWS WAF deseja avaliar primeiro e por último na ACL da web. Para usar o controle de versão de grupos de regras AWS WAF gerenciados, ative a opção Ativar controle de versão. Os gerentes de contas individuais podem adicionar regras e grupos de regras entre os primeiros e os últimos grupos de regras. Para obter mais informações sobre o uso de grupos de AWS WAF regras nas políticas do Firewall Manager para AWS WAF, consulteAWS WAF políticas.

    (Opcional) Para personalizar como sua web ACL usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

    • Para grupos de regras gerenciadas, substitua as ações de regra para algumas ou todas as regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte Opções de substituição de ação para grupos de regras no Guia do desenvolvedor AWS WAF .

    • Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulte AWS Regras gerenciadas para AWS WAF o Guia do AWS WAF desenvolvedor.

    Ao concluir suas configurações, escolha Salvar regra.

  10. Defina a ação padrão para a web ACL. Essa é a ação que o AWS WAF executa quando uma solicitação da web não corresponde a nenhuma das regras na ACL da web. Você pode adicionar cabeçalhos personalizados com a ação Permitir ou respostas personalizadas para a ação Bloquear. Para obter mais informações sobre ações padrão de ACL da web, consulte A ação padrão da web ACL. Para obter informações sobre como configurar solicitações e respostas personalizadas da web, consulte Solicitações e respostas personalizadas da web no AWS WAF.

  11. Em Configuração de registro em log, escolha Ativar registro em log para ativar o registro em log. O registro em log fornece informações detalhadas sobre o tráfego que é analisado pela sua web ACL. Escolha o Destino de registro em log e, em seguida, escolha o destino de registro em log que você configurou. Você deve escolher um destino de registro em log cujo nome comece com aws-waf-logs-. Para obter informações sobre como configurar um destino de AWS WAF registro, consulteConfigurando o registro em log para uma política AWS WAF.

  12. (Opcional) Se você não deseja que determinados campos e seus valores sejam incluídos nos logs, edite esses campos. Selecione o campo para editar e, em seguida, selecione Adicionar. Repita conforme necessário para editar campos adicionais. Os campos editados são exibidos como REDACTED nos logs. Por exemplo, se você editar o campo URI, o campo URI nos logs será REDACTED.

  13. (Opcional) Se você não quiser enviar todas as solicitações para os logs, adicione seus critérios e comportamento de filtragem. Em Filtrar logs, para cada filtro que você deseja aplicar, escolha Adicionar filtro, escolha seus critérios de filtragem e especifique se deseja manter ou eliminar solicitações que correspondam aos critérios. Ao terminar de adicionar filtros, se necessário, modifique o Comportamento de registro de logs padrão. Para obter mais informações, consulte Configuração de registro do Web ACL no AWS WAF Guia do desenvolvedor.

  14. Você pode definir uma Lista de domínios de tokens para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas Challenge ações CAPTCHA e pelos SDKs de integração de aplicativos que você implementa ao usar os grupos de regras AWS gerenciadas para controle de AWS WAF fraudes, prevenção de aquisição de contas (ATP) e AWS WAF controle de bots.

    Não são permitidos sufixos públicos. Por exemplo, você não pode usar gov.au ou co.uk como um domínio de token.

    Por padrão, AWS WAF aceita tokens somente para o domínio do recurso protegido. Se você adicionar domínios de token nessa lista, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para obter mais informações, consulte AWS WAF configuração da lista de domínios do token Web ACL no AWS WAF Guia do desenvolvedor.

    Você só pode alterar o CAPTCHA da web ACL e desafiar os tempos de imunidade ao editar uma web ACL existente. Você pode encontrar essas configurações na página Detalhes da Política do Firewall Manager. Para obter informações sobre essas configurações, consulte Expiração do timestamp: tempos de imunidade AWS WAF do token. Se você atualizar as definições da Configuração de associação, CAPTCHA, Desafio ou Lista de domínios de Token em uma política existente, o Firewall Manager substituirá as web ACLs locais pelos novos valores. No entanto, se você não atualizar as definições de Configurações de associação, CAPTCHA, Desafio ou Lista de domínios de token da política, os valores em suas web ACLs locais permanecerão inalterados. Para obter mais informações sobre esta opção, consulte CAPTCHAe Challenge em AWS WAF no Guia do desenvolvedor AWS WAF .

  15. Em Gerenciamento de web ACL, se você quiser que o Firewall Manager gerencie web ACLs não associadas, habilite Gerenciar web ACLs não associadas. Com essa opção, o Firewall Manager cria web ACLs nas contas dentro do escopo da política somente se as web ACLs forem usadas por pelo menos um recurso. Se, a qualquer momento, uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma web ACL na conta se pelo menos um recurso usar a web ACL. Após a ativação dessa opção, o Firewall Manager executa uma limpeza única das web ACLs não associadas em sua conta. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política depois que o Firewall Manager criar uma web ACL, o Firewall Manager desassociará o recurso da web ACL, mas não limpará a web ACL não associada. O Firewall Manager só limpa web ACLs não associadas quando você habilita antes o gerenciamento de web ACLs não associadas em uma política.

  16. Em Ação da política, se quiser criar uma web ACL em cada conta aplicável na organização, mas ainda não aplicar a web ACL a nenhum recurso, escolha Identificar recursos que não estejam em conformidade com as regras de política, mas não corrigir automaticamente e não escolha Gerenciar web ACLs não associadas. É possível alterar essas opções mais tarde.

    Se, em vez disso, quiser aplicar automaticamente a política aos recursos existentes no escopo, escolha Auto remediate any noncompliant resources (Corrigir automaticamente quaisquer recursos não compatíveis). Se a opção Gerenciar web ACLs não associadas estiver desativada, a opção Remediar automaticamente qualquer recurso não compatível cria uma web ACL em cada conta aplicável na organização e associa a web ACL aos recursos nas contas. Se a opção Gerenciar web ACLs não associadas estiver ativada, a opção de correção automática de qualquer recurso não compatível somente criará e associará uma web ACL em contas que tenham recursos elegíveis para associação à web ACL.

    Ao selecionar Corrigir automaticamente qualquer recurso não compatível, você também pode optar por remover associações de web ACL existentes de recursos dentro do escopo, para as web ACLs que não são gerenciadas por outra política ativa do Firewall Manager. Se você escolher essa opção, o Firewall Manager associará primeiro a web ACL da política aos recursos e, depois, removerá as associações anteriores. Se um recurso tiver uma associação com outra web ACL gerenciada por uma política ativa diferente do Firewall Manager, essa escolha não afetará essa associação.

  17. Escolha Próximo.

  18. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Para aplicar a política a todas as contas, com exceção de um conjunto específico de contas ou unidades organizacionais (OUs) do AWS Organizations , escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  19. Em Tipo de recurso, escolha os tipos de recurso que você deseja proteger.

  20. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  21. Escolha Próximo.

  22. Para tags de política, adicione todas as tags de identificação que você deseja adicionar ao recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  23. Escolha Próximo.

  24. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Provavelmente, indicará Pendente nos títulos das contas e indicará o status da configuração de remediação automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Criação de uma AWS Firewall Manager política para o AWS WAF Classic

Para criar uma política do Firewall Manager para AWS WAF Classic (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha AWS WAF Classic.

  5. Se você já criou o grupo de regras AWS WAF clássico que deseja adicionar à política, escolha Criar uma AWS Firewall Manager política e adicionar grupos de regras existentes. Se você deseja criar um novo grupo de regras, escolha Criar uma política do Firewall Manager e adicione um novo grupo de regras.

  6. Para Região, escolha um Região da AWS. Para proteger os CloudFront recursos da Amazon, escolha Global.

    Para proteger recursos em várias regiões (exceto CloudFront recursos), você deve criar políticas separadas do Firewall Manager para cada região.

  7. Escolha Próximo.

  8. Se você estiver criando um grupo de regras, siga as instruções em Criação de um grupo de regras AWS WAF clássico. Depois de criar o grupo de regras, continue com as etapas a seguir.

  9. Insira um nome de política.

  10. Se você estiver adicionando um grupo de regras existente, use o menu suspenso para selecionar um grupo de regras para adicionar e escolha Add rule group (Adicionar grupo de regras).

  11. Uma política executa duas ações possíveis: Action set by rule group (Ação definida pelo grupo de regras) e Count (Contar). Se você quiser testar a política e o grupo de regras, defina a ação como Count (Contar). Essa ação substitui qualquer ação de bloqueio especificada pelas regras no grupo. Em outras palavras, se a ação da política for definida como Count (Contar), as solicitações serão apenas contadas, e não bloqueadas. Por outro lado, se você definir a ação da política como Action set by rule group (Ação definida pelo grupo de regras), as ações do grupo de regras serão usadas. Escolha a ação apropriada.

  12. Escolha Próximo.

  13. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  14. Escolha o tipo de recurso que você deseja proteger.

  15. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  16. Se você deseja aplicar automaticamente a política aos recursos existentes, escolha Create and apply this policy to existing and new resources (Criar e aplicar esta política a recursos novos e existentes).

    Essa opção cria uma web ACL em cada conta aplicável de uma organização da AWS e associa a web ACL aos recursos nas contas. Essa opção também aplica a política a todos os recursos novos que correspondam aos critérios mencionados anteriormente (tipo de recurso e tags). Como alternativa, se você selecionar Criar política mas não aplicá-la a recursos novos ou existentes, o Firewall Manager criará a web ACL em cada conta aplicável da organização, mas não aplicará a web ACL a nenhum dos recursos. Você deverá aplicar a política aos recursos mais tarde. Escolha a opção apropriada.

  17. Em Substituir web ACLs associadas existentes, é possível remover quaisquer associações de web ACL atualmente definidas para recursos no escopo e substituí-las por associações às web ACLs que você está criando nessa política. Por padrão, o Firewall Manager não remove associações existentes da web ACL antes de adicionar as novas. Se você quiser remover as existentes, escolha essa opção.

  18. Escolha Próximo.

  19. Analise a nova política. Para fazer quaisquer alterações, escolha Edit (Editar). Quando estiver satisfeito com a política, escolha Create and apply policy (Criar e aplicar política).

Criação de uma AWS Firewall Manager política para AWS Shield Advanced

Criar uma política do Firewall Manager para Shield Advanced (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Shield Advanced.

    Para criar uma política Shield Advanced, você deve ser assinante do Shield Advanced. Se você não estiver inscrito, será solicitado a fazê-lo. Para obter mais informações sobre o custo, consulte Definição de preço do AWS Shield Advanced.

  5. Para Região, escolha um Região da AWS. Para proteger as CloudFront distribuições da Amazon, escolha Global.

    Para opções de região que não sejam Global, para proteger recursos em várias regiões, você deve criar uma política separada do Firewall Manager para cada região.

  6. Escolha Próximo.

  7. Em Nome, insira um nome descritivo.

  8. Somente para políticas de região Global, você pode escolher se deseja gerenciar a mitigação automática de DDoS na camada de aplicativos do Shield Advanced. Para obter informações sobre esse atributo do Shield Advanced, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced.

    Você pode optar por habilitar ou desabilitar a mitigação automática ou por ignorá-la. Se você optar por ignorá-lo, o Firewall Manager não gerencia a mitigação automática das proteções Shield Advanced. Para obter mais informações sobre essas opções de política, consulte Mitigação automática de DDoS na camada de aplicação.

  9. Em Gerenciamento de web ACL, se você quiser que o Firewall Manager gerencie web ACLs não associadas, habilite Gerenciar web ACLs não associadas. Com essa opção, o Firewall Manager cria web ACLs nas contas dentro do escopo da política somente se as web ACLs forem usadas por pelo menos um recurso. Se, a qualquer momento, uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma web ACL na conta se pelo menos um recurso usar a web ACL. Após a ativação dessa opção, o Firewall Manager executa uma limpeza única das web ACLs não associadas em sua conta. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política após o Firewall Manager criar uma web ACL, o Firewall Manager não desassociará o recurso da web ACL. Para incluir a web ACL na limpeza única, você deve primeiro desassociar manualmente os recursos da web ACL e depois ativar Gerenciar web ACLs não associadas.

  10. Em Ação da política, recomendamos criar a política com a opção que não corrige automaticamente recursos em não conformidade. Ao desativar a remediação automática, você pode avaliar os efeitos da sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação da política para habilitar a correção automática de recursos não compatíveis.

    Se, em vez disso, quiser aplicar automaticamente a política aos recursos existentes no escopo, escolha Auto remediate any noncompliant resources (Corrigir automaticamente quaisquer recursos não compatíveis). Essa opção aplica as proteções Shield Advanced a cada conta aplicável na AWS organização e a cada recurso aplicável nas contas.

    Somente para políticas de região global, se você escolher Remediar automaticamente quaisquer recursos não compatíveis, também poderá optar por fazer com que o Firewall Manager substitua automaticamente todas as associações existentes de ACL da web AWS WAF clássicas por novas associações às ACLs da web que foram criadas usando a versão mais recente do (v2). AWS WAF Se você escolher essa opção, o Firewall Manager removerá as associações com as web ACLs da versão anterior e criará novas associações com as web ACLs da versão mais recente, depois de criar novas web ACLs vazias em qualquer conta dentro do escopo que ainda não as tenha para a política. Para obter mais informações sobre essa opção, consulte Substitua as ACLs da web AWS WAF clássicas pelas ACLs da web da versão mais recente.

  11. Escolha Próximo.

  12. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se deseja aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas sob minha organização da AWS .

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  13. Escolha o tipo de recurso que você deseja proteger.

    O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar usar o Shield Advanced para proteger os recursos desses serviços, não poderá usar uma política do Firewall Manager. Em vez disso, siga as orientações do Shield Advanced em Adicionando AWS Shield Advanced proteção aos AWS recursos.

  14. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  15. Escolha Próximo.

  16. Para tags de política, adicione todas as tags de identificação que você deseja adicionar ao recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  17. Escolha Próximo.

  18. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Provavelmente, indicará Pendente nos títulos das contas e indicará o status da configuração de remediação automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Criar uma política de grupo de segurança comum do AWS Firewall Manager

Para obter informações sobre como funcionam as políticas de grupo de segurança comuns, consulte Políticas de grupo de segurança comuns.

Para criar uma política de grupo de segurança comum, você deve ter um grupo de segurança já criado em sua conta de administrador do Firewall Manager que deseja usar como principal para sua política. Você pode gerenciar grupos de segurança por meio da Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Para obter mais informações, consulte Trabalhar com grupos de segurança no Guia do usuário da Amazon VPC.

Para criar uma política de grupo de segurança comum (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Grupo de segurança.

  5. Em Tipo de política de grupo de segurança, escolha Grupos de segurança comuns.

  6. Para Região, escolha um Região da AWS.

  7. Escolha Próximo.

  8. Em Nome da política, insira um nome fácil de lembrar.

  9. Em Policy rules (Regras de política), faça o seguinte:

    1. Nas opções de regras, escolha as restrições que você deseja aplicar às regras do grupo de segurança e aos recursos que estão dentro do escopo da política. Se você escolher Distribuir tags do grupo de segurança primário para os grupos de segurança criados por essa política, também deverá selecionar Identificar e relatar quando os grupos de segurança criados por essa política não estiverem em conformidade.

      Importante

      O Firewall Manager não distribuirá tags de sistema adicionadas pelos AWS serviços aos grupos de segurança de réplicas. As tags do sistema começam com o prefixo aws:. Além disso, o Firewall Manager não atualizará as tags dos grupos de segurança existentes nem criará novos grupos de segurança se a política tiver tags que entrem em conflito com a política de tags da organização. Para obter informações sobre políticas de tags, consulte Políticas de tags no Guia AWS Organizations do usuário.

      Se você escolher Distribuir referências de grupos de segurança do grupo de segurança primário para os grupos de segurança criados por essa política, o Firewall Manager só distribuirá as referências do grupo de segurança se eles tiverem uma conexão de emparelhamento ativa na Amazon VPC. Para obter informações sobre essa opção, consulte Configurações de regras de política.

    2. Em Grupos de segurança primários, escolha Adicionar grupos de segurança e, em seguida, escolha os grupos de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de todas as instâncias do Amazon VPC na conta de administrador do Firewall Manager.

      Por padrão, o número máximo de grupos de segurança primários por política é 3. Para obter mais informações sobre essa configuração, consulte AWS Firewall Manager cotas.

    3. Em Ação de política, recomendamos criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

  10. Escolha Próximo.

  11. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  12. Em Tipo de recurso, escolha os tipos de recurso que você deseja proteger.

    Se escolher Instância do EC2, você poderá optar por incluir todas as interfaces de rede elástica em cada instância do Amazon EC2 ou apenas a interface padrão em cada instância. Se você tiver mais de uma interface de rede elástica em qualquer instância do Amazon EC2 no escopo, escolher a opção para incluir todas as interfaces permitirá que o Firewall Manager aplique a política a todas elas. Quando você habilita a correção automática, se o Firewall Manager não puder aplicar a política a todas as interfaces de rede elástica em uma instância do Amazon EC2, ela marcará a instância como não compatível.

  13. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  14. Em Recursos da VPC compartilhada, se você quiser aplicar a política a recursos em VPCs compartilhadas, além das VPCs que as contas possuem, selecione Incluir recursos de VPCs compartilhadas.

  15. Escolha Próximo.

  16. Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

O Firewall Manager cria uma réplica do grupo de segurança primário em cada instância da Amazon VPC contida nas contas dentro do escopo até a cota máxima suportada da Amazon VPC por conta. O Firewall Manager associa os grupos de segurança de réplica aos recursos que estão dentro do escopo da política para cada conta dentro do escopo. Para obter mais informações sobre como essa política funciona, consulte Políticas de grupo de segurança comuns.

Criar uma política de grupo de segurança de auditoria de conteúdo do AWS Firewall Manager

Para obter informações sobre como as políticas de grupo de segurança de auditoria de conteúdo funcionam, consulte Políticas de grupo de segurança de auditoria de conteúdo.

Para algumas configurações de política de auditoria de conteúdo, você deve fornecer um grupo de segurança de auditoria para o Firewall Manager usar como modelo. Por exemplo, você pode ter um grupo de segurança de auditoria que contém todas as regras que você não permite em nenhum grupo de segurança. Você deve criar esses grupos de segurança de auditoria usando sua conta de administrador do Firewall Manager antes de poder usá-los em sua política. Você pode gerenciar grupos de segurança por meio da Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Para obter mais informações, consulte Trabalhar com grupos de segurança no Guia do usuário da Amazon VPC.

Para criar uma política de grupo de segurança de auditoria de conteúdo (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Grupo de segurança.

  5. Em Security group policy type (Tipo de política de grupo de segurança), escolha Auditing and enforcement of security group rules (Auditoria e imposição de regras de grupo de segurança).

  6. Para Região, escolha um Região da AWS.

  7. Escolha Próximo.

  8. Em Nome da política, insira um nome fácil de lembrar.

  9. Para Regras da política, escolha a opção de regras da política gerenciadas ou personalizadas que você deseja usar.

    1. Para Configurar regras de política de auditoria gerenciada, faça o seguinte:

      1. Para Configurar regras de grupo de segurança para auditoria, selecione o tipo de regras de grupo de segurança às quais você deseja que sua política de auditoria se aplique.

      2. Se você quiser fazer coisas como regras de auditoria com base nos protocolos, portas e configurações de intervalo CIDR dos seus grupos de segurança, escolha Auditar regras de grupos de segurança excessivamente permissivas e selecione as opções desejadas.

        Para a seleção Regra permite todo o tráfego, você pode fornecer uma lista de aplicativos personalizada para designar os aplicativos que você deseja auditar. Para obter informações sobre listas de aplicativos personalizadas e como usá-las em sua política, consulte Listas gerenciadas e Usar listas gerenciadas.

        Para seleções que usam listas de protocolos, você pode usar listas existentes e criar novas listas. Para obter informações sobre listas de protocolos e como usá-las em sua política, consulte Listas gerenciadas e Usar listas gerenciadas.

      3. Se você quiser auditar aplicativos de alto risco com base no acesso deles a intervalos de CIDR reservados ou não reservados, escolha Auditar aplicativos de alto risco e selecione as opções desejadas.

        As seguintes seleções são mutuamente exclusivas: Aplicativos que podem acessar somente intervalos CIDR reservados e Aplicativos com permissão para acessar intervalos CIDR não reservados. Você pode selecionar no máximo um deles em qualquer política.

        Para seleções que usam listas de aplicativos, você pode usar listas existentes e criar novas listas. Para obter informações sobre listas de aplicativos e como usá-las em sua política, consulte Listas gerenciadas e Usar listas gerenciadas.

      4. Use as configurações de Substituição para substituir explicitamente outras configurações na política. Você pode optar por sempre permitir ou sempre negar regras específicas do grupo de segurança, independentemente de elas estarem em conformidade com as outras opções que você definiu para a política.

        Para essa opção, você fornece um grupo de segurança de auditoria como modelo de regras permitidas ou negadas. Para Auditar grupos de segurança, selecione Adicionar auditar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de auditoria de todas as instâncias do Amazon VPC na conta do administrador do Firewall Manager. A cota máxima padrão para o número de grupos de segurança de auditoria para uma política é uma. Para obter informações sobre como aumentar a cota, consulte AWS Firewall Manager cotas.

    2. Para Configurar regras de política personalizada, faça o seguinte:

      1. Nas opções de regras, escolha se deseja permitir somente as regras definidas nos grupos de segurança de auditoria ou negar todas as regras. Para obter informações sobre essa opção, consulte Políticas de grupo de segurança de auditoria de conteúdo.

      2. Para Auditar grupos de segurança, selecione Adicionar auditar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de auditoria de todas as instâncias do Amazon VPC na conta do administrador do Firewall Manager. A cota máxima padrão para o número de grupos de segurança de auditoria para uma política é uma. Para obter informações sobre como aumentar a cota, consulte AWS Firewall Manager cotas.

      3. Em Ação da política, você deve criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

  10. Escolha Próximo.

  11. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  12. Em Resource type (Tipo de recurso), escolha os tipos de recurso que você deseja proteger.

  13. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  14. Escolha Próximo.

  15. Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

O Firewall Manager compara o grupo de segurança de auditoria com os grupos de segurança dentro do escopo em sua organização da AWS , de acordo com as configurações de regras de política. Você pode revisar o status da política no console AWS Firewall Manager de políticas. Depois que a política é criada, você pode editá-la e habilitar a correção automática para colocar sua política de grupo de segurança de auditoria em vigor. Para obter mais informações sobre como essa política funciona, consulte Políticas de grupo de segurança de auditoria de conteúdo.

Criar uma política de grupo de segurança de auditoria de uso do AWS Firewall Manager

Para obter informações sobre como as políticas de grupo de segurança de auditoria de uso funcionam, consulte Políticas de grupo de segurança de auditoria de uso.

Para criar uma política de grupo de segurança de auditoria de uso (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Grupo de segurança.

  5. Em Tipo de política de grupo de segurança, escolha Auditing and cleanup of unassociated and redundant security groups (Auditoria e limpeza de grupos de segurança redundantes e não associados).

  6. Para Região, escolha um Região da AWS.

  7. Escolha Próximo.

  8. Em Nome da política, insira um nome fácil de lembrar.

  9. Em Policy rules (Regras de política), escolha uma ou ambas as opções disponíveis.

    • Se você escolher Grupos de segurança dentro deste escopo de política devem ser usados por pelo menos um recurso, o Firewall Manager removerá os grupos de segurança que ele determinar que não estão sendo utilizados. Quando essa regra é ativada, o Firewall Manager a executa por último quando você salva a política.

      Para obter detalhes sobre como o Firewall Manager determina o uso e o momento da correção, consultePolíticas de grupo de segurança de auditoria de uso.

      nota

      Ao usar esse tipo de política de grupo de segurança de auditoria de uso, evite fazer várias alterações no status de associação dos grupos de segurança dentro do escopo em um curto espaço de tempo. Isso pode fazer com que o Firewall Manager perca os eventos correspondentes.

      Por padrão, o Firewall Manager considera que os grupos de segurança não estão em conformidade com essa regra de política assim que não são usados. Opcionalmente, você pode especificar por quantos minutos um grupo de segurança pode existir sem uso antes de ser considerado incompatível, até 525.600 minutos (365 dias). Você pode usar essa configuração para ter tempo de associar novos grupos de segurança aos recursos.

      Importante

      Se você especificar um número de minutos diferente do valor padrão de zero, deverá habilitar relacionamentos indiretos em AWS Config. Caso contrário, suas políticas de grupo de segurança de auditoria de uso não funcionarão conforme o esperado. Para obter informações sobre relacionamentos indiretos em AWS Config, consulte Relacionamentos indiretos AWS Config no Guia do AWS Config desenvolvedor.

    • Se você escolher Grupos de segurança dentro deste escopo da política devem ser exclusivos, o Firewall Manager consolidará grupos de segurança redundantes, para que apenas um seja associado aos recursos. Se você escolher essa opção, o Firewall Manager a executará em primeiro lugar quando a política for salva.

  10. Em Ação de política, recomendamos criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

  11. Escolha Próximo.

  12. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  13. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  14. Escolha Próximo.

  15. Se você não excluiu a conta de administrador do Firewall Manager do escopo da política, o Firewall Manager solicitará que você faça isso. Fazer isso deixa os grupos de segurança na conta de administrador do Firewall Manager, que você usa para políticas de grupo de segurança comuns e de auditoria, sob seu controle manual. Escolha a opção que deseja nesta caixa de diálogo.

  16. Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Se você optar por exigir grupos de segurança exclusivos, o Firewall Manager procurará grupos de segurança redundantes em cada instância da Amazon VPC no escopo. Depois, se optar por exigir que cada grupo de segurança seja utilizado por pelo menos um recurso, o Firewall Manager procurará grupos de segurança que ficaram sem utilização durante os minutos especificados na regra. Você pode revisar o status da política no console AWS Firewall Manager de políticas. Para obter mais informações sobre como essa política funciona, consulte Políticas de grupo de segurança de auditoria de uso.

Criando uma política AWS Firewall Manager de ACL de rede

Para obter informações sobre como as políticas de ACL de rede funcionam, consultePolíticas de ACL de rede.

Para criar uma política de ACL de rede, você deve saber como definir uma ACL de rede para uso com suas sub-redes da Amazon VPC. Para obter informações, consulte Controle o tráfego para sub-redes usando ACLs de rede e Trabalhe com ACLs de rede no Guia do usuário da Amazon VPC.

Para criar uma política de ACL de rede (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Network ACL.

  5. Para Região, escolha um Região da AWS.

  6. Escolha Próximo.

  7. Em Nome da política, insira um nome descritivo.

  8. Em Regras de política, defina as regras que você deseja sempre executar nas ACLs de rede que o Firewall Manager gerencia para você. As ACLs de rede monitoram e gerenciam o tráfego de entrada e saída, portanto, em sua política, você define as regras para ambas as direções.

    Em qualquer direção, você define as regras que deseja sempre executar primeiro e as regras que deseja sempre executar por último. Nas ACLs de rede gerenciadas pelo Firewall Manager, os proprietários da conta podem definir regras personalizadas a serem executadas entre a primeira e a última regra.

  9. Em Ação de política, se você quiser identificar sub-redes e ACLs de rede não compatíveis, mas ainda não tomar nenhuma ação corretiva, escolha Identificar recursos que não estejam em conformidade com as regras de política, mas não corrijam automaticamente. É possível alterar essas opções mais tarde.

    Se, em vez disso, você quiser aplicar automaticamente a política às sub-redes existentes no escopo, escolha Remediar automaticamente quaisquer recursos não compatíveis. Com essa opção, você também especifica se deve forçar a remediação quando o comportamento de tratamento de tráfego das regras de política entrar em conflito com as regras personalizadas que estão na ACL da rede. Independentemente de você forçar a remediação, o Firewall Manager relata regras conflitantes em suas violações de conformidade.

  10. Escolha Próximo.

  11. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir somente contas específicas, o Firewall Manager não aplicará a política a nenhuma conta nova e diferente. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  12. Para Tipo de recurso, a configuração é fixada em Sub-redes.

  13. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  14. Escolha Próximo.

  15. Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

O Firewall Manager cria a política e começa a monitorar e gerenciar as ACLs de rede no escopo de acordo com suas configurações. Para obter mais informações sobre como essa política funciona, consulte Políticas de ACL de rede.

Criação de uma AWS Firewall Manager política para AWS Network Firewall

Em uma política do Network Firewall do Firewall Manager, você usa grupos de regras que gerencia no AWS Network Firewall. Para obter informações sobre como gerenciar seus grupos de regras, consulte grupos de regras do AWS Network Firewall no Guia do desenvolvedor do Network Firewall.

Para obter informações sobre as políticas do Network Firewall do Firewall Manager, consulte AWS Network Firewall políticas.

Para criar uma política do Firewall Manager para AWS Network Firewall (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha AWS Network Firewall.

  5. Em Tipo de gerenciamento de firewall, escolha como você gostaria que o Firewall Manager gerenciasse os firewalls da política. Escolha uma das seguintes opções:

    • Distribuído: o Firewall Manager cria e mantém endpoints de firewall em cada VPC que está no escopo da política.

    • Centralizado: o Firewall Manager cria e mantém endpoints em uma única VPC de inspeção.

    • Importar firewalls existentes: o Firewall Manager importa firewalls existentes do Network Firewall usando conjuntos de recursos. Para obter mais informações sobre conjuntos de recursos, consulte Trabalhar com conjuntos de recursos no Firewall Manager.

  6. Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

  7. Escolha Próximo.

  8. Em Nome da política, insira um nome descritivo. O Firewall Manager inclui o nome da política nos nomes dos firewalls do Network Firewall e das políticas de firewall que ele cria.

  9. Na configuração da política de AWS Network Firewall , configure a política de firewall como você faria no Network Firewall. Adicione seus grupos de regras sem estado e com estado e especifique as ações padrão da política. Opcionalmente, você pode definir a ordem de avaliação de regras com estado e as ações padrão da política, bem como a configuração de registro. Para obter informações sobre o gerenciamento de políticas de firewall do Network Firewall, consulte as políticas de firewall do AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall .

    Quando você cria a política do Network Firewall do Firewall Manager, o Firewall Manager cria políticas de firewall para as contas que estão dentro do escopo. Gerentes de contas individuais podem adicionar grupos de regras às políticas de firewall, mas não podem alterar a configuração que você fornece aqui.

  10. Escolha Próximo.

  11. Dependendo do tipo de gerenciamento do Firewall que você selecionou na etapa anterior, siga um destes procedimentos:

    • Se você estiver usando um tipo de gerenciamento de firewall distribuído, na configuração do endpoint de AWS Firewall Manager em Localização do endpoint do firewall, escolha uma das seguintes opções:

      • Configuração personalizada do endpoint: o Firewall Manager cria firewalls para cada VPC dentro do escopo da política, nas zonas de disponibilidade que você especificar. Cada firewall contém pelo menos um endpoint do firewall.

        • Em Zonas de disponibilidade, selecione em quais zonas de disponibilidade criar endpoints de firewall. Você pode selecionar Zonas de disponibilidade pelo Nome da zona de disponibilidade ou pelo ID da zona de disponibilidade.

        • Se você quiser fornecer os blocos CIDR para o Firewall Manager usar nas sub-redes de firewall em suas VPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis nas VPCs.

          nota

          A correção automática acontece automaticamente para as políticas de Firewall de AWS Firewall Manager Rede, então você não verá a opção de optar por não corrigir automaticamente aqui.

      • Configuração automática de endpoints: o Firewall Manager cria automaticamente endpoints de firewall nas zonas de disponibilidade com sub-redes públicas em sua VPC.

        • Para a configuração Endpoints do firewall, especifique como você deseja que os endpoints do firewall sejam gerenciados pelo Firewall Manager. Recomendamos o uso de vários endpoints para alta disponibilidade.

    • Se você estiver usando um tipo de gerenciamento de firewall centralizado, na configuração do endpoint de AWS Firewall Manager , em Configuração da VPC de inspeção, insira a ID da conta da AWS do proprietário da VPC de inspeção e a ID da VPC de inspeção.

      • Em Zonas de disponibilidade, selecione em quais zonas de disponibilidade criar endpoints de firewall. Você pode selecionar Zonas de disponibilidade pelo Nome da zona de disponibilidade ou pelo ID da zona de disponibilidade.

      • Se você quiser fornecer os blocos CIDR para o Firewall Manager usar nas sub-redes de firewall em suas VPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis nas VPCs.

        nota

        A correção automática acontece automaticamente para as políticas de Firewall de AWS Firewall Manager Rede, então você não verá a opção de optar por não corrigir automaticamente aqui.

    • Se você estiver usando um tipo de gerenciamento de firewall para importar firewalls existentes, em Conjuntos de recursos, adicione um ou mais conjuntos de recursos. Um conjunto de recursos define os firewalls de Network Firewall existentes pertencentes à sua conta da organização que você deseja gerenciar centralmente nesta política. Para adicionar um conjunto de recursos à política, primeiro você deve criar um conjunto de recursos usando o console ou a PutResourceSetAPI. Para obter mais informações sobre conjuntos de recursos, consulte Trabalhar com conjuntos de recursos no Firewall Manager. Para obter mais informações sobre a importação de firewalls existentes do Network Firewall, consulte importar firewalls existentes.

  12. Escolha Próximo.

  13. Se sua política usa um tipo de gerenciamento de firewall distribuído, em Gerenciamento de rotas, escolha se o Firewall Manager monitorará e alertará sobre o tráfego que deve ser roteado pelos respectivos endpoints do firewall.

    nota

    Se você escolher Monitor, não poderá alterar a configuração para Desligado posteriormente. O monitoramento continua até que você exclua a política.

  14. Em Tipo de tráfego, adicione opcionalmente os endpoints de tráfego pelos quais você deseja rotear o tráfego para inspeção do firewall.

  15. Em Permitir o tráfego necessário entre A-Z, se você habilitar essa opção, o Firewall Manager tratará como roteamento compatível que envia tráfego de uma zona de disponibilidade para inspeção, para zonas de disponibilidade que não têm seu próprio endpoint de firewall. As zonas de disponibilidade que têm endpoints devem sempre inspecionar seu próprio tráfego.

  16. Escolha Próximo.

  17. Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  18. O Tipo de recurso para políticas de Network Firewall é VPC.

  19. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  20. Escolha Próximo.

  21. Para tags de política, adicione todas as tags de identificação que você deseja adicionar ao recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  22. Escolha Próximo.

  23. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Provavelmente, indicará Pendente nos títulos das contas e indicará o status da configuração de remediação automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Criação de uma AWS Firewall Manager política para o Amazon Route 53 Resolver DNS Firewall

Em uma política de Firewall DNS do Firewall Manager, você usa grupos de regras que você gerencia no Firewall DNS do Amazon Route 53 Resolver. Para obter informações sobre como gerenciar seus grupos de regras, consulte Gerenciamento de grupos de regras e regras no Firewall DNS no Guia do desenvolvedor do Amazon Route 53.

Para obter informações sobre as políticas de Firewall DNS do Firewall Manager, consulte Políticas de Firewall DNS do Amazon Route 53 Resolver.

Para criar uma política do Firewall Manager para o Firewall DNS do Amazon Route 53 Resolver (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Firewall DNS do Amazon Route 53 Resolver .

  5. Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

  6. Escolha Próximo.

  7. Em Nome da política, insira um nome descritivo.

  8. Na configuração da política, adicione os grupos de regras que você deseja que o Firewall DNS avalie primeiro e por último entre as associações de grupos de regras de suas VPCs. Você pode adicionar até dois grupos de regras à política.

    Quando você cria a política de Firewall DNS do Firewall Manager, o Firewall Manager cria as associações de grupos de regras, com as prioridades de associação que você forneceu, para as VPCs e contas que estão dentro do escopo. Os gerentes de contas individuais podem adicionar associações de grupos de regras entre a primeira e a última associação, mas não podem alterar as associações que você define aqui. Para ter mais informações, consulte Políticas de Firewall DNS do Amazon Route 53 Resolver.

  9. Escolha Próximo.

  10. Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  11. O Tipo de recurso para políticas de Firewall DNS é VPC.

  12. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  13. Escolha Próximo.

  14. Para tags de política, adicione todas as tags de identificação que você deseja adicionar ao recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  15. Escolha Próximo.

  16. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Provavelmente, indicará Pendente nos títulos das contas e indicará o status da configuração de remediação automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Criação de uma AWS Firewall Manager política para o Palo Alto Networks Cloud NGFW

Com uma política do Firewall Manager para o Firewall de Próxima Geração de Nuvem da Palo Alto Networks (Palo Alto Networks Cloud NGFW), você usa o Firewall Manager para implantar recursos NGFW do Palo Alto Networks Cloud e gerenciar as pilhas de regras do NGFW centralmente em todas as suas contas. AWS

Para obter informações sobre as políticas do Firewall Manager do NGFW na nuvem da Palo Alto Networks, consulte. Políticas de NGFW na nuvem da Palo Alto Networks Para obter informações sobre como configurar e gerenciar o NGFW na nuvem da Palo Alto Networks para o Firewall Manager, consulte o NGFW na nuvem da Palo Alto Networks na documentação da AWS.

Pré-requisitos

Há várias etapas obrigatórias na preparação da conta para o AWS Firewall Manager. Essas etapas estão descritas em AWS Firewall Manager pré-requisitos. Conclua todos os pré-requisitos antes de prosseguir para a próxima etapa.

Para criar uma política do Firewall Manager para o Cloud NGFW da Palo Alto Networks (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Para Tipo de política, escolha Palo Alto Networks Cloud NGFW. Se você ainda não se inscreveu no serviço NGFW Cloud da Palo Alto Networks no AWS Marketplace, você precisará fazer isso primeiro. Para se inscrever no AWS Marketplace, escolha Exibir detalhes do AWS Marketplace.

  5. Para Modelo de implantação, escolha o Modelo distribuído ou Modelo centralizado. O modelo de implantação determina como o Firewall Manager gerencia os endpoints da política. Com o modelo distribuído, o Firewall Manager mantém endpoints de firewall em cada VPC que está dentro do escopo da política. Com o modelo centralizado, o Firewall Manager mantém um único endpoint em uma VPC de inspeção.

  6. Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

  7. Escolha Próximo.

  8. Em Nome da política, insira um nome descritivo.

  9. Na configuração da política, escolha a política de firewall do Cloud NGFW da Palo Alto Networks para associar a essa política. A lista de políticas de firewall do Cloud NGFW da Palo Alto Networks contém todas as políticas de firewall do Cloud NGFW da Palo Alto Networks que estão associadas ao seu locatário do Cloud NGFW da Palo Alto Networks. Para obter informações sobre como criar e gerenciar políticas de firewall NGFW da Palo Alto Networks Cloud, consulte o tópico Implantar o Palo Alto Networks Cloud NGFW para AWS ver o AWS Firewall Manager tópico no guia de implantação do Palo Alto Networks Cloud NGFW. AWS

  10. Para o registro do Palo Alto Networks Cloud NGFW - opcional, opcionalmente, escolha quais tipos de log do Palo Alto Networks Cloud NGFW devem ser registrados para sua política. Para obter informações sobre os tipos de log NGFW do Palo Alto Networks Cloud, consulte Configurar o registro para o Palo Alto Networks Cloud NGFW AWS no guia de implantação do Palo Alto Networks Cloud NGFW. AWS

    Para destino do log, especifique quando o Firewall Manager deve gravar os logs.

  11. Escolha Próximo.

  12. Em Configurar endpoint de firewall de terceiros, faça o seguinte, dependendo se você está usando o modelo de implantação distribuída ou centralizada para criar seus endpoints de firewall:

    • Se você estiver usando o modelo de implantação distribuído para essa política, em Zonas de disponibilidade, selecione em quais zonas de disponibilidade criar endpoints de firewall. Você pode selecionar Zonas de disponibilidade pelo Nome da zona de disponibilidade ou pelo ID da zona de disponibilidade.

    • Se você estiver usando o modelo de implantação centralizada para essa política, na configuração do endpoint de AWS Firewall Manager , em Configuração da VPC de inspeção, insira a ID da conta da AWS do proprietário da VPC de inspeção e o ID da VPC da inspeção.

      • Em Zonas de disponibilidade, selecione em quais zonas de disponibilidade criar endpoints de firewall. Você pode selecionar Zonas de disponibilidade pelo Nome da zona de disponibilidade ou pelo ID da zona de disponibilidade.

  13. Se você quiser fornecer os blocos CIDR para o Firewall Manager usar nas sub-redes de firewall em suas VPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis nas VPCs.

    nota

    A correção automática acontece automaticamente para as políticas de Firewall de AWS Firewall Manager Rede, então você não verá a opção de optar por não corrigir automaticamente aqui.

  14. Escolha Próximo.

  15. Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  16. O Tipo de recurso para políticas de Network Firewall é VPC.

  17. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  18. Para Conceder acesso entre contas, escolha Baixar modelo de AWS CloudFormation . Isso baixa um AWS CloudFormation modelo que você pode usar para criar uma AWS CloudFormation pilha. Essa pilha cria uma AWS Identity and Access Management função que concede ao Firewall Manager permissões entre contas para gerenciar os recursos NGFW do Palo Alto Networks Cloud. Para obter informações sobre as pilhas, consulte Trabalhar com pilhas no Guia do usuário do AWS CloudFormation .

  19. Escolha Próximo.

  20. Para tags de política, adicione todas as tags de identificação que você deseja adicionar ao recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  21. Escolha Próximo.

  22. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Provavelmente, indicará Pendente nos títulos das contas e indicará o status da configuração de remediação automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Criação de uma AWS Firewall Manager política para o Fortigate Cloud Native Firewall (CNF) como serviço

Com uma política do Firewall Manager para o Fortigate CNF, você pode usar o Firewall Manager para implantar e gerenciar os recursos do Fortigate CNF em todas as suas contas. AWS

Para obter informações sobre as políticas Firewall Manager para o Fortigate CNF, consulte Políticas do Fortigate Cloud Native Firewall (CNF) como serviço. Para obter informações sobre como configurar o Fortigate CNF para uso com o Firewall Manager, consulte a Documentação da Fortinet.

Pré-requisitos

Há várias etapas obrigatórias na preparação da conta para o AWS Firewall Manager. Essas etapas estão descritas em AWS Firewall Manager pré-requisitos. Conclua todos os pré-requisitos antes de prosseguir para a próxima etapa.

Para criar uma política do Firewall Manager para o Fortigate CNF (console)

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Escolha Criar política.

  4. Em Tipo de política, escolha Fortigate Cloud Native Firewall (CNF) como serviço. Se você ainda não se inscreveu no serviço Fortigate CNF no AWS Marketplace, você precisará fazer isso primeiro. Para se inscrever no AWS Marketplace, escolha Exibir detalhes do AWS Marketplace.

  5. Para Modelo de implantação, escolha o Modelo distribuído ou Modelo centralizado. O modelo de implantação determina como o Firewall Manager gerencia os endpoints da política. Com o modelo distribuído, o Firewall Manager mantém endpoints de firewall em cada VPC que está dentro do escopo da política. Com o modelo centralizado, o Firewall Manager mantém um único endpoint em uma VPC de inspeção.

  6. Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

  7. Escolha Próximo.

  8. Em Nome da política, insira um nome descritivo.

  9. Na configuração da política, escolha a política de firewall Fortigate CNF a ser associada a essa política. A lista de políticas de firewall Fortigate CNF contém todas as políticas de firewall Fortigate CNF associadas à sua locação do Fortigate CNF. Para obter informações sobre como criar e gerenciar locações do Fortigate CNF, consulte a Documentação da Fortinet.

  10. Escolha Próximo.

  11. Em Configurar endpoint de firewall de terceiros, faça o seguinte, dependendo se você está usando o modelo de implantação distribuída ou centralizada para criar seus endpoints de firewall:

    • Se você estiver usando o modelo de implantação distribuído para essa política, em Zonas de disponibilidade, selecione em quais zonas de disponibilidade criar endpoints de firewall. Você pode selecionar Zonas de disponibilidade pelo Nome da zona de disponibilidade ou pelo ID da zona de disponibilidade.

    • Se você estiver usando o modelo de implantação centralizada para essa política, na configuração do endpoint de AWS Firewall Manager , em Configuração da VPC de inspeção, insira a ID da conta da AWS do proprietário da VPC de inspeção e o ID da VPC da inspeção.

      • Em Zonas de disponibilidade, selecione em quais zonas de disponibilidade criar endpoints de firewall. Você pode selecionar Zonas de disponibilidade pelo Nome da zona de disponibilidade ou pelo ID da zona de disponibilidade.

  12. Se você quiser fornecer os blocos CIDR para o Firewall Manager usar nas sub-redes de firewall em suas VPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis nas VPCs.

    nota

    A correção automática acontece automaticamente para as políticas de Firewall de AWS Firewall Manager Rede, então você não verá a opção de optar por não corrigir automaticamente aqui.

  13. Escolha Próximo.

  14. Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

    • Se você quiser aplicar a política a todas as contas em sua organização, deixe a seleção padrão, Incluir todas as contas em minha AWS organização.

    • Se você quiser aplicar a política somente a contas específicas ou contas que estão em unidades AWS Organizations organizacionais (OUs) específicas, escolha Incluir somente as contas e unidades organizacionais especificadas e, em seguida, adicione as contas e OUs que você deseja incluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    • Se você quiser aplicar a política a todas, exceto a um conjunto específico de contas ou unidades AWS Organizations organizacionais (OUs), escolha Excluir as contas e unidades organizacionais especificadas e incluir todas as outras e, em seguida, adicione as contas e OUs que você deseja excluir. Especificar uma UO é equivalente a especificar todas as contas na UO e em qualquer uma das suas UOs filhas, incluindo todas as UOs e contas filhas que forem adicionadas posteriormente.

    É possível escolher apenas uma das opções.

    Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

  15. O Tipo de recurso para políticas de Network Firewall é VPC.

  16. Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

    Se você inserir mais de uma tag, um recurso deverá ter todas as tags a serem incluídas ou excluídas.

    As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

  17. Para Conceder acesso entre contas, escolha Baixar modelo de AWS CloudFormation . Isso baixa um AWS CloudFormation modelo que você pode usar para criar uma AWS CloudFormation pilha. Essa pilha cria uma AWS Identity and Access Management função que concede ao Firewall Manager permissões entre contas para gerenciar os recursos do Fortigate CNF. Para obter informações sobre as pilhas, consulte Trabalhar com pilhas no Guia do usuário do AWS CloudFormation . Para criar uma pilha, você precisará do ID da conta do portal Fortigate CNF.

  18. Escolha Próximo.

  19. Para tags de política, adicione todas as tags de identificação que você deseja adicionar ao recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

  20. Escolha Próximo.

  21. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

    Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Provavelmente, indicará Pendente nos títulos das contas e indicará o status da configuração de remediação automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política