Políticas da lista de controle de acesso à rede (ACL) da Amazon VPC - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Regras e marcação de ACL de redeGerenciamento inicial de ACL de redeRemediação para ACLs de rede gerenciadasRelatórios de conformidade de ACL de redePráticas recomendadasAdvertênciasExcluindo uma política de ACL de rede

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas da lista de controle de acesso à rede (ACL) da Amazon VPC

Esta seção aborda como as políticas de ACL de AWS Firewall Manager rede funcionam e fornece orientação para usá-las. Para obter orientação sobre como criar uma política de ACL de rede usando o console, consulteCriando uma ACL política de rede.

Para obter informações sobre as listas de controle de acesso à rede (ACLs) da Amazon VPC, consulte Controle o tráfego para sub-redes usando ACLs de rede no Guia do usuário da Amazon VPC.

Você pode usar as políticas de ACL de rede do Firewall Manager para gerenciar as listas de controle de acesso à rede (ACLs) da Amazon Virtual Private Cloud (Amazon VPC) para sua organização em. AWS Organizations Você define as configurações da regra de ACL de rede da política e as contas e sub-redes nas quais deseja que as configurações sejam aplicadas. O Firewall Manager aplica continuamente suas configurações de política às contas e sub-redes à medida que elas são adicionadas ou atualizadas em toda a organização. Para obter informações sobre o escopo da política e AWS Organizations, consulte AWS Firewall Manager escopo da política o Guia AWS Organizations do Usuário.

Ao definir uma política de ACL de rede do Firewall Manager, além das configurações padrão da política do Firewall Manager, como nome e escopo, você fornece o seguinte:

  • Primeira e última regras para tratamento de tráfego de entrada e saída. O Firewall Manager impõe a presença e a ordem dessas nas ACLs de rede que estão no escopo da política ou relata a não conformidade. Suas contas individuais podem criar regras personalizadas para serem executadas entre a primeira e a última regra da política.

  • Se a remediação deveria ser forçada quando a remediação resultaria em conflitos de gerenciamento de tráfego entre as regras na ACL da rede. Isso se aplica somente quando a remediação está habilitada para a política.

Regras e marcação de ACL de rede do Firewall Manager

Esta seção descreve as especificações da regra da política de ACL de rede e as ACLs de rede que são gerenciadas pelo Firewall Manager.

Marcação em uma rede gerenciada (ACL)

O Firewall Manager marca uma ACL de rede gerenciada com uma FMManaged tag que tem um valor detrue. O Firewall Manager só executa a remediação em ACLs de rede que tenham essa configuração de tag.

Regras que você define na política

Na especificação da política de ACL de rede, você define as regras que deseja executar primeiro e último para o tráfego de entrada e as regras que deseja executar primeiro e último para o tráfego de saída.

Por padrão, você pode definir até 5 regras de entrada, para uso em qualquer combinação da primeira e da última regra na política. Da mesma forma, você pode definir até 5 regras de saída. Para obter mais informações sobre esses limites, consulteCotas flexíveis. Para obter informações sobre os limites gerais das ACLs de rede, consulte as cotas da Amazon VPC em ACLs de rede no Guia do usuário da Amazon VPC.

Você não atribui números de regras às regras de política. Em vez disso, você especifica as regras na ordem em que deseja que elas sejam avaliadas, e o Firewall Manager usa essa ordem para atribuir números de regras nas ACLs de rede que ele gerencia.

Além disso, você gerencia as especificações das regras de ACL de rede da política da mesma forma que gerenciaria as regras em uma ACL de rede por meio da Amazon VPC. Para obter informações sobre o gerenciamento de ACLs de rede na Amazon VPC, consulte Controle o tráfego para sub-redes usando ACLs de rede e Trabalhe com ACLs de rede no Guia do usuário da Amazon VPC.

Regras em uma rede gerenciada (ACL)

O Firewall Manager configura as regras em uma ACL de rede que ele gerencia colocando a primeira e a última regras da política antes e depois de qualquer regra personalizada definida por um gerente de conta individual. O Firewall Manager preserva a ordem das regras personalizadas. As ACLs de rede são avaliadas começando com a regra de menor numeração.

Quando o Firewall Manager cria pela primeira vez uma ACL de rede, ele define as regras com a seguinte numeração:

  • Primeiras regras: 1, 2,... — Definido por você na política de ACL de rede do Firewall Manager.

    O Firewall Manager atribui números de regras a partir de 1 com incrementos de 1, com as regras ordenadas conforme você as ordenou na especificação da política.

  • Regras personalizadas: 5.000, 5.100,... — Gerenciado por gerentes de contas individuais por meio do Amazon VPC.

    O Firewall Manager atribui números a essas regras a partir de 5.000 e incrementando em 100 para cada regra subsequente.

  • Últimas regras:... 32.765, 32.766 — Definido por você na política de ACL de rede do Firewall Manager.

    O Firewall Manager atribui números de regras que terminam no número mais alto possível, 32766 com incrementos de 1, com as regras ordenadas conforme você as ordenou na especificação da política.

Após a inicialização da ACL de rede, o Firewall Manager não controla as alterações que contas individuais fazem em suas ACLs de rede gerenciadas. Contas individuais podem alterar uma ACL de rede sem tirá-la da conformidade, desde que todas as regras personalizadas permaneçam numeradas entre a primeira e a última regra da política, e a primeira e a última regras mantenham a ordem especificada. Como prática recomendada, ao gerenciar regras personalizadas, siga a numeração descrita nesta seção.

Como o Firewall Manager inicia o gerenciamento de ACL de rede para uma sub-rede

O Firewall Manager inicia o gerenciamento da ACL de rede para uma sub-rede quando associa a sub-rede a uma ACL de rede que o Firewall Manager criou e com a qual marcou como definida. FMManaged true

A conformidade com uma política de ACL de rede exige que a ACL de rede da sub-rede tenha as primeiras regras da política posicionadas primeiro, na ordem especificada na política, as últimas regras posicionadas por último, em ordem, e quaisquer outras regras personalizadas posicionadas no meio. Esses requisitos podem ser atendidos por uma ACL de rede não gerenciada à qual a sub-rede já esteja associada ou por uma ACL de rede gerenciada.

Quando o Firewall Manager aplica uma política de ACL de rede a uma sub-rede associada a uma ACL de rede não gerenciada, o Firewall Manager verifica o seguinte na ordem, parando quando identifica uma opção viável:

  1. A ACL de rede associada já está em conformidade — Se a ACL de rede atualmente associada à sub-rede for compatível, o Firewall Manager deixará essa associação em vigor e não iniciará o gerenciamento da ACL de rede para a sub-rede.

    O Firewall Manager não altera nem gerencia uma ACL de rede que não seja de sua propriedade, mas, desde que esteja em conformidade, o Firewall Manager a mantém em vigor e apenas a monitora quanto à conformidade com as políticas.

  2. Uma ACL de rede gerenciada compatível está disponível — Se o Firewall Manager já estiver gerenciando uma ACL de rede compatível com a configuração necessária, essa é uma opção. Se a remediação estiver ativada, o Firewall Manager associará a sub-rede a ela. Se a correção estiver desativada, o Firewall Manager marcará a sub-rede como não compatível e oferecerá a substituição da associação de ACL de rede como uma opção de remediação.

  3. Crie uma nova ACL de rede gerenciada compatível — Se a correção estiver ativada, o Firewall Manager cria uma nova ACL de rede e a associa à sub-rede. Caso contrário, o Firewall Manager marca a sub-rede como não compatível e oferece as opções de remediação para criar a nova ACL de rede e substituir a associação da ACL de rede.

Se essas etapas falharem, o Firewall Manager reportará a não conformidade da sub-rede.

O Firewall Manager segue essas etapas quando uma sub-rede entra no escopo pela primeira vez e quando a ACL de rede não gerenciada de uma sub-rede está fora de conformidade.

Como o Firewall Manager corrige ACLs de rede gerenciada não compatíveis

Esta seção descreve como o Firewall Manager corrige suas ACLs de rede gerenciadas quando elas não estão em conformidade com a política. O Firewall Manager corrige somente as ACLs de rede gerenciadas, com a FMManaged tag definida como. true Para ACLs de rede que não são gerenciadas pelo Firewall Manager, consulteGerenciamento inicial de ACL de rede.

A remediação restaura as localizações relativas da primeira, da personalizada e da última regra e restaura a ordenação da primeira e da última regras. Durante a correção, o Firewall Manager não necessariamente moverá as regras para os números de regras que ele usa na inicialização da ACL de rede. Para obter as configurações numéricas iniciais e as descrições dessas categorias de regras, consulteGerenciamento inicial de ACL de rede.

Para estabelecer regras e ordenação de regras compatíveis, o Firewall Manager pode precisar mover as regras dentro da ACL da rede. Tanto quanto possível, o Firewall Manager preserva as proteções da ACL de rede mantendo a ordem de regras compatível existente enquanto faz isso. Por exemplo, ele pode duplicar temporariamente as regras em novos locais e, em seguida, realizar uma remoção ordenada das regras originais, preservando os locais relativos durante o processo.

Essa abordagem protege suas configurações, mas também requer espaço na rede ACL para as regras provisórias. Se o Firewall Manager atingir o limite de regras em uma ACL de rede, ele interromperá a correção. Quando isso acontece, a ACL da rede permanece fora de conformidade e o Firewall Manager relata o motivo.

Se uma conta adiciona regras personalizadas a uma ACL de rede gerenciada pelo Firewall Manager e essas regras interferem na remediação do Firewall Manager, o Firewall Manager interrompe qualquer atividade de remediação na ACL da rede e relata o conflito.

Remediação forçada

Se você escolher a correção automática para a política, você também especifica se deseja forçar a remediação para as primeiras regras ou as últimas regras.

Quando o Firewall Manager encontra um conflito no tratamento do tráfego entre uma regra personalizada e uma regra de política, ele se refere à configuração de remediação forçada correspondente. Se a remediação forçada estiver ativada, o Firewall Manager aplicará a correção, apesar do conflito. Se essa opção não estiver ativada, o Firewall Manager interromperá a correção. Em ambos os casos, o Firewall Manager relata o conflito de regras e oferece opções de remediação.

Requisitos e limitações da contagem de regras

Durante a remediação, o Firewall Manager pode duplicar temporariamente as regras para movê-las sem alterar as proteções que elas fornecem.

Para regras de entrada ou saída, o maior número de regras que o Firewall Manager pode exigir para realizar a correção é o seguinte: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

As ACLs de rede e as políticas de ACL de rede são limitadas por limites de regras mutáveis. Se o Firewall Manager atingir um limite em seus esforços de remediação, ele para de tentar remediar e relata a não conformidade.

Para abrir espaço para o Firewall Manager realizar suas atividades de remediação, você pode solicitar um aumento de limite. Como alternativa, você pode alterar a configuração na política ou na ACL da rede para reduzir o número de regras usadas.

Para obter informações sobre os limites da ACL de rede, consulte as cotas da Amazon VPC em ACLs de rede no Guia do usuário da Amazon VPC.

Quando a remediação falha

Ao atualizar uma ACL de rede, se o Firewall Manager precisar parar por algum motivo, ele não reverterá as alterações, mas deixará a ACL da rede em um estado provisório. Se você ver regras duplicadas em uma ACL de rede que tem a FMManaged tag definida comotrue, o Firewall Manager provavelmente está no meio da correção. As alterações podem ficar parcialmente concluídas por um período, mas devido à abordagem adotada pelo Firewall Manager para remediação, isso não interromperá o tráfego nem reduzirá a proteção das sub-redes associadas.

Quando o Firewall Manager não corrige completamente as ACLs de rede que estão fora de conformidade, ele relata a não conformidade das sub-redes associadas e sugere possíveis opções de correção.

Tentando novamente após a falha na correção

Na maioria dos casos, se o Firewall Manager falhar em concluir as alterações de remediação em uma ACL de rede, ele acabará por tentar a alteração novamente.

A exceção é quando a remediação atinge o limite de contagem de regras de ACL de rede ou o limite de contagem de ACL da rede VPC. O Firewall Manager não pode realizar atividades de remediação que consumam AWS recursos acima de suas configurações de limite. Nesses casos, você precisa reduzir as contagens ou aumentar os limites para continuar. Para obter informações sobre os limites, consulte as cotas da Amazon VPC em ACLs de rede no Guia do usuário da Amazon VPC.

Relatórios de conformidade de ACL de rede do Firewall Manager

O Firewall Manager monitora e relata a conformidade de todas as ACLs de rede conectadas às sub-redes dentro do escopo.

De um modo geral, a não conformidade ocorre em situações como ordenação incorreta de regras ou conflito no comportamento de tratamento de tráfego entre regras de política e regras personalizadas. Os relatórios de não conformidade incluem violações de conformidade e opções de remediação.

O Firewall Manager relata violações de conformidade para uma política de ACL de rede da mesma forma que para outros tipos de política. Para obter informações sobre relatórios de conformidade, consulteVisualizando as informações de conformidade de uma AWS Firewall Manager política.

Não conformidade durante atualizações de políticas

Depois de modificar uma política de ACL de rede, até que o Firewall Manager atualize as ACLs de rede que estão no escopo da política, o Firewall Manager marca essas ACLs de rede como não compatíveis. O Firewall Manager faz isso mesmo que as ACLs da rede possam, estritamente falando, estar em conformidade.

Por exemplo, se você remover as regras da especificação da política, enquanto as ACLs de rede dentro do escopo ainda tiverem as regras extras, suas definições de regras ainda poderão estar em conformidade com a política. No entanto, como as regras extras fazem parte das regras que o Firewall Manager está gerenciando, o Firewall Manager as vê como violações das configurações atuais da política. Isso é diferente de como o Firewall Manager visualiza as regras personalizadas que você adiciona às ACLs de rede gerenciadas pelo Firewall Manager.

Práticas recomendadas para usar as políticas de ACL de rede do Firewall Manager

Esta seção lista recomendações para trabalhar com políticas de ACL de rede e ACLs de rede gerenciadas do Firewall Manager.

Consulte a FMManaged tag para identificar as ACLs de rede que são gerenciadas pelo Firewall Manager.

As ACLs de rede gerenciadas pelo Firewall Manager têm a FMManaged tag definida como. true Use essa tag para ajudar a distinguir suas próprias ACLs de rede personalizadas daquelas que você gerencia por meio do Firewall Manager.

Não modifique o valor da FMManaged tag em uma ACL de rede

O Firewall Manager usa essa tag para definir e determinar seu status de gerenciamento com uma ACL de rede.

Não modifique as associações para sub-redes que tenham ACLs de rede gerenciadas pelo Firewall Manager

Não altere manualmente as associações entre suas sub-redes e quaisquer ACLs de rede gerenciadas pelo Firewall Manager. Isso pode desativar a capacidade do Firewall Manager de gerenciar as proteções dessas sub-redes. Você pode identificar as ACLs de rede que são gerenciadas pelo Firewall Manager procurando as configurações de FMManaged tag dotrue.

Para remover uma sub-rede do gerenciamento de políticas do Firewall Manager, use as configurações do escopo da política do Firewall Manager para excluir a sub-rede. Por exemplo, você pode marcar a sub-rede e depois excluir essa tag do escopo da política. Para ter mais informações, consulte AWS Firewall Manager escopo da política.

Ao atualizar uma ACL de rede gerenciada, não modifique as regras gerenciadas pelo Firewall Manager

Em uma ACL de rede gerenciada pelo Firewall Manager, mantenha suas regras personalizadas separadas das regras de política seguindo o esquema de numeração descrito em. Regras e marcação de ACL de rede do Firewall Manager Adicione ou modifique somente regras que tenham números entre 5.000 e 32.000.

Evite adicionar muitas regras aos limites da sua conta

Durante a remediação de uma ACL de rede, o Firewall Manager geralmente aumenta temporariamente a contagem de regras de ACL de rede. Para evitar problemas de não conformidade, verifique se você tem espaço suficiente para as regras que está usando. Para ter mais informações, consulte Como o Firewall Manager corrige ACLs de rede gerenciada não compatíveis.

Comece com a correção automática desabilitada

Comece com a remediação automática desativada e, em seguida, revise as informações detalhadas da política para determinar os efeitos que a remediação automática teria. Quando você estiver satisfeito com as alterações, edite a política para habilitar a correção automática.

Advertências da política de ACL de rede do Firewall Manager

Esta seção lista as advertências e limitações do uso das políticas de ACL de rede do Firewall Manager.

  • Tempos de atualização mais lentos do que com outras políticas — O Firewall Manager geralmente aplica políticas de ACL de rede e alterações de políticas mais lentamente do que com outras políticas do Firewall Manager, devido às limitações na taxa na qual as APIs de ACL de rede do Amazon EC2 são capazes de processar solicitações. Você pode notar que as alterações de política demoram mais do que alterações semelhantes em outras políticas do Firewall Manager, especialmente quando você adiciona uma política pela primeira vez.

  • Para proteção inicial da sub-rede, o Firewall Manager prefere políticas mais antigas — isso se aplica somente às sub-redes que ainda não estão protegidas por uma política de ACL de rede do Firewall Manager. Se uma sub-rede entrar no escopo de mais de uma política de ACL de rede ao mesmo tempo, o Firewall Manager usará a política mais antiga para proteger a sub-rede.

  • Motivos para uma política parar de proteger uma sub-rede — Uma política que gerencia a rede ACL de uma sub-rede retém o gerenciamento até que uma das seguintes situações aconteça:

    • A sub-rede sai do escopo da política.

    • A política é excluída.

    • Você altera manualmente a associação da sub-rede a uma ACL de rede gerenciada por uma política diferente do Firewall Manager e da qual a sub-rede está no escopo.

Excluindo uma política de ACL de rede do Firewall Manager

Quando você exclui uma política de ACL de rede do Firewall Manager, o Firewall Manager altera os valores da FMManaged tag para false todas as ACLs de rede que está gerenciando para a política.

Além disso, você pode escolher se deseja limpar os recursos criados pela política. Se você escolher limpar, o Firewall Manager tentará as seguintes etapas na ordem:

  1. Colocar a associação de volta ao original — o Firewall Manager tenta associar a sub-rede de volta à ACL de rede à qual ela estava associada antes de o Firewall Manager começar a gerenciá-la.

  2. Remover a primeira e a última regras da ACL de rede — Se não conseguir alterar a associação, o Firewall Manager tentará remover a primeira e a última regra da política, deixando somente as regras personalizadas na ACL de rede associada à sub-rede.

  3. Não faça nada com as regras ou com a associação — Se não puder fazer nenhuma das coisas acima, o Firewall Manager deixa a ACL da rede e sua associação como estão.

Se você não escolher a opção de limpeza, precisará gerenciar manualmente cada ACL de rede após a exclusão da política. Para a maioria das situações, escolher a opção de limpeza é a abordagem mais simples.