AWS Network Firewall políticas - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Configurar o registro em log para uma política de Network Firewall

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Network Firewall políticas

Você pode usar políticas de Firewall de AWS Firewall Manager Rede para gerenciar AWS Network Firewall firewalls para suas VPCs da Amazon Virtual Private Cloud em toda a sua organização em. AWS Organizations Você pode aplicar firewalls controlados centralmente a toda a organização ou a um subconjunto selecionado de suas contas e VPCs.

O Network Firewall fornece proteções de filtragem de tráfego de rede para as sub-redes públicas em suas VPCs. O Firewall Manager cria e gerencia seus firewalls com base no tipo de gerenciamento de firewall definido pela sua política. O Firewall Manager fornece os seguintes modelos de gerenciamento de firewall:

  • Distribuído: para cada conta e VPC dentro do escopo da política, o Firewall Manager cria um firewall do Network Firewall e implanta endpoints de firewall em sub-redes de VPC para filtrar o tráfego da rede.

  • Centralizado: o Firewall Manager cria um único firewall de Network Firewall em um único Amazon VPC.

  • Importar firewalls existentes: o Firewall Manager importa firewalls existentes para gerenciamento em uma única política do Firewall Manager. Você pode aplicar regras adicionais aos firewalls importados gerenciados pela sua política para garantir que seus firewalls atendam aos seus padrões de segurança.

nota

As políticas do Firewall Manager são políticas do Firewall Manager que você usa para gerenciar as proteções do Network Firewall para suas VPCs em toda a organização.

As proteções do Network Firewall são especificadas em recursos no serviço Network Firewall que são chamados de políticas de firewall.

Para obter mais informações sobre o uso do Network Firewall, consulte o Guia do desenvolvedor do AWS Network Firewall.

As seções a seguir abordam os requisitos para o uso das políticas de Network Firewall do Firewall Manager e descrevem como as políticas funcionam. Para obter o procedimento para criar a política, consulte Criação de uma AWS Firewall Manager política para AWS Network Firewall.

Você deve habilitar o compartilhamento de recursos

Uma política do Network Firewall compartilha grupos de regras do Network Firewall entre as contas da sua organização. Para que isso funcione, você deve ter o compartilhamento de recursos habilitado para AWS Organizations. Para obter informações sobre como habilitar o compartilhamento de recursos, consulte Compartilhamento de recursos para políticas de Network Firewall e Firewall DNS.

Você deve ter seus grupos de regras do Network Firewall definidos

Ao especificar uma nova política de Firewall de Rede, você define a política de firewall da mesma forma que você faz quando está usando AWS Network Firewall diretamente. Você especifica os grupos de regras sem estado a serem adicionados, as ações sem estado padrão e os grupos de regras com estado. Seus grupos de regras já devem existir na conta de administrador do Firewall Manager para que você possa incluí-los na política. Para obter informações sobre criar grupos de regras do Network Firewall, consulte Grupos de regras do AWS Network Firewall.

Como o Firewall Manager cria endpoints de firewall

O Tipo de gerenciamento de firewall em sua política determina como o Firewall Manager cria firewalls. Sua política pode criar firewalls distribuídos, um firewall centralizado ou você pode importar firewalls existentes:

  • Distribuído: com o modelo de implantação distribuído, o Firewall Manager cria endpoints para cada VPC que está dentro do escopo da política. Você pode personalizar a localização do endpoint especificando em quais zonas de disponibilidade criar endpoints de firewall, ou o Firewall Manager pode criar automaticamente endpoints nas zonas de disponibilidade com sub-redes públicas. Se você escolher manualmente as zonas de disponibilidade, terá a opção de restringir o conjunto de CIDRs permitidos por zona de disponibilidade. Se você decidir permitir que o Firewall Manager crie automaticamente os endpoints, você também deverá especificar se o serviço criará um único endpoint ou vários endpoints de firewall em suas VPCs.

    • Para vários endpoints de firewall, o Firewall Manager implanta um endpoint de firewall em cada zona de disponibilidade em que você tem uma sub-rede com um gateway da Internet ou uma rota de endpoint de firewall criada pelo Firewall Manager na tabela de rotas. Essa é a opção padrão para uma política do Network Firewall.

    • Para um único endpoint de firewall, o Firewall Manager implanta um endpoint de firewall em uma zona de disponibilidade única em qualquer sub-rede que tenha uma rota de gateway da Internet. Com essa opção, o tráfego em outras zonas precisa cruzar os limites da zona para ser filtrado pelo firewall.

      nota

      Para essas duas opções, deve haver uma sub-rede associada a uma tabela de rotas que tenha uma rota IPv4/prefixlist nela. O Firewall Manager não verifica se há outros recursos.

  • Centralizado: com o modelo de implantação centralizado, o Firewall Manager cria um ou mais endpoints de firewall em uma VPC de inspeção. Uma VPC de inspeção é uma VPC central em que o Firewall Manager inicia seus endpoints. Ao usar o modelo de implantação centralizado, você também especifica em quais zonas de disponibilidade criar endpoints de firewall. Você não pode alterar o VPC de inspeção depois de criar sua política. Para usar uma VPC de inspeção diferente, crie uma nova política.

  • Importar firewalls existentes: ao importar firewalls existentes, você escolhe os firewalls a serem gerenciados em sua política adicionando um ou mais conjuntos de recursos à sua política. Um conjunto de recursos é uma coleção de recursos, neste caso firewalls existentes no Network Firewall, que são gerenciados por uma conta na sua organização. Antes de usar conjuntos de recursos em sua política, você deve primeiro criar um conjunto de recursos. Para obter mais informações sobre conjuntos de recursos do Firewall Manager, consulte Trabalhar com conjuntos de recursos no Firewall Manager.

    Tenha em mente as seguintes considerações ao trabalhar com firewalls importados:

    • Se um firewall importado não estiver em conformidade, o Firewall Manager tentará resolver automaticamente a violação, exceto nas seguintes circunstâncias:

      • Se houver uma incompatibilidade entre as ações padrão com ou sem estado da política do Network Firewall e do Firewall Manager.

      • Se um grupo de regras em uma política de firewall importado tiver a mesma prioridade que um grupo de regras na política do Firewall Manager.

      • Se um firewall importado usa uma política de firewall associada a um firewall que não faz parte do conjunto de recursos da política. Isso pode acontecer porque um firewall pode ter exatamente uma política de firewall, mas uma única política de firewall pode ser associada a vários firewalls.

      • Se um grupo de regras preexistente pertencente à política de firewall de um firewall importado, que também está especificado na política do Firewall Manager, receber uma prioridade diferente.

    • Se você habilitar a limpeza de recursos na política, o Firewall Manager removerá os grupos de regras que estavam na política de importação do FMS dos firewalls no escopo do conjunto de recursos.

    • Os firewalls gerenciados por um tipo de gerenciamento existente importado pelo do Firewall Manager só podem ser gerenciados por uma política por vez. Se o mesmo conjunto de recursos for adicionado a várias políticas do Network Firewall de importação, os firewalls no conjunto de recursos serão gerenciados pela primeira política à qual o conjunto de recursos foi adicionado e serão ignorados pela segunda política.

    • No momento, o Firewall Manager não transmite configurações de política de exceção de fluxo. Para obter informações sobre políticas de exceção de fluxo, consulte Política de exceção de fluxo no Guia do desenvolvedor do AWS Network Firewall .

Se você alterar a lista de zonas de disponibilidade para políticas usando gerenciamento de firewall distribuído ou centralizado, o Firewall Manager tentará limpar todos os endpoints que foram criados no passado, mas que não estão atualmente no escopo da política. O Firewall Manager removerá o endpoint somente se não houver rotas da tabela de rotas que façam referência ao endpoint fora do escopo. Se o Firewall Manager descobrir que não é possível excluir esses endpoints, ele marcará a sub-rede do firewall como não compatível e continuará tentando remover o endpoint até que seja seguro excluí-lo.

Como o Firewall Manager gerencia suas sub-redes de firewall

As sub-redes de firewall são as sub-redes VPC que o Firewall Manager cria para os endpoints de firewall que filtram seu tráfego de rede. Cada endpoint de firewall deve ser implantado em uma sub-rede VPC dedicada. O Firewall Manager cria pelo menos uma sub-rede de firewall em cada VPC que está dentro do escopo da política.

Para políticas que usam o modelo de implantação distribuído com configuração automática de endpoint, o Firewall Manager cria apenas sub-redes de firewall em zonas de disponibilidade que têm uma sub-rede com uma rota de gateway da Internet ou uma sub-rede com uma rota para os endpoints de firewall que o Firewall Manager criou para sua política. Para obter mais informações, consulte VPCs e sub-redes no Manual do usuário da Amazon VPC.

Para políticas que usam o modelo distribuído ou centralizado em que você especifica em quais zonas de disponibilidade o Firewall Manager cria os endpoints do firewall, o Firewall Manager cria um endpoint nessas zonas de disponibilidade específicas, independentemente de haver outros recursos na zona de disponibilidade.

Ao definir pela primeira vez uma política do Network Firewall, você especifica como o Firewall Manager gerencia as sub-redes do firewall em cada uma das VPCs que estão no escopo. Não é possível alterar essa opção mais tarde.

Para políticas que usam o modelo de implantação distribuído com configuração automática de endpoint, você pode escolher entre as seguintes opções:

  • Implante uma sub-rede de firewall para cada zona de disponibilidade que tenha sub-redes públicas. Esse é o comportamento padrão. Isso fornece alta disponibilidade de suas proteções de filtragem de tráfego.

  • Implemente uma sub-rede de firewall única em uma zona de disponibilidade. Com essa opção, o Firewall Manager identifica uma zona na VPC que tem a maioria das sub-redes públicas e cria a sub-rede do firewall lá. O endpoint de firewall único filtra todo o tráfego de rede para a VPC. Isso pode reduzir os custos do firewall, mas não está altamente disponível e exige que o tráfego de outras zonas ultrapasse os limites da zona para ser filtrado.

Para políticas que usam o modelo de implantação distribuído com configuração de endpoint personalizada ou o modelo de implantação centralizado, o Firewall Manager cria as sub-redes nas zonas de disponibilidade especificadas que estão dentro do escopo da política.

Você pode fornecer blocos CIDR da VPC para o Firewall Manager usar nas sub-redes do firewall ou deixar que o Firewall Manager determine os endereços de endpoint do firewall.

  • Se você não fornecer blocos CIDR, o Firewall Manager consulta suas VPCs em busca de endereços IP disponíveis para uso.

  • Se você fornecer uma lista de blocos CIDR, o Firewall Manager pesquisará novas sub-redes somente nos blocos CIDR que você fornecer. Você deve usar blocos CIDR /28. Para cada sub-rede de firewall criada pelo Firewall Manager, ele percorre sua lista de bloqueios de CIDR e usa a primeira que achar aplicável à zona de disponibilidade e à VPC e que tenha endereços disponíveis. Se o Firewall Manager não conseguir encontrar espaço aberto na VPC (com ou sem a restrição), o serviço não criará um firewall na VPC.

Se o Firewall Manager não conseguir criar uma sub-rede de firewall necessária em uma zona de disponibilidade, ele marcará a sub-rede como não compatível com a política. Enquanto a zona estiver nesse estado, o tráfego da zona deve cruzar os limites da zona para ser filtrado por um endpoint em outra zona. Isso é semelhante ao cenário de sub-rede de firewall única.

Como o Firewall Manager gerencia seus recursos do Network Firewall

Ao definir a política no Firewall Manager, você fornece o comportamento de filtragem de tráfego de rede de uma política de AWS Network Firewall firewall padrão. Você adiciona grupos de regras do Network Firewall sem estado e com estado e especifica ações padrão para pacotes que não correspondem a nenhuma regra sem estado. Para obter informações sobre como trabalhar com políticas de firewall em AWS Network Firewall, consulte as políticas de AWS Network Firewall firewall.

Para políticas distribuídas e centralizadas, quando você salva a política do Network Firewall, o Firewall Manager cria um firewall e uma política de firewall em cada VPC que está dentro do escopo da política. O Firewall Manager nomeia esses recursos do Network Firewall concatenando os seguintes valores:

  • Uma string fixa, FMManagedNetworkFirewall ou FMManagedNetworkFirewallPolicy, dependendo do tipo de recurso.

  • Nome da política do Firewall Manager. Esse é o nome que você atribui ao criar a política.

  • ID da política do Firewall Manager. Esse é o ID do AWS recurso para a política do Firewall Manager.

  • ID da Amazon VPC. Esse é o ID do AWS recurso para a VPC em que o Firewall Manager cria o firewall e a política de firewall.

Veja a seguir um exemplo de nome para um firewall gerenciado pelo Firewall Manager:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Veja a seguir um exemplo de nome de política de firewall:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Depois de criar a política, as contas membros nas VPCs não podem substituir suas configurações de política de firewall ou seus grupos de regras, mas podem adicionar grupos de regras à política de firewall que o Firewall Manager criou.

Como o Firewall Manager gerencia e monitora tabelas de rotas da VPC para sua política

nota

Atualmente, o gerenciamento de tabela de rotas não é suportado por políticas que usam o modelo de implantação centralizado.

Quando o Firewall Manager cria seus endpoints de firewall, ele também cria as tabelas de rotas da VPC para eles. No entanto, o Firewall Manager não gerencia suas tabelas de rotas de VPC. Você deve configurar suas tabelas de rotas de VPC para direcionar o tráfego de rede para os endpoints de firewall criados pelo Firewall Manager. Usando os aprimoramentos do roteamento de entrada do Amazon VPC, altere suas tabelas de rotas para rotear o tráfego pelos novos endpoints do firewall. Suas alterações devem inserir os endpoints do firewall entre as sub-redes que você deseja proteger e os locais externos. O roteamento exato que você precisa fazer depende da sua arquitetura e de seus componentes.

Atualmente, o Firewall Manager permite monitorar as rotas da tabela de rotas da VPC para qualquer tráfego destinado ao gateway da Internet que esteja contornando o firewall. O Firewall Manager não oferece suporte a outros gateways de destino, como gateways NAT.

Para obter informações sobre o gerenciamento de tabelas de rotas para sua VPC, consulte Gerenciamento de tabelas de rotas para sua VPC no Guia do usuário da Amazon Virtual Private Cloud. Para obter informações sobre como gerenciar suas tabelas de rotas para o Network Firewall, consulte Configurações da tabela de rotas AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall .

Quando você ativa o monitoramento de uma política, o Firewall Manager monitora continuamente as configurações de rotas da VPC e alerta você sobre o tráfego que ignora a inspeção do firewall dessa VPC. Se uma sub-rede tiver uma rota de endpoint de firewall, o Firewall Manager procurará as seguintes rotas:

  • Rotas para enviar tráfego para o endpoint do Network Firewall.

  • Rotas para encaminhar o tráfego do endpoint do Network Firewall para o gateway da Internet.

  • Rotas de entrada do gateway da Internet para o endpoint do Network Firewall.

  • Rotas da sub-rede do firewall.

Se uma sub-rede tiver uma rota de Network Firewall, mas houver roteamento assimétrico no Network Firewall e na tabela de rotas do gateway da Internet, o Firewall Manager reportará a sub-rede como não compatível. O Firewall Manager também detecta rotas para o gateway da Internet na tabela de rotas do firewall que o Firewall Manager criou, bem como na tabela de rotas da sua sub-rede, e as relata como em não conformidade. Rotas adicionais na tabela de rotas de sub-rede do Network Firewall e na tabela de rotas do gateway da Internet também são relatadas como em não conformidade. Dependendo do tipo de violação, o Firewall Manager sugere ações de remediação para que a configuração da rota fique em conformidade. O Firewall Manager não oferece sugestões em todos os casos. Por exemplo, se a sub-rede do seu cliente tiver um endpoint de firewall criado fora do Firewall Manager, o Firewall Manager não sugere ações de correção.

Por padrão, o Firewall Manager marcará qualquer tráfego que cruze o limite da zona de disponibilidade para inspeção como em não conformidade. No entanto, se você optar por criar automaticamente um único endpoint em sua VPC, o Firewall Manager não marcará o tráfego que cruza o limite da zona de disponibilidade como em não conformidade.

Para políticas que usam modelos de implantação distribuídos com configuração de endpoint personalizada, você pode escolher se o tráfego que cruza o limite da zona de disponibilidade a partir de uma zona de disponibilidade sem um endpoint de firewall é marcado como em conformidade ou em não conformidade.

nota

  • O Firewall Manager não sugere ações de remediação para rotas não IPv4, como IPv6 e rotas de lista de prefixos.

  • As chamadas feitas usando a chamada de API DisassociateRouteTable podem levar até 12 horas para serem detectadas.

  • O Firewall Manager cria uma tabela de rotas do Network Firewall para uma sub-rede que contém os endpoints do firewall. O Firewall Manager presume que essa tabela de rotas contém somente um gateway da Internet válido e rotas padrão de VPC. Qualquer rota extra ou inválida nessa tabela de rotas é considerada em não conformidade.

Quando você configura sua política do Firewall Manager, se escolher o modo Monitor, o Firewall Manager fornece detalhes de violação e remediação de recursos sobre seus recursos. Você pode usar essas ações de remediação sugeridas para corrigir problemas de rota em suas tabelas de rotas. Se você escolher o modo Desativado, o Firewall Manager não monitorará o conteúdo da tabela de rotas para você. Com essa opção, você mesmo gerencia suas tabelas de rotas da VPC. Para obter mais informações sobre essas violações de recursos, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política.

Atenção

Se você escolher Monitor na configuração de AWS Network Firewall rotas ao criar sua política, não poderá desativá-lo para essa política. No entanto, se você escolher Desativado, poderá ativá-lo mais tarde.

Configurando o registro em log para uma política AWS Network Firewall

Você pode habilitar o registro em log centralizado para suas políticas de Network Firewall para obter informações detalhadas sobre o tráfego em sua organização. Você pode selecionar o registro em log do fluxo para capturar o fluxo de tráfego da rede ou o registro em log de alertas para relatar o tráfego que corresponda a uma regra com a ação da regra definida como DROP ou ALERT. Para obter mais informações sobre registro em log AWS Network Firewall , consulte Registrar tráfego de rede do AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall .

Você envia logs dos firewalls da política do Network Firewall para um bucket do Amazon S3. Depois de ativar o registro, AWS Network Firewall entrega os registros para cada Firewall de Rede configurado atualizando as configurações do firewall para entregar os registros aos buckets selecionados do Amazon S3 com o prefixo reservado AWS Firewall Manager ,. <policy-name>-<policy-id>

nota

Esse prefixo é usado pelo Firewall Manager para determinar se uma configuração de registro em log foi adicionada pelo Firewall Manager ou se foi adicionada pelo proprietário da conta. Se o proprietário da conta tentar usar o prefixo reservado para seu próprio registro em log personalizado, ele será substituído pela configuração de registro em log na política do Firewall Manager.

Para obter mais informações sobre como criar um bucket do Amazon S3 e revisar os logs armazenados, consulte O que é o Amazon S3? no Guia do usuário do Amazon Simple Storage Service.

Você deve atender aos seguintes requisitos para habilitar o registro em log:

  • O Amazon S3 que você especificar em sua política do Firewall Manager deve existir.

  • Você deve ter as seguintes permissões:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Se o bucket do Amazon S3 que é seu destino de registro usa criptografia do lado do servidor com chaves armazenadas AWS Key Management Service, você deve adicionar a seguinte política à sua AWS KMS chave gerenciada pelo cliente para permitir que o Firewall Manager faça login no seu grupo de registros de registros: CloudWatch 

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Observe que somente os buckets na conta de administrador do Firewall Manager podem ser usados para o registro em log central do AWS Network Firewall .

Quando você habilita o registro em log centralizado em uma política de Network Firewall, o Firewall Manager executa as seguintes ações em sua conta:

  • O Firewall Manager atualiza as permissões nos buckets do S3 selecionados para permitir a entrega de logs.

  • O Firewall Manager cria diretórios no bucket do S3 para cada conta membro no escopo da política. Os logs de cada conta podem ser encontrados em <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

Para habilitar o registro em log para uma política de Network Firewall

  1. Crie um bucket do Amazon S3 usando sua conta de administrador do Firewall Manager. Para obter mais informações, consulte Criar um bucket no Guia do usuário do Amazon Simple Storage Service.

  2. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  3. No painel de navegação, escolha Políticas de segurança.

  4. Selecione a política de Network Firewall para a qual você deseja habilitar o registro em log. Para obter mais informações sobre AWS Network Firewall registro, consulte Registro do tráfego de rede AWS Network Firewall no Guia do AWS Network Firewall desenvolvedor.

  5. Na guia Detalhes da política, na seção Regras da política, escolha Editar.

  6. Para ativar e agregar logs, escolha uma ou mais opções em Configuração de registro em log:

    • Habilitar e agregar logs de fluxo

    • Habilitar e agregar logs de alerta

  7. Escolha o bucket do Amazon S3 no qual você quer que seus logs sejam entregues. Você deve escolher um bucket para cada tipo de log habilitado. Você pode usar o mesmo bucket para os dois tipos de log.

  8. (Opcional) Se você quiser que o registro em log personalizado criado pela conta do membro seja substituído pela configuração de registro em log da política, escolha Substituir configuração de registro em log existente.

  9. Escolha Próximo.

  10. Revise suas configurações e escolha Salvar para salvar suas alterações na política.

Para desativar o registro em log de uma política de Network Firewall

  1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    nota

    Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

  2. No painel de navegação, escolha Políticas de segurança.

  3. Selecione a política de Network Firewall para a qual você deseja desabilitar o registro em log.

  4. Na guia Detalhes da política, na seção Regras da política, escolha Editar.

  5. Em Status da configuração de registro em log, desmarque Habilitar e agregar logs de fluxo e Habilitar e agregar logs de alerta, se estiverem selecionados.

  6. Escolha Próximo.

  7. Revise suas configurações e escolha Salvar para salvar suas alterações na política.