Políticas de grupo de segurança - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Políticas de grupo de segurança comunsPolíticas de grupo de segurança de auditoria de conteúdoPolíticas de grupo de segurança de auditoria de usoMelhores práticas de política de grupo de segurançaAdvertências e limitações da política de grupo de segurançaCasos de uso da política de grupo de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de grupo de segurança

Você pode usar políticas AWS Firewall Manager de grupo de segurança para gerenciar grupos de segurança da Amazon Virtual Private Cloud para sua organização em AWS Organizations. Você pode aplicar políticas de grupo de segurança controladas centralmente a toda a organização ou a um subconjunto selecionado de suas contas e recursos. Você também pode monitorar e gerenciar as políticas de grupo de segurança que estão em uso na organização com políticas de grupo de segurança de auditoria e uso.

O Firewall Manager mantém continuamente suas políticas e as aplica a contas e recursos à medida que são adicionados ou atualizados em toda a organização. Para obter informações sobre AWS Organizations, consulte o Guia AWS Organizations do usuário.

Para obter informações sobre os grupos de segurança da Amazon Virtual Private Cloud, consulte Security Groups for VPC Your no Guia VPC do usuário da Amazon.

Você pode usar políticas de grupo de segurança do Firewall Manager para fazer o seguinte em toda a sua organização da AWS :

  • Aplique grupos de segurança comuns a contas e recursos especificados.

  • Audite as regras de grupo de segurança, para localizar e corrigir regras não compatíveis.

  • Audite o uso de grupos de segurança, para limpar grupos de segurança não utilizados e redundantes.

Esta seção aborda como as políticas de grupos de segurança do Firewall Manager funcionam e fornece orientações para usá-las. Para obter os procedimentos de criação de políticas de grupo de segurança, consulte Criação de uma AWS Firewall Manager política.

Políticas de grupo de segurança comuns

Com uma política de grupo de segurança comum, o Firewall Manager fornece uma associação controlada centralmente de grupos de segurança a contas e recursos em toda a sua organização. Você especifica onde e como aplicar a política em sua organização.

Você pode aplicar políticas de grupo de segurança comuns aos seguintes tipos de recursos:

  • Instância da Amazon Elastic Compute Cloud (AmazonEC2)

  • Interface de rede elástica

  • Application Load Balancer

  • Classic Load Balancer

Para obter orientação sobre como criar uma política de grupo de segurança comum usando o console, consulte Criar uma política de grupo de segurança comum.

Compartilhado VPCs

Nas configurações do escopo da política de uma política de grupo de segurança comum, você pode optar por incluir compartilhadaVPCs. Essa opção inclui VPCs aquelas pertencentes a outra conta e compartilhadas com uma conta dentro do escopo. VPCsque as contas dentro do escopo são sempre incluídas. Para obter informações sobre compartilhamentoVPCs, consulte Como trabalhar com o compartilhado VPCs no Guia VPC do usuário da Amazon.

As advertências a seguir se aplicam à inclusão de compartilhados. VPCs Essas são uma adição às advertências gerais para políticas de grupo de segurança em Advertências e limitações da política de grupo de segurança.

  • O Firewall Manager replica o grupo de segurança principal VPCs para cada conta dentro do escopo. Para um compartilhadoVPC, o Firewall Manager replica o grupo de segurança primário uma vez para cada conta dentro do escopo com a qual o VPC é compartilhado. Isso pode resultar em várias réplicas em um único compartilhamentoVPC.

  • Ao criar um novo compartilhadoVPC, você não o verá representado nos detalhes da política do grupo de segurança do Firewall Manager até criar pelo menos um recurso no VPC que esteja dentro do escopo da política.

  • Quando você desabilita o compartilhamento VPCs em uma política que tinha o compartilhamento VPCs ativado, no compartilhadoVPCs, o Firewall Manager exclui os grupos de segurança de réplica que não estão associados a nenhum recurso. O Firewall Manager mantém os grupos de segurança de réplica restantes no lugar, mas para de gerenciá-los. A remoção desses grupos de segurança restantes requer gerenciamento manual em cada VPC instância compartilhada.

Grupos de segurança primários

Para cada política de grupo de segurança comum, você AWS Firewall Manager fornece um ou mais grupos de segurança primários:

  • Os grupos de segurança primários devem ser criados pela conta de administrador do Firewall Manager e podem residir em qualquer VPC instância da Amazon na conta.

  • Você gerencia seus principais grupos de segurança por meio da Amazon Virtual Private Cloud (AmazonVPC) ou da Amazon Elastic Compute Cloud (AmazonEC2). Para obter informações, consulte Trabalhando com grupos de segurança no Guia VPC do usuário da Amazon.

  • Você pode nomear um ou mais grupos de segurança como primários para uma política de grupo de segurança do Firewall Manager. Por padrão, o número de grupos de segurança permitidos em uma política é um, mas você pode enviar uma solicitação para aumentá-lo. Para obter mais informações, consulte AWS Firewall Manager cotas.

Configurações de regras de política

Você pode escolher um ou mais dos seguintes comportamentos de controle de alteração para os grupos de segurança e recursos de sua política de grupo de segurança comum:

  • Identifique e relate quaisquer alterações feitas pelos usuários locais para grupos de segurança de réplica.

  • Desassocie quaisquer outros grupos de segurança dos AWS recursos que estão dentro do escopo da política.

  • Distribua tags do grupo primário para os grupos de segurança da réplica.

    Importante

    O Firewall Manager não distribuirá tags de sistema adicionadas pelos AWS serviços aos grupos de segurança de réplicas. As tags do sistema começam com o prefixo aws:. Além disso, o Firewall Manager não atualizará as tags dos grupos de segurança existentes nem criará novos grupos de segurança se a política tiver tags que entrem em conflito com a política de tags da organização. Para obter informações sobre políticas de tags, consulte Políticas de tags no Guia AWS Organizations do usuário.

  • Distribua referências do grupo de segurança do grupo primário para os grupos de segurança de réplica.

    Isso permite que você estabeleça facilmente regras comuns de referência de grupos de segurança em todos os recursos do escopo para instâncias associadas aos grupos de segurança especificados. VPC Quando você ativa essa opção, o Firewall Manager só propaga as referências do grupo de segurança se os grupos de segurança fizerem referência a grupos de segurança pares na Amazon Virtual Private Cloud. Se os grupos de segurança de réplica não referenciarem corretamente o grupo de segurança de mesmo nível, o Firewall Manager marcará esses grupos de segurança replicados como não compatíveis. Para obter informações sobre como referenciar grupos de segurança de mesmo nível na AmazonVPC, consulte Atualizar seus grupos de segurança para referenciar grupos de segurança de mesmo nível no Amazon VPC Peering Guide.

    Se você não habilitar essa opção, o Firewall Manager não propagará referências de grupos de segurança para os grupos de segurança de réplica. Para obter informações sobre VPC peering na AmazonVPC, consulte o Amazon VPC Peering Guide.

Criação e gerenciamento de políticas

Quando você cria sua política de grupo de segurança comum, o Firewall Manager replica os grupos de segurança primários para cada VPC instância da Amazon dentro do escopo da política e associa os grupos de segurança replicados às contas e recursos que estão no escopo da política. Quando você modifica um grupo de segurança primário, o Firewall Manager propaga a alteração para as réplicas.

Ao excluir uma política de grupo de segurança comum, você pode escolher se deseja limpar os recursos criados pela política. Para grupos de segurança comuns do Firewall Manager, esses recursos são os grupos de segurança de réplica. Escolha a opção de limpeza, a menos que você queira gerenciar manualmente cada réplica individual após a política ser excluída. Para a maioria das situações, escolher a opção de limpeza é a abordagem mais simples.

Como as réplicas são gerenciadas

Os grupos de segurança de réplica nas VPC instâncias da Amazon são gerenciados como outros grupos de VPC segurança da Amazon. Para obter informações, consulte Security Groups for Your VPC no Guia VPC do usuário da Amazon.

Políticas de grupo de segurança de auditoria de conteúdo

Use políticas de grupo de segurança de auditoria de AWS Firewall Manager conteúdo para auditar e aplicar ações de política às regras que estão em uso nos grupos de segurança da sua organização. As políticas de grupo de segurança de auditoria de conteúdo se aplicam a todos os grupos de segurança criados pelo cliente em uso na sua AWS organização, de acordo com o escopo definido na política.

Para obter orientação sobre como criar uma política de grupo de segurança de auditoria de conteúdo usando o console, consulte Criar uma política de grupo de segurança de auditoria de conteúdo.

Tipo de recurso do escopo da política

Você pode aplicar políticas de grupo de segurança de auditoria de conteúdo aos seguintes tipos de recursos:

  • Instância da Amazon Elastic Compute Cloud (AmazonEC2)

  • Interface de rede elástica

  • Grupo de VPC segurança da Amazon

Os grupos de segurança serão considerados no escopo da política se estiverem explicitamente no escopo ou se estiverem associados a recursos que estão no escopo.

Opções de regras de política

Você pode usar regras de política gerenciadas ou regras de política personalizadas para cada política de auditoria de conteúdo, mas não ambas.

  • Regras de políticas gerenciadas: em uma política com regras gerenciadas, você pode usar listas de aplicativos e protocolos para controlar quais regras o Firewall Manager audita e marca como compatíveis ou não compatíveis. Você pode usar listas gerenciadas pelo Firewall Manager. Você também pode criar e usar suas próprias listas de aplicativos e protocolos. Para obter informações sobre esses tipos de listas e suas opções de gerenciamento para listas personalizadas, consulte Listas gerenciadas.

  • Regras de política personalizadas: em uma política com regras de política personalizadas, você especifica um grupo de segurança existente como o grupo de segurança de auditoria para sua política. Você pode usar as regras do grupo de segurança de auditoria como um modelo que define as regras que o Firewall Manager audita e marca como compatíveis ou não compatíveis.

Grupos de segurança de auditoria

Você deve criar grupos de segurança de auditoria usando sua conta de administrador do Firewall Manager antes de poder usá-los em sua política. Você pode gerenciar grupos de segurança por meio da Amazon Virtual Private Cloud (AmazonVPC) ou da Amazon Elastic Compute Cloud (AmazonEC2). Para obter informações, consulte Trabalhando com grupos de segurança no Guia VPC do usuário da Amazon.

Um grupo de segurança que você usa para uma política de grupo de segurança de auditoria de conteúdo é usado pelo Firewall Manager apenas como referência de comparação para os grupos de segurança que estão no escopo da política. O Firewall Manager não o associa a nenhum recurso em sua organização.

A maneira como você define as regras no grupo de segurança de auditoria depende de sua escolha nas configurações de regras de política:

  • Regras de política gerenciadas: para configurações de regras de política gerenciadas, você usa um grupo de segurança de auditoria para substituir outras configurações na política, para permitir ou negar explicitamente regras que, de outra forma, poderiam ter outro resultado de conformidade.

    • Se você optar por sempre permitir as regras definidas no grupo de segurança de auditoria, qualquer regra que corresponda a uma definida no grupo de segurança de auditoria será considerada em conformidade com a política, independentemente das outras configurações de política.

    • Se você optar por sempre negar as regras definidas no grupo de segurança de auditoria, qualquer regra que corresponda a uma definida no grupo de segurança de auditoria será considerada em não conformidade com a política, independentemente das outras configurações de política.

  • Regras de política personalizadas: para configurações de regras de política personalizadas, o grupo de segurança de auditoria fornece o exemplo do que é aceitável ou não aceitável nas regras de grupo de segurança dentro do escopo:

    • Se você optar por permitir o uso das regras, todos os grupos de segurança no escopo deverão ter somente regras que estejam dentro do intervalo permitido das regras do grupo de segurança de auditoria da política. Nesse caso, as regras do grupo de segurança da política fornecem o exemplo do que é aceitável fazer.

    • Se você optar por negar o uso das regras, todos os grupos de segurança no escopo deverão ter somente regras que não estejam dentro do intervalo permitido das regras do grupo de segurança de auditoria da política. Nesse caso, o grupo de segurança da política fornece o exemplo do que não é aceitável fazer.

Criação e gerenciamento de políticas

Quando você cria uma política de grupo de segurança de auditoria, precisa ter a correção automática desativada. A prática recomendada é rever os efeitos da criação de políticas antes de habilitar a correção automática. Depois de analisar os efeitos esperados, você pode editar a política e habilitar a correção automática. Quando a correção automática está habilitada, o Firewall Manager atualiza ou remove regras que não são compatíveis em grupos de segurança no escopo.

Grupos de segurança afetados por uma política de grupo de segurança de auditoria

Todos os grupos de segurança em sua organização que são criados pelo cliente estão qualificados para estar no escopo de uma política de grupo de segurança de auditoria.

Os grupos de segurança de réplica não são criados pelo cliente e, portanto, não são qualificados para estar diretamente no escopo de uma política de grupo de segurança de auditoria. No entanto, eles podem ser atualizados como resultado das atividades de correção automática da política. O grupo de segurança primário de uma política de grupo de segurança comum é criado pelo cliente e pode estar no escopo de uma política de grupo de segurança de auditoria. Se uma política de grupo de segurança de auditoria fizer alterações em um grupo de segurança primário, o Firewall Manager propagará automaticamente essas alterações para as réplicas.

Políticas de grupo de segurança de auditoria de uso

Use políticas de grupo de segurança de auditoria de AWS Firewall Manager uso para monitorar sua organização em busca de grupos de segurança redundantes e não utilizados e, opcionalmente, realizar a limpeza. Quando você habilita a correção automática dessa política, o Firewall Manager faz o seguinte:

  1. Consolida grupos de segurança redundantes, se você tiver escolhido essa opção.

  2. Remove grupos de segurança não utilizados, se você tiver escolhido essa opção.

Você pode aplicar políticas de grupo de segurança de auditoria de uso ao seguinte tipo de recurso:

  • Grupo de VPC segurança da Amazon

Para obter orientação sobre como criar uma política de grupo de segurança de auditoria de uso usando o console, consulte Criar uma política de grupo de segurança de auditoria de uso.

Como o Firewall Manager detecta e corrige grupos de segurança redundantes

Para que os grupos de segurança sejam considerados redundantes, eles devem ter exatamente o mesmo conjunto de regras e estar na mesma instância da AmazonVPC.

Para corrigir um conjunto de grupo de segurança redundante, o Firewall Manager seleciona um dos grupos de segurança do conjunto para manter e o associa a todos os recursos associados aos outros grupos de segurança do conjunto. Em seguida, o Firewall Manager desassocia os outros grupos de segurança dos recursos aos quais eles estavam associados, o que os torna inutilizados.

nota

Se você também optou por remover grupos de segurança não utilizados, o Firewall Manager fará isso em seguida. Isso pode resultar na remoção dos grupos de segurança que estão no conjunto redundante.

Como o Firewall Manager detecta e corrige grupos de segurança não utilizados

O Firewall Manager considera que um grupo de segurança não é usado se ambas as afirmações a seguir forem verdadeiras:

  • O grupo de segurança não é usado por nenhuma EC2 instância da Amazon ou pela interface de rede EC2 elástica da Amazon.

  • O Firewall Manager não recebeu um item de configuração dentro do número de minutos especificado no período de tempo da regra de política.

O período de tempo da regra de política tem uma configuração padrão de zero minutos, mas você pode aumentar o tempo até 365 dias (525.600 minutos) para ter tempo de associar novos grupos de segurança aos recursos.

Importante

Se você especificar um número de minutos diferente do valor padrão de zero, deverá habilitar relacionamentos indiretos em AWS Config. Caso contrário, suas políticas de grupo de segurança de auditoria de uso não funcionarão conforme o esperado. Para obter informações sobre relacionamentos indiretos em AWS Config, consulte Relacionamentos indiretos AWS Config no Guia do AWS Config desenvolvedor.

O Firewall Manager corrige grupos de segurança não utilizados excluindo-os da sua conta de acordo com suas configurações de regras, se possível. Se o Firewall Manager não conseguir excluir um grupo de segurança, ele o marcará como não compatível com a política. O Firewall Manager não pode excluir um grupo de segurança referenciado por outro grupo de segurança.

O tempo da correção varia de acordo com o uso da configuração padrão do período ou de uma configuração personalizada:

  • Período de tempo definido como zero, o padrão — Com essa configuração, um grupo de segurança é considerado não utilizado assim que não está sendo usado por uma EC2 instância da Amazon ou por uma interface de rede elástica.

    Para essa configuração de período zero, o Firewall Manager corrige o grupo de segurança imediatamente.

  • Período de tempo maior que zero — Com essa configuração, um grupo de segurança é considerado não utilizado quando não está sendo usado por uma EC2 instância da Amazon ou por uma interface de rede elástica e o Firewall Manager não recebeu um item de configuração dentro do número especificado de minutos.

    Para a configuração de período de tempo diferente de zero, o Firewall Manager corrige o grupo de segurança depois que ele permanece no estado não utilizado por 24 horas.

Especificação de conta padrão

Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, o Firewall Manager escolhe Excluir as contas especificadas e incluir todas as outras automaticamente. O serviço coloca a conta de administrador do Firewall Manager na lista a ser excluída. Esta é a abordagem recomendada e permite que você gerencie manualmente os grupos de segurança que pertencem à conta de administrador do Firewall Manager.

Práticas recomendadas para políticas de grupo de segurança

Esta seção lista recomendações para gerenciar grupos de segurança usando o AWS Firewall Manager.

Excluir a conta de administrador do Firewall Manager

Ao definir o escopo da política, exclua a conta de administrador do Firewall Manager. Quando você cria uma política de grupo de segurança de auditoria de uso por meio do console, essa é a opção padrão.

Comece com a correção automática desabilitada

Para políticas de grupo de segurança de auditoria de conteúdo ou uso, comece com a correção automática desativada. Revise as informações de detalhes da política para determinar os efeitos que a correção automática teria. Quando você estiver satisfeito com as alterações, edite a política para habilitar a correção automática.

Evite conflitos se você também usar fontes externas para gerenciar grupos de segurança

Se você usa uma ferramenta ou serviço diferente do Firewall Manager para gerenciar os grupos de segurança, tenha cuidado para evitar conflitos entre as configurações do Firewall Manager e da sua fonte externa. Se você usa correção automática e as configurações são conflitantes, pode criar um ciclo de correções conflitantes que consomem recursos dos dois lados.

Por exemplo, digamos que você configure outro serviço para manter um grupo de segurança de um conjunto de recursos da AWS e configure uma política do Firewall Manager para manter um grupo de segurança diferente para alguns ou todos os mesmos recursos. Se você configurar um dos lados para não permitir que qualquer outro grupo de segurança seja associado aos recursos no escopo, esse lado removerá a associação de grupo de segurança que é mantida pelo outro lado. Se os dois lados estiverem configurados dessa maneira, você poderá acabar com um ciclo de dissociações e associações conflitantes.

Além disso, por exemplo, você pode criar uma política de auditoria do Firewall Manager para impor uma configuração de grupo de segurança que conflita com a configuração do grupo de segurança do outro serviço. A correção aplicada pela política de auditoria do Firewall Manager pode atualizar ou excluir esse grupo de segurança, deixando-o fora de conformidade para o outro serviço. Se o outro serviço estiver configurado para monitorar e corrigir automaticamente quaisquer problemas encontrados, ele recriará ou atualizará o grupo de segurança, deixando-o novamente fora de conformidade com a política de auditoria do Firewall Manager. Se a política de auditoria do Firewall Manager estiver configurada para a correção automática, ela atualizará ou excluirá novamente o grupo de segurança externo e assim por diante.

Para evitar conflitos como esses, crie configurações que são mutuamente exclusivas entre o Firewall Manager e quaisquer fontes externas.

Você pode usar a marcação de tags para excluir os grupos de segurança externos da correção automática das suas políticas do Firewall Manager. Para fazer isso, adicione uma ou mais tags aos grupos de segurança ou outros recursos que são gerenciados pela origem externa. Depois, ao definir o escopo da política do Firewall Manager, na especificação dos recursos, exclua aqueles que tenham a tag ou as tags adicionadas.

Da mesma forma, na sua ferramenta ou serviço externo, exclua os grupos de segurança que o Firewall Manager gerencia de qualquer atividade de gerenciamento ou auditoria. Não importe os recursos do Firewall Manager ou use tags específicas do Firewall Manager para excluí-los do gerenciamento externo.

Melhores práticas para políticas de grupo de segurança de auditoria de uso

Siga essas diretrizes ao usar políticas de grupo de segurança de auditoria de uso.

  • Evite fazer várias alterações no status de associação de um grupo de segurança em um curto espaço de tempo, como em uma janela de 15 minutos. Isso pode fazer com que o Firewall Manager perca alguns ou todos os eventos correspondentes. Por exemplo, não associe e desassocie rapidamente um grupo de segurança com uma interface de rede elástica.

Advertências e limitações da política de grupo de segurança

Esta seção lista as advertências e limitações do uso das políticas de grupo de segurança do Firewall Manager.

Tipo de recurso: EC2 instância da Amazon

Esta seção lista as advertências e limitações para proteger as EC2 instâncias da Amazon com as políticas de grupo de segurança do Firewall Manager.

  • Com grupos de segurança que protegem as interfaces de rede EC2 elástica da Amazon (ENIs), as alterações em um grupo de segurança não são imediatamente visíveis para o Firewall Manager. O Firewall Manager geralmente detecta alterações em algumas horas, mas a detecção pode demorar até seis horas.

  • O Firewall Manager não oferece suporte a grupos de segurança da Amazon EC2 ENIs que foram criados pelo Amazon Relational Database Service.

  • O Firewall Manager não suporta a atualização de grupos de segurança para a Amazon EC2 ENIs que foram criados usando o tipo de serviço Fargate. No entanto, você pode atualizar os grupos de segurança da Amazon ECS ENIs com o tipo EC2 de serviço Amazon.

  • Para políticas comuns de grupos de segurança, essas ressalvas dizem respeito à interação entre o número de interfaces de rede elásticas (ENIs) anexadas à EC2 instância e a opção de política que especifica se deve remediar somente EC2 instâncias sem anexos adicionados ou remediar todas as instâncias. Cada EC2 instância tem um primário ENI padrão e você pode anexar maisENIs. NoAPI, a configuração da opção de política para essa escolha éApplyToAllEC2InstanceENIs.

    Se uma EC2 instância dentro do escopo tiver ENIs anexos adicionais e a política estiver configurada para incluir somente EC2 instâncias com apenas a primáriaENI, o Firewall Manager não tentará nenhuma correção para a EC2 instância. Além disso, se a instância sair do escopo da política, o Firewall Manager não tentará desassociar nenhuma associação de grupos de segurança que possa ter estabelecido para a instância.

    Nos seguintes casos extremos, durante a limpeza de recursos, o Firewall Manager pode deixar as associações replicadas de grupos de segurança intactas, independentemente das especificações de limpeza de recursos da política:

    • Quando uma instância com adicional ENIs foi corrigida anteriormente por uma política que foi configurada para incluir todas as EC2 instâncias e, em seguida, a instância saiu do escopo da política ou a configuração da política foi alterada para incluir somente instâncias sem adicionaisENIs.

    • Quando uma instância sem nenhum adicional ENIs foi corrigida por uma política que foi configurada para incluir somente instâncias sem nenhum adicionalENIs, outra ENI foi anexada à instância e, em seguida, a instância saiu do escopo da política.

Outras ressalvas e limitações

A seguir estão algumas advertências e limitações das políticas de grupo de segurança do Firewall Manager.

  • A atualização da Amazon só ECS ENIs é possível para ECS serviços da Amazon que usam o controlador de implantação de atualização contínua (AmazonECS). Para outros controladores de ECS implantação da Amazon, como CODE _ DEPLOY ou controladores externos, o Firewall Manager atualmente não pode atualizar o. ENIs

  • O Firewall Manager não oferece suporte à atualização de grupos de segurança ENIs para balanceadores de carga de rede.

  • Em políticas de grupo de segurança comuns, se um compartilhamento VPC for posteriormente descompartilhado com uma conta, o Firewall Manager não excluirá os grupos de segurança de réplica na conta.

  • Com as políticas de grupo de segurança de auditoria de uso, se você criar várias políticas com uma configuração de tempo de atraso personalizada, todas com o mesmo escopo, a primeira política com constatações de conformidade será a política que relata as descobertas.

Casos de uso da política de grupo de segurança

Você pode usar políticas AWS Firewall Manager comuns de grupos de segurança para automatizar a configuração do firewall do host para comunicação entre VPC instâncias da Amazon. Esta seção lista as VPC arquiteturas padrão da Amazon e descreve como proteger cada uma usando as políticas comuns de grupos de segurança do Firewall Manager. Essas políticas de grupo de segurança podem ajudar você a aplicar um conjunto unificado de regras para selecionar recursos em contas diferentes e evitar configurações por conta no Amazon Elastic Compute Cloud e na Amazon. VPC

Com as políticas de grupo de segurança comuns do Firewall Manager, você pode marcar apenas as interfaces de rede EC2 elásticas necessárias para comunicação com instâncias em outra AmazonVPC. As outras instâncias na mesma Amazon VPC são então mais seguras e isoladas.

Caso de uso: monitoramento e controle de solicitações para Application Load Balancers e Classic Load Balancers

Você pode usar uma política de grupo de segurança comum do Firewall Manager para definir quais solicitações seus balanceadores de carga dentro do escopo devem atender. Você pode configurar isso por meio do console do Firewall Manager. Somente solicitações que estejam em conformidade com as regras de entrada do grupo de segurança podem alcançar seus balanceadores de carga, e os balanceadores de carga distribuirão somente solicitações que atendam às regras de saída.

Caso de uso: Amazon pública, acessível pela Internet VPC

Você pode usar uma política de grupo de segurança comum do Firewall Manager para proteger uma Amazon públicaVPC, por exemplo, para permitir somente a porta de entrada 443. Isso é o mesmo que permitir apenas HTTPS tráfego de entrada para um públicoVPC. Você pode marcar recursos públicos dentro do VPC (por exemplo, como “Público VPC “) e, em seguida, definir o escopo da política do Firewall Manager para somente recursos com essa tag. O Firewall Manager aplica automaticamente a política a esses recursos.

Caso de uso: VPC instâncias públicas e privadas da Amazon

Você pode usar a mesma política de grupo de segurança comum para recursos públicos, conforme recomendado no caso de uso anterior para instâncias públicas da Amazon acessíveis pela Internet. VPC Você pode usar uma segunda política de grupo de segurança comum para limitar a comunicação entre os recursos públicos e os privados. Marque os recursos nas VPC instâncias públicas e privadas da Amazon com algo como PublicPrivate "" para aplicar a segunda política a eles. Você pode usar uma terceira política para definir a comunicação permitida entre os recursos privados e outras VPC instâncias corporativas ou privadas da Amazon. Para essa política, você pode usar outra tag de identificação nos recursos privados.

Caso de uso: VPC instâncias Hub and spoke da Amazon

Você pode usar uma política de grupo de segurança comum para definir as comunicações entre a VPC instância hub da Amazon e as VPC instâncias spoke da Amazon. Você pode usar uma segunda política para definir a comunicação de cada instância do Spoke Amazon com a VPC VPC instância hub da Amazon.

Caso de uso: interface de rede padrão para EC2 instâncias da Amazon

Você pode usar uma política de grupo de segurança comum para permitir somente comunicações padrão, por exemplo, serviços internos SSH e de atualização de patch/sistema operacional, e para proibir outras comunicações inseguras.

Caso de uso: identificar recursos com permissões abertas

Você pode usar uma política de grupo de segurança de auditoria para identificar todos os recursos em sua organização que têm permissão para se comunicar com endereços IP públicos ou que têm endereços IP que pertencem a fornecedores de terceiros.