AWS Shield Advanced políticas - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Como o Firewall Manager gerencia web ACLs não associadasMudanças no escopo das políticas do Shield AdvancedMitigação automática da camada de aplicativosDeterminar a versão de AWS WAF usada por uma política do Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Shield Advanced políticas

Em uma AWS Shield política do Firewall Manager, você escolhe os recursos que deseja proteger. Quando você aplica a política com a correção automática ativada, para cada recurso no escopo que ainda não está associado a uma ACL da AWS WAF web, o Firewall Manager associa uma ACL da web vazia. AWS WAF A web ACL vazia é usada para fins de monitoramento do Shield. Se você então associar qualquer outra web ACL ao recurso, o Firewall Manager removerá a associação vazia da web ACL.

nota

Quando um recurso que está no escopo de uma AWS WAF política entra no escopo de uma política Shield Advanced configurada com mitigação automática de DDoS na camada de aplicação, o Firewall Manager aplica a proteção Shield Advanced somente após associar a Web ACL criada pela política. AWS WAF

Como AWS Firewall Manager gerencia ACLs da web não associadas nas políticas do Shield

Você pode configurar se o Firewall Manager gerencia ACLs da Web não associadas para você por meio da configuração Gerenciar ACLs da Web não associadas na sua política ou da optimizeUnassociatedWebACLs configuração do tipo de SecurityServicePolicyDatadados na API. Se você habilitar o gerenciamento de web ACLs não associadas em sua política, o Firewall Manager criará web ACLs nas contas dentro do escopo da política somente se as web ACLs forem usadas por pelo menos um recurso. Se, a qualquer momento, uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma web ACL na conta se pelo menos um recurso usar a web ACL.

Quando você habilita o gerenciamento de web ACLs não associadas, o Firewall Manager executa uma limpeza única das web ACLs não associadas na sua conta. O processo de limpeza pode levar várias horas. Se um recurso sair do escopo da política depois que o Firewall Manager criar uma web ACL, o Firewall Manager não desassociará o recurso da web ACL. Se você quiser que o Firewall Manager limpe a web ACL, primeiro desassocie manualmente os recursos da web ACL e, em seguida, habilite a opção gerenciar web ACLs não associadas em sua política.

Se você não habilitar essa opção, o Firewall Manager não gerenciará web ACLs não associadas, e o Firewall Manager criará automaticamente uma web ACL em cada conta que esteja dentro do escopo da política.

Como AWS Firewall Manager gerencia as mudanças de escopo nas políticas da Shield

Contas e recursos podem sair do escopo de uma política AWS Firewall Manager do Shield Advanced devido a várias alterações, como alterações nas configurações do escopo da política, alterações nas tags em um recurso e a remoção de uma conta de uma organização. Para obter informações gerais sobre as configurações do escopo da política, consulte AWS Firewall Manager escopo da política.

Com uma política AWS Firewall Manager Shield Advanced, se uma conta ou recurso sair do escopo, o Firewall Manager interrompe o monitoramento da conta ou do recurso.

Se uma conta sair do escopo ao ser removida da organização, ela continuará inscrita no Shield Advanced. Como a conta não faz mais parte da família de faturamento consolidado, a conta terá uma taxa de assinatura pro-rata do Shield Advanced. Por outro lado, uma conta que está fora do escopo, mas permanece na organização, não incorre em taxas adicionais.

Se um recurso sair do escopo, ele continuará protegido pelo Shield Advanced e continuará incorrendo em cobranças de transferência de dados do Shield Advanced.

Mitigação automática de DDoS na camada de aplicação

Ao aplicar uma política do Shield Advanced às CloudFront distribuições da Amazon ou aos Application Load Balancers, você tem a opção de configurar a mitigação automática de DDoS da camada de aplicação do Shield Advanced na política.

Para obter informações sobre a mitigação automática do Shield Advanced, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced.

A mitigação automática de DDoS da camada de aplicativo Shield Advanced apresenta os seguintes requisitos:

  • A mitigação automática de DDoS na camada de aplicação funciona somente com CloudFront distribuições da Amazon e Application Load Balancers.

    Se aplicar sua política Shield Advanced às CloudFront distribuições da Amazon, você pode escolher essa opção para as políticas do Shield Advanced que você cria para a região global. Ao aplicar proteções aos Application Load Balancers, você pode aplicar a política a qualquer região compatível com o Firewall Manager.

  • A mitigação automática de DDoS na camada de aplicativo funciona somente com ACLs da web que foram criadas usando a versão mais recente do (v2). AWS WAF

    Por isso, se você tiver uma política que usa ACLs web AWS WAF clássicas, você precisa substituir a política por uma nova política, que usará automaticamente a versão mais recente da AWS WAF, ou fazer com que o Firewall Manager crie uma nova versão de ACLs da web para sua política existente e passe a usá-las. Para obter mais informações sobre essas opções, consulte Substitua as ACLs da web AWS WAF clássicas pelas ACLs da web da versão mais recente.

Configuração de mitigação automática

A opção de mitigação automática de DDoS na camada de aplicativo para as políticas Shield Advanced do Firewall Manager aplica a funcionalidade de mitigação automática do Shield Advanced às contas e recursos dentro do escopo de sua política. Para obter informações sobre esse atributo do Shield Advanced, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced.

Você pode optar por ativar ou desativar a mitigação automática do Firewall Manager para CloudFront as distribuições ou os Application Load Balancers que estão no escopo da política, ou pode optar por fazer com que a política ignore as configurações de mitigação automática do Shield Advanced:

  • Habilitar: se você optar por habilitar a mitigação automática, você também especifica se as regras de mitigação do Shield Advanced devem contar ou bloquear as solicitações da web correspondentes. O Firewall Manager marcará os recursos dentro do escopo como não compatíveis se eles não tiverem a mitigação automática habilitada ou estiverem usando uma ação de regra que não corresponda à especificada para a política. Se você configurar a política para remediação automática, o Firewall Manager atualizará os recursos não compatíveis conforme o necessário.

  • Desabilitar: se você optar por desabilitar a mitigação automática, o Firewall Manager marcará os recursos dentro do escopo como não compatíveis se eles tiverem a mitigação automática habilitada. Se você configurar a política para remediação automática, o Firewall Manager atualizará os recursos não compatíveis conforme o necessário.

  • Ignorar: se você optar por ignorar a mitigação automática, o Firewall Manager não considerará nenhuma das configurações de mitigação automática em sua política Shield ao realizar atividades de remediação da política. Essa configuração permite controlar a mitigação automática por meio do Shield Advanced, sem que essas configurações sejam substituídas pelo Firewall Manager. Essa configuração não se aplica a nenhum recurso de Classic Load Balancers ou IPs elásticos gerenciados pelo Shield Advanced, porque o Shield Advanced atualmente não oferece suporte à mitigação automática L7 para esses recursos.

Substitua as ACLs da web AWS WAF clássicas pelas ACLs da web da versão mais recente

A mitigação automática de DDoS na camada de aplicativo funciona somente com ACLs da web que foram criadas usando a versão mais recente do (v2). AWS WAF

Para determinar a versão da web ACL para sua política Shield Advanced, consulte Determinar a versão usada por uma política do Shield Advanced AWS WAF.

Se você quiser usar a mitigação automática em sua política Shield Advanced e sua política atualmente usa ACLs web AWS WAF clássicas, você pode criar uma nova política Shield Advanced para substituir a atual ou usar as opções descritas nesta seção para substituir ACLs da web de versões anteriores por novas ACLs da web (v2) dentro da política atual do Shield Advanced. Novas políticas sempre criam ACLs da web usando a versão mais recente do AWS WAF. Se você substituir a política inteira, ao excluí-la, você também poderá fazer com que o Firewall Manager exclua todas as web ACLs da versão anterior. O restante desta seção descreve suas opções para substituir as web ACLs dentro de sua política existente.

Quando você modifica uma política existente do Shield Advanced para CloudFront recursos da Amazon, o Firewall Manager pode criar automaticamente uma nova ACL web vazia AWS WAF (v2) para a política, em qualquer conta dentro do escopo que ainda não tenha uma ACL web v2. Quando o Firewall Manager cria uma nova ACL da Web, se a política já tiver uma ACL da Web AWS WAF Clássica na mesma conta, o Firewall Manager configura a nova versão da ACL da Web com a mesma configuração de ação padrão da ACL da Web existente. Se não houver nenhuma ACL da Web AWS WAF Clássica existente, o Firewall Manager define a ação padrão como Allow na nova ACL da Web. Depois que o Firewall Manager criar uma nova web ACL, você poderá personalizá-la conforme necessário por meio do console do AWS WAF .

Quando você escolhe qualquer uma das seguintes opções de configuração de política, o Firewall Manager cria novas web ACLs (v2) para contas dentro do escopo que ainda não as têm:

  • Quando você habilita ou desabilita a mitigação automática de DDoS na camada de aplicativo. Somente essa opção faz com que o Firewall Manager crie as novas web ACLs e não substitua nenhuma associação existente de web ACL AWS WAF Classic nos recursos dentro do escopo da política.

  • Quando você escolhe a ação política de remediação automática e escolhe a opção de substituir ACLs da web AWS WAF clássicas por ACLs da web AWS WAF (v2). Você pode optar por substituir as web ACLs de versões anteriores, independentemente de suas opções de configuração para mitigação automática de DDoS na camada de aplicativo.

    Quando você escolhe a opção de substituição, o Firewall Manager cria a nova versão das web ACLs conforme necessário e, em seguida, faz o seguinte para os recursos dentro do escopo da política:

    • Se um recurso estiver associado a uma web ACL de qualquer outra política ativa do Firewall Manager, o Firewall Manager deixará a associação de lado.

    • Em qualquer outro caso, o Firewall Manager remove qualquer associação com uma ACL da web AWS WAF clássica e associa o recurso à ACL da web da política AWS WAF (v2).

Você pode optar por fazer com que o Firewall Manager substitua as web ACLs da versão anterior pela nova versão das web ACLs quando quiser. Se você já personalizou as web ACLs AWS WAF Classic da política, você pode atualizar a nova versão das web ACLs para configurações comparáveis antes de escolher que o Firewall Manager execute a etapa de substituição.

Você pode acessar qualquer versão da Web ACL para uma política por meio do console da mesma versão ou Classic. AWS WAF AWS WAF

O Firewall Manager não exclui nenhuma ACLs web AWS WAF clássica substituída até que você exclua a política em si. Depois que as ACLs web AWS WAF clássicas não forem mais usadas pela política, você poderá excluí-las se quiser.

Determinar a versão usada por uma política do Shield Advanced AWS WAF

Você pode determinar qual versão da política AWS WAF do Firewall Manager Shield Advanced usa observando as chaves de parâmetros na regra AWS Config vinculada ao serviço da política. Se a AWS WAF versão em uso for a mais recente, as chaves de parâmetros incluirão policyId webAclArn e. Se for a versão anterior, AWS WAF Classic, as chaves de parâmetros incluem webAclId resourceTypes e.

A AWS Config regra lista apenas as chaves das ACLs da web que a política está usando atualmente com recursos dentro do escopo.

Para determinar qual versão da política do AWS WAF Firewall Manager Shield Advanced usa

  1. Recupere a ID da política Shield Advanced:

    1. Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.

    2. No painel de navegação, escolha Políticas de segurança.

    3. Escolha a região para a política. Para CloudFront distribuições, isso éGlobal.

    4. Encontre a política que você deseja e copie o valor de sua ID de política.

      ID do exemplo de política: 1111111-2222-3333-4444-a55aa5aaa555.

  2. Crie o nome da AWS Config regra da política anexando o ID da política à stringFMManagedShieldConfigRule.

    Exemplo de nome de AWS Config regra:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. Pesquise nos parâmetros da AWS Config regra associada as chaves chamadas policyId ewebAclArn:

    1. Abra o AWS Config console em https://console.aws.amazon.com/config/.

    2. No painel de navegação, escolha Rules.

    3. Encontre o nome da AWS Config regra da política do Firewall Manager na lista e selecione-a. A página da regra é aberta.

    4. Em Detalhes da regra, na seção Parâmetros, veja as chaves. Se você encontrar chaves com os nomes policyId e webAclArn, a política usa web ACLs que foram criadas usando a versão mais recente do AWS WAF. Se você encontrar chaves com o nome webAclId eresourceTypes, a política usa ACLs da web que foram criadas usando a versão anterior, AWS WAF Classic.