As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS WAF políticas
Em uma AWS WAF política do Firewall Manager, você especifica os grupos de AWS WAF regras que deseja usar em seus recursos. Quando você aplica a política, o Firewall Manager cria web ACLs em contas dentro do escopo da política, dependendo de como você configura o gerenciamento de web ACLs em sua política. Nas web ACLs criadas pela política, os gerentes de contas individuais podem adicionar regras e grupos de regras, além dos grupos de regras que você definiu por meio do Firewall Manager.
Como o Firewall Manager gerencia as web ACLs
O Firewall Manager cria ACLs da web com base em como você configura a configuração Gerenciar ACLs da web não associadas em sua política ou a optimizeUnassociatedWebACL configuração no tipo de SecurityServicePolicyDatadados na API.
Se você habilitar o gerenciamento de web ACLs não associadas, o Firewall Manager só criará web ACLs nas contas dentro do escopo da política somente se as web ACLs forem usadas por pelo menos um recurso. Se, a qualquer momento, uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma web ACL na conta se pelo menos um recurso usar a web ACL. Quando você habilita o gerenciamento de web ACLs não associadas, o Firewall Manager executa uma limpeza única das web ACLs não associadas na sua conta. Durante a limpeza, o Firewall Manager ignora todas as web ACLs que você modificou após sua criação, por exemplo, se você adicionou um grupo de regras à web ACL ou modificou suas configurações. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política depois que o Firewall Manager criar uma web ACL, o Firewall Manager desassociará o recurso da web ACL, mas não limpará a web ACL não associada. O Firewall Manager só limpa web ACLs não associadas quando você habilita antes o gerenciamento de web ACLs não associadas em uma política.
Se você não habilitar essa opção, o Firewall Manager não gerenciará web ACLs não associadas, e o Firewall Manager criará automaticamente uma web ACL em cada conta que esteja dentro do escopo da política.
Amostragem e métricas CloudWatch
AWS Firewall Manager permite a amostragem e CloudWatch as métricas da Amazon para as ACLs da web e grupos de regras que ela cria para uma AWS WAF política.
Estrutura de nome da web ACL
Quando o Firewall Manager cria uma web ACL para a política, ele nomeia o FMManagedWebACLV2- da web ACL. O timestamp em milissegundos UTC. Por exemplo, policy
name-timestampFMManagedWebACLV2-MyWAFPolicyName-1621880374078.
nota
Se um recurso configurado com mitigação automática avançada de DDoS na camada de aplicação entrar no escopo de uma AWS WAF política, o Firewall Manager não conseguirá associar a Web ACL criada pela AWS WAF política ao recurso.
Grupos de regras em AWS WAF políticas
As ACLs da web gerenciadas pelas AWS WAF políticas do Firewall Manager contêm três conjuntos de regras. Esses conjuntos fornecem um nível mais alto de priorização para as regras e grupos de regras na web ACL:
Primeiros grupos de regras, definidos por você na AWS WAF política do Firewall Manager. AWS WAF avalia esses grupos de regras primeiro.
Regras e grupos de regras definidos pelos gerentes de conta nas web ACLs. O AWS WAF avalia quaisquer regras gerenciadas por conta ou grupos de regras a seguir.
Últimos grupos de regras, definidos por você na AWS WAF política do Firewall Manager. AWS WAF avalia esses grupos de regras por último.
Dentro de cada um desses conjuntos de regras, AWS WAF avalia as regras e os grupos de regras normalmente, de acordo com suas configurações de prioridade dentro do conjunto.
Nos primeiros e últimos conjuntos de grupos de regras da política, é possível adicionar apenas grupos de regras. Você pode usar grupos de regras gerenciados, que as Regras AWS Gerenciadas e AWS Marketplace os vendedores criam e mantêm para você. Também é possível gerenciar e usar seus próprios grupos de regras. Para obter mais informações sobre todas essas ações, consulte AWS WAF grupos de regras.
Se quiser usar seus próprios grupos de regras, crie esses grupos antes de criar a política do Firewall Manager do AWS WAF . Para obter orientações, consulte Gerenciar seus próprios grupos de regras. Para usar uma regra personalizada individual, é necessário definir seu próprio grupo de regras, definir a regra nele e, depois, usar o grupo de regras na política.
O primeiro e o último grupos de AWS WAF regras que você gerencia por meio do Firewall Manager têm nomes que começam com PREFMManaged- ouPOSTFMManaged-, respectivamente, seguidos pelo nome da política do Firewall Manager e pelo carimbo de data/hora da criação do grupo de regras, em milissegundos UTC. Por exemplo, PREFMManaged-MyWAFPolicyName-1621880555123.
Para obter informações sobre como AWS WAF avalia solicitações da web, consulteAvaliação de regras da web ACL e do grupo de regras.
Para obter o procedimento para criar uma AWS WAF política do Firewall Manager, consulteCriação de uma AWS Firewall Manager política para AWS WAF.
O Firewall Manager permite a amostragem e CloudWatch as métricas da Amazon para os grupos de regras que você define para a AWS WAF política.
Proprietários de contas individuais têm controle total sobre as métricas e a configuração de amostragem de qualquer regra ou grupo de regras que eles adicionem às web ACLs gerenciadas da política.
Configurando o registro em log para uma política AWS WAF
Você pode ativar o registro centralizado de suas AWS WAF políticas para obter informações detalhadas sobre o tráfego que é analisado pela sua ACL da web em sua organização. As informações nos registros incluem a hora em que AWS WAF recebeu a solicitação do seu AWS recurso, informações detalhadas sobre a solicitação e a ação da regra de que cada solicitação correspondeu de todas as contas dentro do escopo. Você pode enviar seus registros para um stream de dados do Amazon Data Firehose ou para um bucket do Amazon Simple Storage Service (S3). Para obter informações sobre AWS WAF registro, consulte Registrando AWS WAF tráfego de ACL da web o Guia do AWS WAF desenvolvedor.
nota
AWS Firewall Manager suporta essa opção para AWS WAFV2, não para AWS WAF Classic.
Destinos de logs
Esta seção descreve os destinos de registro que você pode escolher para enviar seus registros AWS WAF de políticas. Cada seção fornece orientações para configurar os logs para o tipo de destino e informações sobre qualquer comportamento específico para o tipo de destino. Depois de configurar seu destino de registro, você pode fornecer suas especificações à AWS WAF política do Firewall Manager para começar a fazer login nele.
O Firewall Manager não tem visibilidade das falhas de log depois de criar a configuração de registro em log. É sua responsabilidade verificar se a entrega de logs está funcionando conforme o esperado.
nota
O Firewall Manager não modifica nenhuma configuração de registro em log existente nas contas dos membros da sua organização.
Streams de dados do Amazon Data Firehose
Este tópico fornece informações para enviar seus registros de tráfego de ACL da web para um stream de dados do Amazon Data Firehose.
Quando você ativa o registro no Amazon Data Firehose, o Firewall Manager envia registros das ACLs da web da sua política para um Amazon Data Firehose onde você configurou um destino de armazenamento. Depois de ativar o registro, AWS WAF entrega os registros para cada Web ACL configurada, por meio do endpoint HTTPS do Kinesis Data Firehose, até o destino de armazenamento configurado. Antes de usá-lo, teste seu streaming de entrega para ter certeza de que ele tem throughput suficiente para acomodar os logs da sua organização. Para obter mais informações sobre como criar um Amazon Kinesis Data Firehose e analisar os registros armazenados, consulte O que é o Amazon Data Firehose?
Você deve ter as seguintes permissões para habilitar o registro em log com êxito com um Kinesis:
iam:CreateServiceLinkedRolefirehose:ListDeliveryStreamswafv2:PutLoggingConfiguration
Quando você configura um destino de registro do Amazon Data Firehose em uma AWS WAF política, o Firewall Manager cria uma ACL da web para a política na conta do administrador do Firewall Manager da seguinte forma:
O Firewall Manager cria a web ACL na conta do administrador do Firewall Manager, independentemente de a conta estar ou não no escopo da política.
A web ACL tem o registro em logs ativado, com um nome de log
FMManagedWebACLV2-Logging, em que o timestamp é a hora UTC em que o log foi ativado para a web ACL, em milissegundos. Por exemplo,policy name-timestampFMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. A web ACL não tem grupos de regras nem recursos associados.Você é cobrado pela ACL da web de acordo com as diretrizes AWS WAF de preços. Para obter mais informações, consulte Preços do AWS WAF
. O Firewall Manager exclui a web ACL quando você exclui a política.
Para obter mais informações sobre funções vinculadas ao serviço e a permissão do iam:CreateServiceLinkedRole, consulte Usando funções vinculadas a serviços para AWS WAF.
Para obter mais informações sobre como criar seu stream de entrega, consulte Creating an Amazon Data Firehose Delivery Stream.
Buckets do Amazon Simple Storage Service
Este tópico fornece informações para enviar seus logs de tráfego da web ACL para um bucket do Amazon S3.
O bucket que você escolher como destino de registro em log deve pertencer a uma conta de administrador do Firewall Manager. Para obter informações sobre os requisitos para criar seu bucket do Amazon S3 para requisitos de registro em log e nomenclatura de buckets, consulte Amazon Simple Storage Service no Guia do desenvolvedor AWS WAF .
Consistência eventual
Quando você faz alterações AWS WAF nas políticas configuradas com um destino de registro do Amazon S3, o Firewall Manager atualiza a política do bucket para adicionar as permissões necessárias para o registro. Ao fazer isso, o Firewall Manager segue os modelos de last-writer-wins semântica e consistência de dados que o Amazon Simple Storage Service segue. Se você fizer simultaneamente várias atualizações de políticas em um destino do Amazon S3 no console do Firewall Manager ou por meio PutPolicyda API, algumas permissões podem não ser salvas. Para obter mais informações sobre modelo de consistência de dados do Amazon S3, consulte Modelo de consistência de dados do Amazon S3 no Guia do usuário do Amazon Simple Storage Service.
Permissões para publicar logs em um bucket do Amazon S3
Configurar o registro de tráfego de ACL da web para um bucket do Amazon S3 em AWS WAF uma política requer as seguintes configurações de permissões. O Firewall Manager atribui automaticamente essas permissões ao seu bucket do Amazon S3 quando você configura o Amazon S3 como seu destino de registro em log para dar ao serviço permissão para publicar registros em log no bucket. Se você quiser gerenciar um acesso mais refinado aos seus recursos de registro em log e do Firewall Manager, você mesmo pode definir essas permissões. Para obter mais informações sobre gerenciamento de permissões, consulte Gerenciamento de acesso para recursos da AWS no Guia do usuário do IAM. Para obter informações sobre as políticas AWS WAF gerenciadas, consulteAWS políticas gerenciadas para AWS WAF.
{ "Version": "2012-10-17", "Id": "AWSLogDeliveryForFirewallManager", "Statement": [ { "Sid": "AWSLogDeliveryAclCheckFMS", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-DOC-EXAMPLE-BUCKET" }, { "Sid": "AWSLogDeliveryWriteFMS", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET/policy-id/AWSLogs/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
Para evitar problema de “confused deputy” entre serviços, você pode adicionar as chaves de contexto de condição global aws:SourceArn e aws:SourceAccount e as chaves de contexto à política do seu bucket. Para adicionar essas chaves, você pode modificar a política que o Firewall Manager cria para você ao configurar o destino do registro em log ou, se quiser um controle refinado, pode criar sua própria política. Se você adicionar essas condições à sua política de destino de registro em log, o Firewall Manager não validará nem monitorará as proteções de “confused deputy”. Para obter mais informações sobre o problema de “confused deputy”, consulte O problema de “confused deputy”, no Guia do usuário do IAM.
Quando você adiciona a sourceAccount às propriedades sourceArn de adição, isso aumenta o tamanho da política do bucket. Se você estiver adicionando uma longa lista de sourceAccount às propriedades sourceArn de adição, tome cuidado para não exceder a cota de tamanho da política de bucket do Amazon S3.
O exemplo a seguir mostra como evitar o problema de “confused deputy” usando as chaves de contexto de condição globais aws:SourceArn e aws:SourceAccount na política do seu bucket. member-account-idSubstitua pelos IDs de conta dos membros da sua organização.
{ "Version":"2012-10-17", "Id":"AWSLogDeliveryForFirewallManager", "Statement":[ { "Sid":"AWSLogDeliveryAclCheckFMS", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "member-account-id", "member-account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:*:member-account-id:*", "arn:aws:logs:*:member-account-id:*" ] } } }, { "Sid":"AWSLogDeliveryWriteFMS", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET/policy-id/AWSLogs/*", "Condition":{ "StringEquals":{ "s3:x-amz-acl":"bucket-owner-full-control", "aws:SourceAccount":[ "member-account-id", "member-account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:*:member-account-id-1:*", "arn:aws:logs:*:member-account-id-2:*" ] } } } ] }
Criptografia no lado do servidor de bucket do Amazon S3
Você pode habilitar a criptografia do lado do servidor do Amazon S3 ou usar uma chave gerenciada pelo AWS Key Management Service cliente em seu bucket do S3. Se você optar por usar a criptografia padrão do Amazon S3 em seu bucket do Amazon S3 AWS WAF para registros, não precisará realizar nenhuma ação especial. No entanto, se você optar por usar uma chave de criptografia fornecida pelo cliente para criptografar seus dados do Amazon S3 em repouso, você deve adicionar a seguinte declaração de permissão à sua política de chaves: AWS Key Management Service
{ "Sid": "Allow Logs Delivery to use the key", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
Para obter mais informações sobre o uso de chaves de criptografia fornecidas pelo cliente com o Amazon S3, consulte Usando criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-KMS) no Guia do usuário do Amazon Simple Storage Service.
Habilitar o log
O procedimento a seguir descreve como habilitar o registro em log para uma AWS WAF política no console do Firewall Manager.
Para habilitar o registro em log para uma AWS WAF política
Antes de habilitar o registro em log, você deve configurar seus recursos de destino de registro em log da seguinte forma:
Amazon Kinesis Data Streams — Crie um Amazon Data Firehose usando sua conta de administrador do Firewall Manager. Use um nome que comece com o prefixo
aws-waf-logs-. Por exemplo,aws-waf-logs-firewall-manager-central. Crie o Data Firehose com uma origemPUTe na região em que você está operando. Se você estiver capturando registros para a Amazon CloudFront, crie a mangueira de incêndio no Leste dos EUA (Norte da Virgínia). Antes de usá-lo, teste seu streaming de entrega para ter certeza de que ele tem throughput suficiente para acomodar os logs da sua organização. Para obter mais informações, consulte Criar um fluxo de entrega do Amazon Data Firehose.Buckets do Amazon Simple Storage Service: crie um bucket do Amazon S3 de acordo com as diretrizes do tópico Amazon Simple Storage Service no Guia do desenvolvedor da AWS WAF . Você também deve configurar seu bucket do Amazon S3 com as permissões listadas em Permissões para publicar logs em um bucket do Amazon S3 .
-
Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2
. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos. nota
Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.
No painel de navegação, escolha Políticas de segurança.
Escolha a AWS WAF política para a qual você deseja habilitar o registro. Para obter mais informações sobre registro em log do AWS WAF , consulte Registrando AWS WAF tráfego de ACL da web.
Na guia Detalhes da política, na seção Regras da política, escolha Editar.
-
Em Configuração de registro em log, escolha Ativar registro em log para ativar o registro em log. O registro em log fornece informações detalhadas sobre o tráfego que é analisado pela sua web ACL. Escolha o Destino de registro em log e, em seguida, escolha o destino de registro em log que você configurou. Você deve escolher um destino de registro em log cujo nome comece com
aws-waf-logs-. Para obter informações sobre como configurar um destino de AWS WAF registro, consulteConfigurando o registro em log para uma política AWS WAF. (Opcional) Se você não deseja que determinados campos e seus valores sejam incluídos nos logs, edite esses campos. Selecione o campo para editar e, em seguida, selecione Adicionar. Repita conforme necessário para editar campos adicionais. Os campos editados são exibidos como
REDACTEDnos logs. Por exemplo, se você editar o campo URI, o campo URI nos logs seráREDACTED.-
(Opcional) Se você não quiser enviar todas as solicitações para os logs, adicione seus critérios e comportamento de filtragem. Em Filtrar logs, para cada filtro que você deseja aplicar, escolha Adicionar filtro, escolha seus critérios de filtragem e especifique se deseja manter ou eliminar solicitações que correspondam aos critérios. Ao terminar de adicionar filtros, se necessário, modifique o Comportamento de registro de logs padrão. Para obter mais informações, consulte Configuração de registro do Web ACL no AWS WAF Guia do desenvolvedor.
Escolha Próximo.
Revise suas configurações e escolha Salvar para salvar suas alterações na política.
Como desabilitar o registro
O procedimento a seguir descreve como desabilitar o registro de uma AWS WAF política no console do Firewall Manager.
Para desativar o registro em log de uma AWS WAF política
-
Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2
. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos. nota
Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall Manager pré-requisitos.
No painel de navegação, escolha Políticas de segurança.
Escolha a AWS WAF política para a qual você deseja desativar o registro.
Na guia Detalhes da política, na seção Regras da política, escolha Editar.
Em Status da configuração de registro em log, escolha Desativado.
Escolha Próximo.
Revise suas configurações e escolha Salvar para salvar suas alterações na política.
