安全性群組原則

您可以使用 AWS Firewall Manager 安全群組政策來管理中組織的 Amazon Virtual Private Cloud 安全群組 AWS Organizations。您可以將集中控制的安全群組政策套用至整間組織，或選取您的帳戶和資源子集。您也可以監控並管理在您組織中使用的安全群組政策，以及監控稽核和用途安全群組政策。

Firewall Manager 會持續維護您的策略，並在整個組織中新增或更新帳號和資源時，將其套用至帳號和資源。若要取得有關資訊 AWS Organizations，請參閱AWS Organizations 使用指南。

如需 Amazon Virtual Private Cloud 安全群組的相關資訊，請參閱 Amazon VPC 使用者指南VPC中的適用於您的安全群組。

您可以使用 Firewall Manager 員安全性群組原則，在整個 AWS 組織中執行下列作業：

• 將常見安全群組套用至指定的帳戶和資源。

• 稽核安全群組規則，以尋找和修補不合規規則。

• 稽核安全群組的用途，以清理未使用的與備援安全群組。

本節說明 Firewall Manager 員安全群組原則的運作方式，並提供使用這些原則的指引。如需建立安全性群組原則的程序，請參閱建立 AWS Firewall Manager 策略。

常見安全群組政策

透過一般安全性群組原則，Firewall Manager 可提供集中控制的安全性群組與組織中帳戶和資源的關聯。您可以指定要在您組織中要套用政策的項目與如何套用。

您可以將一般安全性群組原則套用至下列資源類型：

• Amazon 彈性運算雲（AmazonEC2）實例

• 彈性網路介面

• Application Load Balancer

• Classic Load Balancer

如需使用主控台建立通用安全性群組原則的指引，請參閱建立常見安全群組政策。

共享 VPCs

在一般安全性群組原則的原則範圍設定中，您可以選擇包含共用VPCs。此選項包括VPCs由其他帳戶擁有並與範圍內帳戶共用的選項。VPCs範圍內的帳戶擁有始終包括在內。如需共用的相關資訊VPCs，請參閱 Amazon VPC 使用者指南VPCs中的使用共用。

下列警告適用於包含共用。VPCs這些是安全性群組原則的一般注意事項之外，位於. 安全性群組原則警告和限制

• Firewall Manager 員會將主要安全性群組複寫到每個範圍內帳VPCs戶的。對於共用VPC，Firewall Manager 員會針對與共用的每個範圍內帳戶複寫主要安全性群組一次。VPC這可能會導致在單一共用VPC中產生多個複本。

• 當您建立新的共用時VPC，除非您在原則範圍內建立至少一個資源之後，才會在 Firewall Manager 安全性群組原則詳細資料中看到VPC該資源。

• 當您在VPCs已啟用VPCs共用的原則中停用共用時VPCs，Firewall Manager 會在共用中刪除未與任何資源關聯的複本安全性群組。Firewall Manager 員會保留剩餘的複本安全性群組，但會停止管理它們。移除剩餘的安全性群組需要在每個共用VPC執行個體中進行手動管理。

主要安全群組

針對每個一般安全性群組原則，您會提 AWS Firewall Manager 供一或多個主要安全性群組：

• 主要安全群組必須由 Firewall Manager 員管理員帳戶建立，且可以位於帳戶中的任何 Amazon VPC 執行個體中。

• 您可以透過 Amazon Virtual Private Cloud (AmazonVPC) 或 Amazon 彈性運算雲 (AmazonEC2) 管理您的主要安全群組。如需詳細資訊，請參閱 Amazon VPC 使用者指南中的使用安全群組。

• 您可以將一或多個安全群組命名為「Firewall Manager 員」安全性群組原則的主要群組。政策中允許的安全群組數量預設為一個，但您可以提交增加數量的請求。如需相關資訊，請參閱AWS Firewall Manager 配額。

政策規則設定

您可以針對通用安全性群組原則的安全性群組和資源，選擇下列一或多個變更控制行為：

• 識別並報告本機使用者對複本安全性群組所做的任何變更。

• 取消任何其他安全性群組與原則範圍內 AWS 資源的關聯。

• 將標籤從主要群組分配到複本安全性群組。

  重要

  Firewall Manager 員不會將 AWS 服務新增的系統標記散佈到複本安全性群組中。系統標籤以 aws: 字首開頭。此外，如果策略具有與組織的標籤策略衝突的標記，Firewall Manager 將不會更新現有安全群組的標記或建立新的安全群組。如需有關標籤策略的詳細資訊，請參閱 AWS Organizations 使用指南中的標籤策略。

• 將安全性群組參照從主要群組散佈至複本安全性群組。

  這可讓您輕鬆地在所有範圍內資源建立參照規則的通用安全性群組，以及與指定安全性群組相關聯的VPC執行個體。啟用此選項時，Firewall Manager 員僅在安全群組參考 Amazon Virtual Private Cloud 中的對等安全群組時，才會傳播安全群組參考。如果複本安全性群組未正確參考對等安全性群組，則 Firewall Manager 會將這些複寫的安全性群組標示為不相容。如需如何在 Amazon 中參考對等安全群組的詳細資訊VPC，請參閱 Amazon 對等互VPC連指南中的更新安全群組以參考對等安全群組。

  如果您未啟用此選項，則 Firewall Manager 員不會將安全性群組參照傳播至複本安全性群組。如需 Amazon 中VPC對等互連的相關資訊VPC，請參閱 Amazon VPC 對等互連指南。

政策建立與管理

建立通用安全群組政策時，Firewall Manager 會將主要安全群組複寫到政策範圍內的每個 Amazon VPC 執行個體，並將複製的安全群組與政策範圍內的帳戶和資源建立關聯。當您修改主要安全性群組時，「Firewall Manager 員」會將變更傳播至複本。

刪除常見安全群組政策時，您可以選擇是否要清理依此政策建立的資源。對於「Firewall Manager 員」一般安全性群組，這些資源是複本安全性群組。除非您想要在刪除政策後手動管理每個個別複本，否則請選擇清理選項。在大多數情況下，選擇清理是最簡單的方法。

如何管理複本

Amazon 執行個體中的複本安全群組與其他 VPC Amazon VPC 安全群組一樣進行管理。如需詳細資訊，請參閱 Amazon VPC 使用者指南VPC中的適用於您的安全群組。

內容稽核安全群組政策

使用 AWS Firewall Manager 內容稽核安全性群組策略來稽核原則動作，並將其套用至組織安全性群組中使用的規則。內容稽核安全性群組原則會根據您在原則中定義的範圍，套用至 AWS 組織中使用中的所有客戶建立的安全性群組。

如需使用主控台建立內容稽核安全性群組原則的指引，請參閱建立內容稽核安全群組政策。

政策範圍資源類型

您可以將內容稽核安全性群組策略套用至下列資源類型：

• Amazon 彈性運算雲（AmazonEC2）實例

• 彈性網路介面

• Amazon VPC 安全集團

如果安全群組明確位於範圍內，或與範圍內的資源相關聯，則會將該安全群組視為在政策範圍內。

策略規則選項

您可以針對每個內容稽核策略使用受管策略規則或自訂策略規則，但不能同時使用這兩種規則。

• 受管策略規則 — 在具有受管規則的策略中，您可以使用應用程式和通訊協定清單來控制 Firewall Manager 稽核的規則，以及標記為合規或不合規。您可以使用由 Firewall Manager 員管理的清單。您也可以建立和使用自己的應用程式和通訊協定清單。如需這些清單類型以及自訂清單的管理選項的相關資訊，請參閱受管理清單。

• 自訂策略規則 — 在具有自訂策略規則的策略中，您可以指定現有的安全性群組作為策略的稽核安全性群組。您可以使用稽核安全性群組規則做為範本，該範本可定義 Firewall Manager 稽核的規則，並將其標記為符合或不合規。

稽核安全性群組

您必須先使用 Firewall Manager 員管理員帳戶建立稽核安全性群組，才能在策略中使用這些群組。您可以通過 Amazon Virtual Private Cloud（AmazonVPC）或 Amazon 彈性計算雲（AmazonEC2）管理安全組。如需詳細資訊，請參閱 Amazon VPC 使用者指南中的使用安全群組。

Firewall Manager 只會使用您用於內容稽核安全性群組原則的安全性群組，作為原則範圍內之安全性群組的比較參考。Firewall Manager 員不會將其與組織中的任何資源建立關聯。

您在稽核安全性群組中定義規則的方式取決於您在原則規則設定中的選擇：

• 受管策略規則 — 對於受管策略規則設定，您可以使用稽核安全性群組覆寫策略中的其他設定，以明確允許或拒絕可能有其他符合性結果的規則。

  • 如果您選擇永遠允許稽核安全性群組中定義的規則，則不論其他原則設定為何，符合稽核安全性群組中定義之規則的任何規則都會被視為符合該策略。

  • 如果您選擇一律拒絕稽核安全性群組中定義的規則，則不論其他原則設定為何，符合稽核安全性群組中定義之規則的任何規則都會被視為不符合該策略。

• 自訂原則規則 — 對於自訂原則規則設定，稽核安全性群組提供範圍內安全性群組規則中可接受或不可接受的範例：

  • 如果您選擇允許使用規則，則所有範圍內的安全性群組都必須只有位於策略稽核安全性群組規則允許範圍內的規則。在此情況下，原則的安全性群組規則會提供範例說明可接受的動作。

  • 如果您選擇拒絕使用規則，則所有範圍內的安全性群組只能擁有不在策略稽核安全性群組規則允許範圍內的規則。在此情況下，原則的安全性群組會提供不可接受的範例。

政策建立與管理

建立稽核安全群組政策時，您必須停用自動修補。建議的實務為在啟用自動修補前檢閱政策建立的效用。檢閱預期的效用後，您可以編輯政策，並啟用自動修補。啟用自動補救時，Firewall Manager 會更新或移除範圍內安全性群組中不相容的規則。

受稽核安全群組政策影響的安全群組

您組織中由客戶建立的所有安全群組均有資格位於稽核安全群組政策中。

複本安全群組不是由客戶建立，因此沒有直接位於稽核安全群組政策範圍中的資格。不過它們可以隨著政策的自動修補活動而更新。常見安全群組政策的主要安全群組是由客戶建立，因此可以在稽核安全群組政策的範圍內。如果稽核安全性群組原則對主要安全性群組進行變更，Firewall Manager 會自動將這些變更傳播到複本。

用途稽核安全群組政策

使用使 AWS Firewall Manager 用狀況稽核安全性群組原則來監控您的組織是否有未使用和冗餘的安全群組，並選擇性地執 當您啟用此原則的自動修復時，Firewall Manager 員會執行下列動作：

1. 整合多餘的安全群組 (如果您已選擇該選項)。

2. 移除未使用的安全群組 (如果您已選擇該選項)。

您可以將使用情況稽核安全性群組策略套用至下列資源類型：

• Amazon VPC 安全集團

如需使用主控台建立使用情況稽核安全性群組原則的指引，請參閱建立用途稽核安全群組政策。

Firewall Manager 員如何偵測並修復冗餘安全性群組

若要將安全群組視為多餘群組，它們必須設定完全相同的規則，且位於相同的 Amazon VPC 執行個體中。

若要修復多餘的安全性群組集，Firewall Manager 會選取集合中要保留的其中一個安全性群組，然後將其與集中其他安全性群組關聯的所有資源關聯。然後，「Firewall Manager 員」會將其他安全性群組與其相關聯的資源取消關聯，使其未使用。

注意

如果您也選擇移除未使用的安全性群組，則「Firewall Manager 員」會在下一步執行。此動作會移除備援組中的安全群組。

Firewall Manager 員如何偵測並修復未使用的安全群組

如果下列兩項都成立，則 Firewall Manager 員會將安全性群組視為未使用：

• 任何 Amazon EC2 執行個體或 Amazon EC2 elastic network interface 都不會使用安全群組。

• 在策略規則期間指定的分鐘數內，「Firewall Manager 員」尚未收到該項目的組態項目。

原則規則期間的預設設定為零分鐘，但您可以將時間增加到 365 天 (525,600 分鐘)，讓自己有時間將新的安全性群組與資源建立關聯。

重要

如果您指定的預設值為零以外的分鐘數，則必須在中啟用間接關係 AWS Config。否則，您的使用稽核安全性群組原則將無法如預期般運作。如需有關中間接關係的資訊 AWS Config，請參閱AWS Config 開發人員指南 AWS Config中的「間接關係」。

如果可能，Firewall Manager 會根據您的規則設定從您的帳戶中刪除未使用的安全性群組來修復這些群組。如果「Firewall Manager 員」無法刪除安全性群組，則會將其標示為不符合策略。Firewall Manager 員無法刪除其他安全性群組所參考的安全性群組。

修復的時間會根據您使用的是預設時間週期設定還是自訂設定而有所不同：

• 時間週期設為零 (預設值) — 使用此設定時，一旦 Amazon EC2 執行個體或 elastic network interface 未使用安全群組，就會被視為未使用。

  針對此零時間週期設定，「Firewall Manager 員」會立即修復安全性群組。

• 大於零的期間 — 使用此設定時，如果 Amazon EC2 執行個體或 elastic network interface 未使用安全群組，且 Firewall Manager 在指定的分鐘數內未收到該群組的組態項目，則會將其視為未使用。

  對於非零時間週期設定，Firewall Manager 會在安全性群組維持未使用狀態 24 小時之後修復安全性群組。

預設帳戶規格

當您透過主控台建立使用情況稽核安全性群組原則時，Firewall Manager 會自動選擇 [排除指定的帳戶] 並包含所有其他帳戶。然後，服務會將 Firewall Manager 員管理員帳戶放在清單中以排除。這是建議的方法，可讓您手動管理屬於 Firewall Manager 員管理員帳戶的安全性群組。

安全群組政策的最佳實務

本節列出使用 AWS Firewall Manager管理安全群組的建議。

排除 Firewall Manager 員管理員帳戶

當您設定策略範圍時，請排除 Firewall Manager 員管理員帳戶。當您透過主控台建立用途稽核安全群組政策時，這是預設選項。

從停用自動修補開始

對於內容或用途稽核安全群組政策，請先從停用自動修補開始。檢閱政策詳細資訊，以判定自動修補可能有的效用。當您確認這些變更正是您所需的時，請編輯政策，以啟用自動修補。

如果您也使用外部來源管理安全群組，請避免衝突

如果您使用「Firewall Manager 員」以外的工具或服務來管理安全性群組，請注意避免「Firewall Manager 員」中的設定與外部來源的設定之間發生衝突。如果您使用自動修補且設定有衝突，您可以建立消耗雙方資源的衝突修補循環。

例如，假設您將另一個服務設定為維護一組 AWS 資源的安全性群組，並設定 Firewall Manager 原則，以維護部分或所有相同資源的不同安全性群組。如果您設定任何其他安全群組與範圍內資源相關聯的任何一方，該方將會移除由另一方維護的安全群組關聯。如果雙方都以這種方式進行配置，則最終可能會產生衝突的分離和關聯循環。

此外，假設您建立了 Firewall Manager 稽核原則，以強制執行與其他服務之安全性群組組態衝突的安全性群組組態設定。Firewall Manager 稽核策略套用的補救可以更新或刪除該安全性群組，使其不符合其他服務的規範。如果其他服務設定為監視並自動修復發現的任何問題，則會重新建立或更新安全性群組，使其再次不符合 Firewall Manager 稽核策略。如果 Firewall Manager 稽核策略設定了自動補救，它將再次更新或刪除外部安全性群組，依此類推。

若要避免這類衝突，請在 Firewall Manager 員與任何外部來源之間建立互斥的組態。

您可以使用標記，將外部安全群組排除在 Firewall Manager 員原則的自動修復之外。若要這樣做，請將一或多個標記新增至由外部來源管理的安全群組或其他資源。然後，當您定義 Firewall Manager 員策略範圍時，請在資源規格中排除具有已新增標籤的資源。

同樣地，在您的外部工具或服務中，將 Firewall Manager 管理的安全性群組排除在任何管理或稽核活動之外。請勿匯入 Firewall Manager 員資源，或使用 Firewall Manager 員特定的標記將其排除在外部管理之外。

使用稽核安全性群組原則的最佳作法

當您使用使用稽核安全性群組原則時，請遵循下列準則。

• 避免在短時間內對安全性群組的關聯狀態進行多次變更，例如在 15 分鐘內變更。這樣做可能會導致 Firewall Manager 員遺漏部分或所有對應的事件。例如，請勿快速將安全群組與 elastic network interface 建立關聯或取消關聯。

安全性群組原則警告和限制

本節列出使用 Firewall Manager 員安全性群組原則的注意事項和限制。

資源類型:Amazon EC2 實例

本節列出使用 Firewall Manager 員安全群組政策保護 Amazon EC2 執行個體的注意事項和限制。

• 使用保護 Amazon EC2 彈性網路界面 (ENIs) 的安全群組，Firewall Manager 員不會立即看到對安全群組的變更。Firewall Manager 員通常會在數小時內偵測到變更，但偵測最多可能會延遲六個小時。

• Firewall Manager 員不支援 Amazon EC2 ENIs 關聯式資料庫服務所建立的 Amazon 安全群組。

• Firewall Manager 員不支援更新使用 Fargate 服務類型建立的 Amazon EC2 ENIs 安全群組。但是，您可以使用 Amazon EC2 服務類型更新 Amazon ECS ENIs 的安全組。

• 對於一般安全性群組原則，這些警告與連接至執行個體的彈性網路介面 (ENIs) 數目與原則選項之間的互動，該選項指定是否只修復沒有新增附件的EC2執行個體，還是修復所有執行個體。EC2每個EC2例證都有一個默認的主實例ENI，您可以附加更多實例ENIs。在中API，此選擇的原則選項設定為ApplyToAllEC2InstanceENIs。

  如果範圍內的EC2執行個體已ENIs附加其他執行個體，且原則設定為僅包含主EC2執行個體的執行個體ENI，則 Firewall Manager 將不會嘗試對該EC2執行個體進行任何修復。此外，如果執行個體超出原則範圍，Firewall Manager 就不會嘗試取消其可能為執行個體建立的任何安全性群組關聯性的關聯性。

  對於下列邊緣情況，無論原則的資源清除規格為何，Firewall Manager 都可以保持複製的安全群組關聯不變：

  • 當具有其他執行個體的執行個體先前ENIs已由設定為包含所有EC2執行個體的策略修復，然後執行個體超出原則範圍，或原則設定變更為僅包含不含其他ENIs執行個體的執行個體。

  • 當設定為只包含沒有其ENIs他執行個體的原則修復時ENIs，另一個執行個體ENI已附加至執行個體，然後執行個體就會超出原則範圍。

其他警告和限制

以下是 Firewall Manager 員安全性群組原則的其他警告和限制。

• 只有使用滾動更新 (AmazonECS) 部署控制器的 Amazon ECS 服務才能更新 Amazon。ECS ENIs對於其他 Amazon ECS 部署控制器 (例如 CODE _ DEPLOY 或外部控制器)，Firewall Manager 員目前無法更新ENIs.

• Firewall Manager 員不支援更新網路負載平衡器中ENIs的安全群組。

• 在一般安全性群組原則中，如果稍後與帳戶取消共用的共用 Firewall Manager 員將不會刪除帳戶中的複本安全性群組。VPC

• 使用狀況稽核安全性群組原則時，如果您使用自訂延遲時間設定建立多個策略，且所有策略都具有相同範圍，則第一個具有符合性發現項目的原則將是報告發現項目的策略。

安全群組政策使用案例

您可以使用一 AWS Firewall Manager 般安全群組政策自動化主機防火牆組態，以便在 Amazon VPC 執行個體之間進行通訊。本節列出標準 Amazon VPC 架構，並說明如何使用 Firewall Manager 員一般安全群組政策保護每個架構。這些安全群組原則可協助您套用一組統一的規則來選取不同帳戶中的資源，並避免 Amazon 彈性運算雲端和 Amazon VPC 中的每個帳戶進行設定。

使用 Firewall Manager 員一般安全群組政策，您可以只標記與其他 Amazon 中執行個體通訊所需的EC2彈性網路界面VPC。然後，同一 Amazon VPC 中的其他實例更加安全和孤立。

使用案例：監視和控制對應用程式負載平衡器和傳統負載平衡器的要求

您可以使用 Firewall Manager 一般安全性群組原則來定義範圍內負載平衡器應提供哪些要求。您可以透過 Firewall Manager 員主控台進行設定。只有符合安全群組輸入規則的要求才能連線到負載平衡器，而且負載平衡器只會分發符合輸出規則的要求。

使用案例：可存取網際網路的公用 Amazon VPC

您可以使用 Firewall Manager 員一般安全群組原則來保護公用 AmazonVPC，例如，僅允許輸入連接埠 443。這與僅允許公用入站HTTPS流量相同VPC。您可以在中標記公用資源 VPC (例如，為 VPC「Public」)，然後將 Firewall Manager 員策略範圍設定為只有具有該標籤的資源。Firewall Manager 員會自動將策略套用至這些資源。

使用案例：公有和私有 Amazon VPC 執行個體

您可以對公有資源使用相同的通用安全群組原則，如先前使用案例中建議的公用 Amazon VPC 執行個體使用相同的通用安全群組原則。您可以使用第二個常見安全群組政策，限制公有資源與私有資源之間的通訊。使用類似「PublicPrivate」的標記公有和私有 Amazon VPC 執行個體中的資源，以便將第二個政策套用至這些執行個體。您可以使用第三個政策來定義私有資源與其他公司或私有 Amazon VPC 執行個體之間允許的通訊。對於此政策，您可以在私有資源上使用另一個識別標籤。

使用案例：集線器和支點 Amazon VPC 執行個體

您可以使用通用的安全群組政策來定義中樞 Amazon 執行個體和交談 Amazon VPC VPC 執行個體之間的通訊。您可以使用第二個政策定義從每個分支 Amazon 執行個VPC體到中樞 Amazon VPC 執行個體的通訊。

使用案例：Amazon EC2 執行個體的預設網路界面

您可以使用一般安全性群組原則，僅允許標準通訊，例如內部SSH和 Patch /OS 更新服務，並禁止其他不安全的通訊。

使用案例：識別具有開放權限的資源

您可以使用稽核安全群組政策，來識別您組織內擁有可與公有 IP 地址進行通訊之許可，或擁有屬於第三方廠商之 IP 地址的所有資源。