AWS Shield Advanced 政策: - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Shield Advanced 政策:

在 Firewall Manager 員AWS Shield策略中,您可以選擇要保護的資源。當您套用原則並啟用 auto 修復時,Firewall Manager 員會為每個尚未與 AWS WAF Web ACL 關聯的範圍內資源建立關聯。AWS WAF空的腹板 ACL 用於 Shield 監視目的。如果您接著將任何其他 Web ACL 與資源建立關聯,則 Firewall Manager 員會移除空的 Web ACL 關聯。

注意

當AWS WAF策略範圍內的資源進入使用自動應用程式層 DDoS 緩解設定的 Shield Advanced 策略的範圍時,Firewall Manager 員只會在與原AWS WAF則建立的 Web ACL 產生關聯之後才套用 Shield 牌進階防護。

如何在 Shield 牌政策中AWS Firewall Manager管理非關聯的網頁 ACL

您可以透過原則中的 [管理未關聯的 Web ACL] 設定,設定 Firewall Manager 員是否為您管理非關聯的 Web ACL,或是 API 中SecurityServicePolicyData資料類型中的optimizeUnassociatedWebACLs設定。如果您在策略中啟用管理未關聯的 Web ACL,則 Firewall Manager 員只會在至少一個資源使用 Web ACL 時,才會在策略範圍內的帳號中建立 Web ACL。如果任何時候有帳號進入策略範圍,如果至少有一個資源將使用 Web ACL,則 Firewall Manager 員會在帳號中自動建立 Web ACL。

當您啟用非關聯 Web ACL 的管理時,Firewall Manager 員會執行一次性清除帳戶中未關聯的 Web ACL。清理過程可能需要幾個小時。如果資源在 Firewall Manager 員建立 Web ACL 之後離開策略範圍,則 Firewall Manager 員不會取消資源與 Web ACL 的關聯。如果您希望 Firewall Manager 員清除 Web ACL,您必須先手動取消資源與 Web ACL 的關聯,然後在策略中啟用管理未關聯的 Web ACL 選項。

如果您未啟用此選項,則 Firewall Manager 員不會管理未關聯的 Web ACL,而且 Firewall Manager 員會在策略範圍內的每個帳戶中自動建立 Web ACL。

如何AWS Firewall Manager管理護 Shield 政策中的範圍變更

帳號和資源可能會超出 AWS Firewall Manager Shield Advanced 策略的範圍,這是因為許多變更,例如政策範圍設定變更、資源上的標籤變更,以及從組織移除帳號。如需有關策略範圍設定的一般資訊,請參閱AWS Firewall Manager政策範圍

使用 AWS Firewall Manager Shield 進階策略時,如果帳號或資源超出範圍,Firewall Manager 員就會停止監視帳號或資源。

如果帳號因從組織中移除而超出範圍,該帳號將會繼續訂閱 Shield 牌進階版。由於該帳戶不再是合併帳單系列的一部分,因此該帳戶將產生按比例分配的 Shield Advanced 訂閱費用。另一方面,超出範圍但仍在組織中的帳戶不會產生額外費用。

如果資源超出範圍,則會繼續受到「Shield 牌進階」的保護,並繼續產生「Shield 牌進階」資料傳輸費用。

自動化應用程式層 DDoS 防護

將 Shield 進階政策套用至 Amazon CloudFront 分發或應用程式負載平衡器時,您可以選擇在政策中設定 Shield 進階自動應用程式層 DDoS 緩解措施。

如需有關防 Shield 進階自動緩和的資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

Shield 高級自動應用層 DDoS 緩解具有以下要求:

  • 自動應用程式層 DDoS 緩解功能僅適用於 Amazon CloudFront 分發和應用程式負載平衡器。

    如果將您的 Shield 進階政策套用至 Amazon CloudFront 分發,您可以針對為全球區域建立的 Shield 進階政策選擇此選項。如果將保護套用至應用程式負載平衡器,您可以將原則套用至 Firewall Manager 員支援的任何區域。

  • 自動應用程式層 DDoS 防護功能僅適用於使用最新版本 AWS WAF (v2) 建立的 Web ACL。

    因此,如果您有使用AWS WAF傳統 Web ACL 的原則,您必須使用新原則來取代原則,這會自動使用最新版本的原則AWS WAF,或讓 Firewall Manager 員為您現有的原則建立新版 Web ACL,然後切換至使用這些原則。如需選項的詳細資訊,請參閱 以最新版本的網頁 ACL 取代AWS WAF傳統網頁 ACL

自動緩解組態

Firewall Manager 員 Shield 進階政策的自動應用程式層 DDoS 緩解選項會將 Shield 進階自動緩解功能套用至您政策範圍內的帳戶和資源。如需此 Shield 進階功能的詳細資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

您可以選擇讓 Firewall Manager 針對原則範圍內的 CloudFront散佈或應用程式負載平衡器啟用或停用自動緩和措施,也可以選擇讓原則忽略 Shield Advanced 自動緩和措施設定:

  • 啟用 — 如果您選擇啟用自動緩和措施,您也可以指定緩和 Shield Advanced 規則是否應計數或封鎖相符的 Web 請求。如果範圍內的資源未啟用自動緩解措施,或者使用的規則動作與您為策略指定的動作不符,Firewall Manager 會將其標記為不符合標準。如果您設定自動修復的策略,則 Firewall Manager 員會視需要更新不符合標準的資源。

  • 停用 — 如果您選擇停用自動緩和措施,Firewall Manager 會在範圍內的資源標示為不相容 (如果已啟用自動緩和措施)。如果您設定自動修復的策略,則 Firewall Manager 員會視需要更新不符合標準的資源。

  • 略過 — 如果您選擇忽略自動緩和措施,則 Firewall Manager 在為策略執行修復活動時,不會考慮 Shield 策略中的任何自動緩和措施設定。此設定可讓您透過 Shield Advanced 控制自動緩和措施,而不會讓 Firewall Manager 員覆寫這些設定。此設定不適用於透過 Shield Advanced 管理的任何傳統負載平衡器或彈性 IP 資源,因為 Shield Advanced 目前不支援這些資源的 L7 自動緩解功能。

以最新版本的網頁 ACL 取代AWS WAF傳統網頁 ACL

自動應用程式層 DDoS 防護功能僅適用於使用最新版本 AWS WAF (v2) 建立的 Web ACL。

若要判斷 Shield 進階政策的網頁 ACL 版本,請參閱判斷 Shield 牌進階政策所使用的AWS WAF版本

如果您想要在 Shield Advanced 原則中使用自動緩和措施,而您的原則目前使用AWS WAF傳統 Web ACL,您可以建立新的 Shield 牌進階政策來取代您目前的防護進階政策,或者您可以使用本節所述的選項,將舊版 Web ACL 取代為目前的防 Shield 進階政策中的新 (v2) Web ACL。新原則一律使用最新版本的AWS WAF建立 Web ACL。如果您取代整個策略,當您刪除它時,您可以讓 Firewall Manager 員刪除所有較早版本的 Web ACL。本節的其餘部分說明您在現有政策中取代 Web ACL 的選項。

當您修改 Amazon CloudFront 資源的現有防 Shield 進階政策時,Firewall Manager 員可以在任何尚未具有 v2 Web ACL 的範圍內帳戶中,為該政策自動建立新的空白 AWS WAF (v2) Web ACL。當 Firewall Manager 員建立新的 Web ACL 時,如果策略在相同帳戶中已經有AWS WAF典型 Web ACL,則 Firewall Manager 員會使用與現有 Web ACL 相同的預設處理行動設定來設定新版 Web ACL。如果沒有現有的AWS WAF傳統 Web ACL,「Firewall Manager 員」會在新的 Web ACL Allow 中將預設處理行動設定為。Firewall Manager 員建立新的 Web ACL 之後,您可以視需要透過AWS WAF主控台自訂它。

當您選擇下列任一原則組態選項時,Firewall Manager 員會為尚未擁有的範圍內帳戶建立新的 (v2) Web ACL:

  • 啟用或停用自動應用程式層 DDoS 緩解時。僅此選項只會導致 Firewall Manager 員建立新的 Web ACL,而不會取代原則範圍內資源上任何現有的AWS WAF傳統 Web ACL 關聯。

  • 當您選擇自動修復的原則動作,並選擇以 AWS WAF (v2) Web ACL 取代AWS WAF傳統 Web ACL 的選項時。無論自動應用程式層 DDoS 緩解的組態選項為何,您都可以選擇取代舊版 Web ACL。

    當您選擇取代選項時,Firewall Manager 員會視需要建立新版本的 Web ACL,然後針對原則的範圍內資源執行下列動作:

    • 如果資源與任何其他作用中的 Firewall Manager 員策略中的 Web ACL 相關聯,則「Firewall Manager 員」會保留該關聯。

    • 對於任何其他情況,Firewall Manager 員會移除與AWS WAF傳統 Web ACL 的任何關聯,並將資源與策略的 AWS WAF (v2) Web ACL 產生關聯。

您可以選擇讓 Firewall Manager 員視需要將舊版網頁 ACL 取代為新版網頁 ACL。如果您先前已自訂原則的AWS WAF傳統 Web ACL,您可以先將新版 Web ACL 更新為可比較的設定,然後再選擇讓 Firewall Manager 員執行取代步驟。

您可以透過相同版本的主控台AWS WAF或AWS WAF傳統,存取原則的任一版本 Web ACL。

在您刪除策略本身之前,Firewall Manager 員不會刪除任何已取代的AWS WAF傳統 Web ACL。原則不再使用AWS WAF傳統 Web ACL 之後,您可以視需要將其刪除。

判斷 Shield 牌進階政策所使用的AWS WAF版本

您可以透過查看策略AWS WAF的AWS Config服務連結規則中的參數鍵,判斷 Firewall Manager 員 Shield 進階策略使用的版本。如果使用中的AWS WAF版本是最新版本,則參數鍵會包含policyIdwebAclArn。如果它是舊版AWS WAF經典,則參數鍵包括webAclIdresourceTypes

此AWS Config規則只會列出原則目前與範圍內資源搭配使用的 Web ACL 金鑰。

判斷 Firewall Manager 員防 Shield 進階策略使用哪個版本 AWS WAF
  1. 擷取「Shield 進階」策略的策略 ID:

    1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    2. 在瀏覽窗格中,選擇 [安全性原則]。

    3. 選擇策略的「地區」。對於 CloudFront 發行版,這是Global

    4. 找到您想要的策略,然後複製其策略 ID 的值。

      策略識別碼範例:1111111-2222-3333-4444-a55aa5aaa555

  2. 將原AWS Config則 ID 附加至字串FMManagedShieldConfigRule,以建立原則的規則名稱。

    AWS Config規則名稱範例:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555

  3. 在相關AWS Config規則中搜尋名為policyId和的索引鍵的參數webAclArn

    1. 請在以下位置開啟AWS Config主控台。 https://console.aws.amazon.com/config/

    2. 在導覽窗格中,選擇 Rules (規則)

    3. 在清單中找到您的 Firewall Manager 員策略的AWS Config規則名稱,然後加以選取。規則的頁面隨即開啟。

    4. 在「規則詳細資料」下的「參數」區段中,查看機碼。如果您找到名為policyId和的金鑰webAclArn,則原則會使用使用最新版本的建立的 AWS WAF Web ACL。如果您找到名為webAclId和的金鑰resourceTypes,則原則會使用使用舊版「AWS WAF傳統」建立的 Web ACL。