Häufig gestellte Fragen zu AWS Firewall Manager

Allgemeines

AWS Firewall Manager ist ein Sicherheitsmanagement-Service, der die zentrale Konfiguration und Verwaltung von Firewall-Regeln für Ihre Konten und Anwendungen in AWS Organizations ermöglicht. Wenn neue Anwendungen erstellt werden, können Sie mit dem Firewall Manager ganz einfach neue Anwendungen und Ressourcen festgelegte Sicherheitsregeln durchsetzen. Jetzt haben Sie einen einzigen Service, mit dem Sie Firewall-Regeln erstellen, Sicherheitsrichtlinien erstellen und diese in einer konsistenten, hierarchischen Weise über Ihre gesamte Infrastruktur durchsetzen können.

AWS Firewall Manager ist in AWS Organizations integriert, so dass Sie AWS-WAF-Regeln, AWS-Shield-Advanced-Schutz, VPC-Sicherheitsgruppen und AWS Network Firewalls und DNS-Firewall-Regeln von Amazon Route 53 Resolver für mehrere AWS-Konten und Ressourcen von einem einzigen Ort aus aktivieren können. Firewall Manager überwacht neu generierte Ressourcen oder Konten, um sicherzustellen, dass diese von Anfang an einen obligatorischen Satz Schutzrichtlinien einhalten. Sie können Regeln gruppieren, Richtlinien aufstellen und diese zentral für Ihre gesamte Infrastruktur anwenden. So können Sie beispielsweise die Erstellung anwendungsspezifischer Regeln in einem Konto an andere Personen delegieren, während Sie weiterhin für die Durchsetzung der globalen, kontoübergreifenden Sicherheitsrichtlinien verantwortlich bleiben. Ihr Sicherheitsteam kann über Bedrohungen für die Organisation benachrichtigt werden, damit es reagieren und einen Angriff schnell eindämmen kann.

Firewall Manager ist auch mit Verwaltete Regeln für AWS WAF integrierbar. Somit können Sie vorkonfigurierte WAF-Regeln leicht für Ihre Anwendungen bereitstellen.

Sicherheitsadministratoren können mit Firewall Manager einen Baseline-Satz von Sicherheitsgruppenregeln für EC2-Instances, Application Load Balancers und Elastic Network-Schnittstellen (ENIs) in Ihren Amazon VPCs anwenden. Gleichzeitig können Sie auch alle vorhandenen Sicherheitsgruppen in Ihren VPCs auf zu freizügige Regeln überprüfen und diese von einer einzigen Stelle aus beheben.

Sie können den Firewall Manager einsetzen, um zentral für AWS Network Firewall-Endpunkte und verbundene Regeln für Ihre VPCs in Ihrer Organisation bereitzustellen, um den Verkehr, der Ihr Netzwerk verlässt und in Ihr Netzwerk eintritt, zu kontrollieren. Gleichzeitig können Sie mit Firewall Manager Ihre VPCs auch mit Route 53 Resolver DNS Firewall-Regeln über mehrere Konten verbinden, um DNS-Abfragen für bekannte schädliche Domänen zu blockieren und Abfragen für vertrauenswürdige Domänen zuzulassen.

Mit AWS Firewall Manager können Sie zentral AWS-WAF-Regeln, AWS-Shield-Advanced-Schutz, Amazon Virtual Private Cloud (VPC)-Sicherheitsgruppen und Netzwerk-Zugriffssteuerungslisten (ACLs), AWS Network Firewalls und Firewall-Regeln für Amazon Route 53 Resolver DNS über Konten und Ressourcen in Ihrem Unternehmen hinweg konfigurieren.

Wenn Sie AWS Firewall Manager verwenden, können Sie 

  • Rollen Sie AWS WAF-Regeln einfach über Application Load Balancer, API Gateways und Amazon CloudFront-Verteilungen aus. 
  • Sie können AWS Shield Advanced-Schutzmechanismen für Ihre Application Load Balancers, ELB Classic Load Balancers, Elastic IP-Adressen und CloudFront-Verteilungen erstellen. 
  • Sie können neue Amazon Virtual Private Cloud (VPC)-Sicherheitsgruppen konfigurieren und alle vorhandenen Sicherheitsgruppen für Ihre Amazon EC2, ALBs (Application Load Balancers) und ENI-Ressourcentypen überprüfen. 
  • Sie können AWS Network Firewalls auch in verschiedenen Konten und VPCs in Ihrem Unternehmen bereitstellen.
  • Schließlich können Sie mit AWS Firewall Manager auch Amazon Route 53 Resolver DNS Firewall-Regeln für VPCs in Ihrem Unternehmen hinweg verbinden.
  • Sie können neue Netzwerk-Zugriffssteuerungslisten (ACLs) von Amazon Virtual Private Cloud (VPC) für Ihre VPC-Subnetze konfigurieren.

Die Preise für AWS Firewall Manager finden Sie hier.

Besuchen Sie die AWS-Regionentabelle, um die aktuelle regionale Verfügbarkeit für AWS Firewall Manager anzuzeigen.

Aktivieren von AWS Firewall Manager

Es gibt drei zwingende Voraussetzungen und eine optionale Voraussetzung für die Verwendung des AWS Firewall Managers.

  • AWS Organizations – Ihre Konten müssen Teil von AWS Organizations sein und alle Funktionen müssen aktiviert sein. Weitere Informationen finden Sie in der Dokumentation zu AWS Organizations.
  • Anlegen des Administratorkontos für AWS Firewall Manager – Firewall Manager muss dem Verwaltungskonto Ihrer AWS-Organisation bzw. einem Mitgliedskonto mit adäquaten Berechtigungen zugeordnet sein. Das dem Firewall Manager zugewiesene Konto wird als Firewall-Manager-Administratorkonto bezeichnet. Weitere Informationen finden Sie im Dokumentations-Leitfaden.
  • Aktivieren von AWS Config bei Konten – AWS Config muss für jedes Mitgliedskonto in Ihrer Organisation aktiviert sein. Siehe Dokumentation zu AWS Config.
  • AWS Resource Access Manager aktivieren (Optional) – Damit Firewall Manager die AWS Network Firewalls zentral konfigurieren kann bzw. DNS-Firewall-Regeln von Amazon Route 53 Resolver über Konten und VPCs verbinden kann, müssen Sie zuerst die gemeinsame Nutzung von Ressourcen mit AWS Resource Access Manager aktivieren.
  • Erfüllen Sie zunächst die oben genannten Voraussetzungen.
  • Zweitens, erstellen Sie einen Richtlinientyp für AWS WAF, AWS Shield Advanced, VPC-Sicherheitsgruppe, AWS Network Firewall oder Amazon Route 53 Resolver DNS Firewall.
  • Drittens, je nach Richtlinie, geben Sie die Regeln oder Schutzmaßnahmen an. Geben Sie z. B. für eine Richtlinie für AWS WAF die Regelgruppen (benutzerdefiniert oder verwaltet) an, die Sie kontenübergreifend bereitstellen möchten. In ähnlicher Weise verweisen Sie bei einer Richtlinie für VPC-Sicherheitsgruppen auf die Sicherheitsgruppe, die in jeder Ressource innerhalb von Konten repliziert werden soll. Geben Sie für die AWS Netzwerk-Firewall die Regelgruppen (zustandsbehaftete und zustandslose) an, die Sie über VPCs in Ihren Konten bereitstellen möchten. Geben Sie für Amazon Route 53 Resolver DNS Firewall den Regelsatz (die Regelgruppen) an, den Sie mit Ihren VPCs in Ihren Konten verbinden wollen.
  • Viertens legen Sie den Geltungsbereich der Richtlinie fest, indem Sie die Konten, den Ressourcentyp und optional die Ressourcen-Tags wählen, wo die Richtlinie bereitgestellt werden soll.
  • Schließlich können Sie die Richtlinie prüfen und generieren. Der Firewall-Manager wendet die Regeln und Schutzvorkehrungen automatisch auf alle Ressourcen kontenübergreifend an. Nach der Fertigstellung zeigt Firewall Manager auch ein Compliance-Dashboard an, das alle Konten/Ressourcen anzeigt, die nicht konform sind und diejenigen, die konform sind.

Ja, Sie können eine Firewall Manager-Richtlinie auf zwei Arten konfigurieren –

  • Automatische Remediation, bei der Sie automatisch auf Abweichungen von der Richtlinie prüfen und Regeln für nicht-konforme Ressourcen anwenden können
  • Manuelle Korrektur, die eine neue Richtlinie und die damit verbundenen Regeln/Schutzmaßnahmen in jedem Konto erstellt, aber die Regeln für die Ressourcen im Konto nicht durchsetzt. Nachdem die Richtlinie mit manueller Korrektur erstellt wurde, können Sie wählen, ob Sie für jedes lokale Konto manuelle Maßnahmen ergreifen oder die Richtlinie zu jedem beliebigen Zeitpunkt bearbeiten möchten, um eine automatische Korrektur vorzunehmen.

Jede Richtlinie des Firewall-Managers kann auf maximal 2.500 Konten begrenzt werden, was die Standardgrenze für die Anzahl der Konten in AWS Organizations darstellt.

Es gibt derzeit keine Begrenzung für die Anzahl der von Firewall Manager verwalteten Ressourcen.

Nein. AWS-Firewall-Manager-Sicherheitsrichtlinien sind regionsabhängig. Jede Firewall Manager-Richtlinie kann nur Ressourcen beinhalten, die in der angegebenen AWS Region verfügbar sind. Sie können für jede Region, in der Sie tätig sind, eine neue Richtlinie generieren.

Ja. Sie können Konten ausschließen. Sie können auch die Ressourcen, die vom Richtlinienumfang ausgeschlossen werden sollen, mithilfe von Tags festlegen.

Die Firewall-Manager-Sicherheitsrichtlinie ist eine Reihe von Konfigurationen, die es den Kunden ermöglicht, die Konten und Ressourcen anzugeben, die einer Reihe von Firewall-Regeln zugewiesen werden müssen. Es werden außerdem zusätzliche Konfigurationen für jeden Firewall-Typ angepasst. AWS Firewall Manager unterstützt heute AWS WAF, AWS Shield Advanced, VPC-Sicherheitsgruppen, AWS Network Firewall und Amazon Route 53 Resolver, DNS Firewall und AWS-Marketplace-Firewalls von Dritten.

Dashboard und Sichtbarkeit

Mit Firewall Manager können Sie den Compliance-Status für jede Richtlinie schnell einsehen, indem Sie sich ansehen, wie viele Konten im Umfang der Richtlinie enthalten und wie viele davon konform sind. Für jede in Firewall Manager konfigurierte Richtlinie wird ein Compliance-Dashboard angelegt. Mit dem zentralen Compliance-Dashboard können Sie sehen, welche Konten die jeweilige Richtlinie nicht erfüllen. Darüber hinaus erhalten Sie Informationen, warum eine bestimmte Ressource die jeweilige Richtlinie nicht erfüllt. Sie können auch nicht konforme Ereignisse für jedes Konto im AWS Security Hub anzeigen.

Ja, Sie können neue SNS-Benachrichtigungskanäle generieren, um so Benachrichtigungen in Echtzeit zu erhalten, wenn neue nicht-konforme Ressourcen entdeckt werden. In ähnlicher Weise wird jedes Konto, das Teil einer Firewall-Manager-Richtlinie ist, über nicht konforme Ereignisse in AWS Security Hub benachrichtigt.

Für jede generierte Firewall Manager-Richtlinie können Sie CloudWatch-Metriken für jede Regeln in der Regelgruppe aggregieren, welche anzeigen, wie viele Anfragen innerhalb der gesamten Organisation zugelassen oder blockiert wurden. Damit haben Sie einen zentralen Ort für die Einrichtung von Warnungen bei Bedrohungen innerhalb Ihrer Organisation.