Perguntas frequentes sobre o AWS Firewall Manager

Tópicos da página

Geral
6
Habilitação do AWS Firewall Manager
8
Painel e visibilidade
3

Geral

O AWS Firewall Manager é um serviço de gerenciamento de segurança que permite configurar e gerenciar regras de firewall de maneira centralizada em todas as contas e aplicações no AWS Organizations. À medida que novos aplicativos e recursos são criados, o Firewall Manager facilita a promoção de sua conformidade forçando um conjunto comum de regras de segurança. Agora você tem um único serviço para criar regras de firewall, criar políticas de segurança e aplicá-las de maneira consistente e hierárquica em toda a sua infraestrutura.

O AWS Firewall Manager está integrado ao AWS Organizations para que você possa habilitar regras do AWS WAF, proteções do AWS Shield Avançado, grupos de segurança da VPC, AWS Network Firewalls e regras de firewall de DNS do Amazon Route 53 Resolver em várias contas e recursos da AWS em um único lugar. O Firewall Manager monitora a criação de novos recursos ou contas para garantir que cumpram um conjunto obrigatório de políticas de segurança a partir do primeiro dia. Você pode agrupar regras, criar políticas e aplicá-las de forma centralizada em toda a sua infraestrutura. Por exemplo, você pode delegar a criação de regras específicas de aplicativos em uma conta, sem perder a capacidade de aplicar políticas globais de segurança em todas as contas. Sua equipe de segurança pode ser notificada de ameaças à organização para responder a um ataque e mitigá-lo rapidamente.

O Firewall Manager também está integrado às regras gerenciadas para o AWS WAF, o que permite implantar facilmente regras pré-configuradas do WAF na frente de suas aplicações.

Os administradores de segurança podem aproveitar o Firewall Manager para aplicar um conjunto básico de regras de grupo de segurança para instâncias EC2, Application Load Balancers e Elastic Network Interfaces (ENIs) em seus Amazon VPCs. Ao mesmo tempo, você também pode auditar quaisquer grupos de segurança existentes em suas VPCs quanto a regras permissivas e corrigi-las em um único lugar.

Você pode utilizar o Firewall Manager para implantar endpoints e regras associadas ao AWS Network Firewall de maneira centralizada nas VPCs em sua organização, para controlar o tráfego que entra e sai de sua rede. Ao mesmo tempo, você também pode usar o Firewall Manager para associar as VPCs em suas contas às regras de Firewall de DNS do Route 53 Resolver para bloquear consultas de DNS feitas a domínios mal-intencionados conhecidos e permitir consultas a domínios confiáveis.

Usando o AWS Firewall Manager, você pode configurar de maneira centralizada regras do AWS WAF, proteções do AWS Shield Avançado, grupos de segurança da Amazon Virtual Private Cloud (VPC) e listas de controle de acesso (ACLs) à rede, AWS Network Firewalls, e regras do Firewall de DNS do Amazon Route 53 Resolver e contas e recursos em sua organização.

Usando o AWS Firewall Manager, você pode 

  • Implantar com facilidade regras do AWS WAF em distribuições do Application Load Balancer, API Gateways e Amazon CloudFront. 
  • Além disso, você pode igualmente criar proteções do AWS Shield Advanced para Application Load Balancers, ELB Classic Load Balancers, endereços Elastic IP e distribuições do CloudFront. 
  • Você pode configurar novos grupos de segurança do Amazon Virtual Private Cloud (VPC) e auditar quaisquer grupos de segurança de VPC existentes para seus tipos de recursos do Amazon EC2, do Application Load Balancer (ALBs) e da ENI. 
  • Você também pode implantar firewalls de rede da AWS em contas e VPCs em sua organização.
  • Por fim, com o AWS Firewall Manager, você também pode associar as regras do Firewall de DNS do Amazon Route 53 Resolver em VPCs na sua organização.
  • Você pode configurar novas listas de controle de acesso (ACLs) à rede Amazon Virtual Private Cloud (VPC) para suas sub-redes VPC.

Os preços do AWS Firewall Manager estão disponíveis aqui.

Consulte a tabela de regiões da AWS para ver a disponibilidade atual de regiões para o AWS Firewall Manager.

Habilitação do AWS Firewall Manager

Existem três pré-requisitos obrigatórios e um pré-requisito opcional para usar o AWS Firewall Manager.

  • AWS Organizations: suas contas devem fazer parte do AWS Organizations e ter todos os recursos habilitados. Consulte a documentação do AWS Organizations para obter mais detalhes.
  • Defina a conta do administrador do AWS Firewall Manager: o Firewall Manager deve estar associado à conta de gerenciamento da organização na AWS ou a uma conta membro que tem as permissões adequadas. A conta associada ao Firewall Manager é denominada conta do administrador do Firewall Manager. Consulte a guia de documentação para obter mais informações.
  • Habilite o AWS Config nas contas: habilite o AWS Config em cada conta membro da organização. Consulte a documentação do AWS Config.
  • Habilitar o AWS Resource Access Manager (opcional): para habilitar o Firewall Manager para configurar AWS Network Firewalls de forma centralizada ou associar as regras de Firewall de DNS do Amazon Route 53 Resolver em contas e VPCs, você deve primeiro habilitar o compartilhamento de recursos usando o AWS Resource Access Manager.
  • Primeiro, cumpra os pré-requisitos mencionados acima.
  • Em segundo lugar, crie um tipo de política para o AWS WAF, AWS Shield Advanced, grupo de segurança de VPC, AWS Network Firewall ou Firewall de DNS do Amazon Route 53 Resolver.
  • Terceiro, dependendo da política, especifique o conjunto de regras ou proteções. Por exemplo, para uma política para AWS WAF, especifique os grupos de regras (personalizados ou gerenciados) que você deseja implantar nas contas. Da mesma forma, para uma política de grupo de segurança VPC, faça referência ao grupo de segurança que você deseja replicar em cada recurso dentro das contas. Para AWS Network Firewall, especifique os grupos de regras (com e sem estado) que você deseja implantar em VPCs em suas contas. Para o Firewall de DNS do Amazon Route 53 Resolver, especifique o conjunto de regras (grupos de regras) que você deseja associar às suas VPCs em suas contas.
  • Quarto, especifique o escopo da política escolhendo as contas, o tipo de recurso e, opcionalmente, as tags de recurso, onde deseja que a política seja implantada.
  • Finalmente, você pode revisar e criar a política. O Firewall Manager aplicará automaticamente as regras e proteções a todos os recursos das contas. Depois de concluído, o Firewall Manager também mostra um painel de conformidade indicando todas as contas/os recursos que não são compatíveis e aqueles que são compatíveis.

Sim. Você pode configurar uma política do Firewall Manager de duas formas:

  • Remediação automática, que permite monitorar automaticamente desvios em políticas e aplicar regras em recursos que não estão em conformidade
  • Remediação manual, que cria uma nova política e as regras/proteções associadas em cada conta, mas não aplica as regras nos recursos da conta. Após a criação da política com remediação manual, você pode optar por tomar medidas manuais para cada conta local ou, a qualquer momento, você pode editar a política para que ela passe a fazer remediação automática.

Cada política do Firewall Manager pode ter como escopo no máximo 2.500 contas, que é o limite padrão para o número de contas no AWS Organizations.

No momento, não há limite para o número de recursos gerenciados pelo Firewall Manager.

Não. As políticas de segurança do AWS Firewall Manager são específicas da região. Cada política do Firewall Manager pode incluir apenas os recursos disponíveis nessa região da AWS especificada. Você pode criar uma nova política para cada região em que opera.

Sim. Você pode excluir contas. Você também pode usar etiquetas para especificar os recursos que devem ser excluídos do escopo da política.

A política de segurança do Firewall Manager é um conjunto de configurações que permite que o cliente especifique as contas e recursos que precisam ser associados a um conjunto de regras de firewall, com outras configurações personalizadas para cada tipo de firewall. Atualmente, o Firewall Manager oferece suporte ao AWS WAF, ao AWS Shield Avançado, a grupos de segurança da VPC, ao AWS Network Firewall, ao Amazon Route 53 Resolver DNS Firewall e a firewalls de terceiros do AWS Marketplace.

Painel e visibilidade

Com o Firewall Manager, você pode ver rapidamente o status de conformidade de cada política verificando quantas contas estão incluídas no escopo da política e quantas dessas contas estão em conformidade. Além disso, para cada política configurada no Firewall Manager, você tem um painel de conformidade. O painel central de conformidade permite ver quais contas não estão em conformidade com uma determinada política e quais recursos específicos não estão em conformidade, além de fornecer informações sobre o motivo da não conformidade de um recurso específico. Você também pode visualizar eventos não conformes para cada conta no AWS Security Hub.

Sim. Você pode criar novos canais de notificação de SNS para receber notificações em tempo real quando recursos que não estão em conformidade são descobertos. Da mesma forma, cada conta com escopo definido como parte de uma política do Firewall Manager é notificada para eventos não conformes no AWS Security Hub.

Para cada política do Firewall Manager criada, você pode agregar métricas do CloudWatch para cada regra em um grupo de regras, indicando quantas solicitações foram permitidas ou bloqueadas em toda a organização. Dessa forma, você tem um local central para configurar alertas de ameaças em toda a organização.