Domande frequenti su Gestione dei firewall AWS

Argomenti della pagina

Domande generali
6
Funzionamento di AWS Firewall Manager
8
Pannello di controllo e visibilità
3

Domande generali

La Gestione dei firewall AWS è un servizio per la gestione della sicurezza che consente di configurare e gestire a livello centrale le regole del firewall per tutti gli account e le applicazioni presenti in AWS Organizations. Quando vengono create nuove applicazioni, Firewall Manager semplifica inoltre la conformità immediata delle nuove applicazioni e risorse implementando regole condivise di sicurezza. Ora hai a disposizione un unico servizio per creare regole del firewall, creare policy di sicurezza e applicarle in modo coerente e gerarchico all'intera infrastruttura.

La Gestione dei firewall AWS è integrata con AWS Organizations in modo da poter abilitare le regole di AWS WAF, le protezioni di AWS Shield Avanzato, i gruppi di sicurezza VPC, i firewall di rete AWS e le regole del firewall DNS per il risolutore Amazon Route 53 in più account e risorse AWS da un'unica posizione. AWS Firewall Manager monitora la presenza di nuove risorse o nuovi account creati per garantire da subito la conformità a un insieme obbligatorio di policy di sicurezza. È possibile raggruppare le regole, creare policy e applicarle a livello centrale all'intera infrastruttura. Ad esempio, è possibile delegare la creazione di regole per una specifica applicazione all'interno di un determinato account e applicare policy di sicurezza globali su tutti gli account. Il team di sicurezza può ricevere notifiche relative a potenziali minacce all'organizzazione in modo da poter rispondere e limitare rapidamente i danni un attacco.

La gestione dei firewall si integra anche con le regole gestite per AWS WAF, consentendo di distribuire facilmente regole WAF preconfigurate alle applicazioni.

Gli amministratori della sicurezza possono sfruttare AWS Firewall Manager per applicare un set di base di regole dei gruppi di sicurezza per istanze EC2, Application Load Balancer e interfacce di rete elastica (ENI) ai tuoi VPC Amazon. Allo stesso tempo, puoi anche controllare i gruppi di sicurezza esistenti nei VPC per verificare la presenza di regole troppo permissive e risolverle da un unico punto.

Inoltre, puoi utilizzare AWS Firewall Manager per distribuire gli endpoint per i firewall di rete AWS e le regole associate nei VPC dell'azienda a livello centrale, in modo da controllare il traffico in entrata e in uscita sulla tua rete. Allo stesso tempo, con Firewall Manager è possibile associare i VPC in tutti gli account alle regole del Route 53 Resolver per Firewall DNS per bloccare le query DNS fatte per domini dannosi noti e per consentire le query per domini affidabili.

Tramite la Gestione dei Firewall AWS è possibile configurare a livello centralizzato le regole di AWS WAF, le protezioni di AWS Shield Avanzato, i gruppi di sicurezza del cloud privato virtuale (VPC) Amazon e le liste di controllo degli accessi di rete (ACL), i firewall di rete AWS e le regole del risolutore Amazon Route 53 per Firewall DNS in più account e risorse dell'azienda.

Grazie ad AWS Firewall Manager è possibile 

  • Eseguire il lancio delle regole AWS WAF in Application Load Balancer, API Gateway e delle distribuzioni Amazon CloudFront. 
  • Creare protezioni AWS Shield Advanced per Application Load Balancer, ELB Classic Load Balancer, indirizzi IP elastici e distribuzioni CloudFront. 
  • Configurare nuovi gruppi di sicurezza di Amazon Virtual Private Cloud (VPC) e controllare i gruppi di sicurezza VPC esistenti per verificare la presenza di tipi di risorse Amazon EC2, Application Load Balancer (ALB) e ENI. 
  • Distribuire i firewall di AWS Network Firewall tra diversi account e VPC nella tua azienda.
  • Infine, con AWS Firewall Manager è possibile associare i VPC della tua azienda alle regole di Amazon Route 53 Resolver per Firewall DNS.
  • Puoi configurare nuove liste di controllo degli accessi alla rete (ACL) del cloud privato virtuale (VPC) Amazon per le tue sottoreti VPC.

I prezzi della Gestione dei firewall AWS sono disponibili qui.

Per informazioni sulla disponibilità della Gestione dei firewall AWS, consulta la tabella delle regioni AWS.

Funzionamento di AWS Firewall Manager

Per utilizzare AWS Firewall Manager, esistono tre requisiti preliminari obbligatori e uno facoltativo.

  • AWS Organizations – Gli account devono far parte di AWS Organizations e tutte le relative funzionalità devono essere abilitate. Consulta la documentazione di AWS Organizations per ulteriori dettagli.
  • Imposta l'account amministratore di Gestione dei firewall AWS – La Gestione dei firewall AWS deve essere associata all'account di gestione dell'organizzazione AWS o a un account membro che disponga delle autorizzazioni appropriate. L'account associato a Firewall Manager è chiamato account amministratore di Firewall Manager. Per ulteriori informazioni, consulta la documentazione.
  • Abilita AWS Config sugli account – Abilita AWS Config per ciascun account membro dell'organizzazione. Consulta la documentazione di AWS Config.
  • Abilita AWS Resource Access Manager (facoltativo) – Per abilitare la gestione dei firewall per la configurazione centralizzata del Firewall di rete AWS o per associare le regole del firewall DNS per il risolutore Amazon Route 53 in tutti gli account e VPC, è innanzitutto necessario abilitare la condivisione delle risorse utilizzando AWS Resource Access Manager.
  • Prima di tutto, è necessario soddisfare i requisiti preliminare elencati in alto.
  • In secondo luogo, bisogna creare un tipo di policy per AWS WAF, AWS Shield Advanced, il gruppo di sicurezza VPC, il firewall di rete AWS o Amazon Route 53 Resolver per Firewall DNS.
  • In terzo luogo, a seconda della policy, devi specificare l'insieme di regole o di protezioni. Ad esempio, per una policy per AWS WAF, specifica i gruppi di regole (predefiniti o gestiti) da distribuire in tutti gli account. Analogamente, per una policy del gruppo di sicurezza VPC, fai riferimento al gruppo di sicurezza da replicare in ogni risorsa all'interno degli account. Per AWS Network Firewall, specifica i gruppi di regole (stateful e stateless) da distribuire in tutti i VPC degli account. Per Amazon Route 53 Resolver per Firewall DNS, specifica i gruppi di regole da associare ai VPC nei tuoi account.
  • In quarto luogo, specifica l'ambito di applicazione della policy selezionando gli account, il tipo di risorsa e, in via facoltativa, i tag di risorsa in cui distribuire la policy.
  • Infine, sarà possibile rivedere e creare la policy. AWS Firewall Manager applicherà automaticamente le regole e le protezioni a tutte le risorse in tutti gli account. Una volta completata questa operazione, AWS Firewall Manager mostra un pannello di controllo di conformità che indica gli account e le risorse non conformi e quelli conformi.

Sì; la configurazione di una policy di Firewall Manager può avvenire in due modi.

  • Remediation automatica: consente di monitorare automaticamente le deviazioni dalla policy e applicare le regole sulle risorse non conformi.
  • Correzione manuale, che crea una nuova policy e le regole o le protezioni associate in ciascun account, ma non applica le regole alle risorse dell'account. Dopo che la policy è stata creata con correzione manuale, è possibile scegliere di intraprendere un'azione manuale per ciascun account locale o modificare la policy in qualsiasi momento per applicare la correzione automatica.

L'ambito di applicazione di ciascuna policy di AWS Firewall Manager può arrivare a un massimo di 2.500 account, che rappresenta il limite predefinito per il numero di account in AWS Organizations.

Al momento, non è prevista alcuna limitazione al numero di risorse gestibili da Firewall Manager.

No, le policy di sicurezza di gestione dei firewall AWS sono specifiche per regione. Ogni policy Firewall Manager può includere esclusivamente risorse disponibili nella regione AWS specificata. È possibile però creare una policy per ciascuna regione in cui si opera.

Sì. È possibile escludere account. È anche possibile utilizzare i tag per specificare quali risorse escludere dall'ambito di applicazione di una policy.

Una policy di sicurezza Firewall Manager comprende una serie di configurazioni che permette ai clienti di specificare gli account e le risorse da associare a un insieme di regole firewall, con configurazioni aggiuntive personalizzate per ogni tipologia di firewall. Attualmente Firewall Manager supporta AWS WAF, AWS Shield Avanzato, i gruppi di sicurezza nel VPC, Firewall di rete AWS, DNS Firewall per risolutore Amazon Route 53 e firewall di terze parti di Marketplace AWS.

Pannello di controllo e visibilità

Con Firewall Manager è possibile visualizzare rapidamente lo stato di conformità di ciascuna policy visualizzando quanti account sono inclusi nell'ambito di applicazione di una policy e quanti di tali account sono conformi. Inoltre, per ciascuna policy configurata in Firewall Manager, è disponibile un pannello di controllo relativo alla conformità. Questo strumento permette di controllare quali account e specifiche risorse non sono conformi a una determinata policy e fornisce informazioni sul motivo della mancata conformità. È anche possibile visualizzare gli eventi non conformi per ogni account nella Centrale di sicurezza AWS.

Sì, è possibile creare canali di notifica tramite SNS per ricevere messaggi in tempo reale quando vengono individuate risorse non conformi. Analogamente, tutti gli account inclusi nell'ambito di applicazione di una policy di Gestione dei firewall ricevono una notifica in caso di eventi non conformi nella Centrale di sicurezza AWS.

Per ogni policy di Firewall Manager che viene creata, è possibile aggregare parametri di CloudWatch su singole regole in gruppi di regole, per indicare quante richieste sono state accettate o bloccate a livello di organizzazione. È così disponibile uno strumento centralizzato da cui impostare globalmente allarmi di rilevamento di minacce.