安全组策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全组策略

您可以使用Amazon Firewall Manager安全组策略管理您的组织的 Amazon Virtual Private Cloud 安全组。Amazon Organizations. 您可以将集中控制的安全组策略应用于整个组织或帐户和资源的选定子集。您还可以使用审核和使用安全组策略来监视和管理组织中正在使用的安全组策略。

Firewall Manager 会持续维护您的策略,并将其应用于在整个组织中添加或更新的帐户和资源。有关的信息Amazon Organizations,请参阅Amazon Organizations用户指南. 有关 Amazon Virtual Private Cloud 安全组的信息,请参阅。您的 VPC 的安全组中的Amazon VPC User Guide.

您可以使用 Firewall Manager 安全组策略执行以下操作:Amazon组织:

  • 将通用安全组应用于指定的账户和资源。

  • 审核安全组规则,以查找并修正不符合规则。

  • 审核安全组的使用情况,以清理未使用的和冗余的安全组。

本节介绍 Firewall Manager 安全组策略的工作原理,并提供有关使用这些策略的指导。有关创建安全组策略的过程,请参阅。创建 Amazon Firewall Manager 策略.

通用安全组策略

借助通用安全组策略,Firewall Manager 提供集中控制的安全组与组织中的账户和资源的关联。您可以指定在组织中应用策略的位置和方式。

您可以将通用安全组策略应用于以下资源类型:

  • Amazon Elastic Compute Cloud (Amazon EC2) 实例

  • 弹性网络接口

  • 应用程序负载均衡器

  • 传统负载均衡器

有关使用控制台创建通用安全组策略的指导,请参阅创建通用安全组策略.

共享 VPC

在通用安全组策略的策略范围设置中,可以选择包括共享 VPC。此选项包括由另一个账户拥有并与范围内账户共享的 VPC。始终包括范围内账户拥有的 VPC。有关共享 VPC 的信息,请参阅使用共享 VPC中的Amazon VPC User Guide.

以下警告适用于包括共享 VPC。这些是对安全组策略的一般注意事项的补充,请访问安全组策略限制.

  • Firewall Manager 将主安全组复制到每个范围内账户的 VPC 中。对于共享 VPC,Firewall Manager 会为与之共享 VPC 的每个范围内账户复制一次主安全组。这可能会导致单个共享 VPC 中存在多个副本。

  • 创建新的共享 VPC 后,只有当您在 VPC 中至少创建了一个属于策略范围内的资源之后,您才会在 Firewall Manager 安全组策略详细信息中看到该共享 VPC。

  • 在启用共享 VPC 的策略中禁用了共享 VPC 后,在共享 VPC 中,Firewall Manager 会删除与任何资源不关联的副本安全组。Firewall Manager 将剩余的副本安全组保留在原位,但停止对其进行管理。删除这些其余的安全组时,需要在每个共享 VPC 实例中执行手动管理。

主安全组

对于每个通用安全组策略,您可以为您提供Amazon Firewall Manager具有一个或多个主安全组:

  • 主安全组必须由 Firewall Manager 管理员账户创建,并且可以驻留在账户中的任何 Amazon VPC 实例中。

  • 您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理您的主安全组。想要了解有关信息,请参阅使用安全组中的Amazon VPC User Guide.

  • 您可以将一个或多个安全组指定作为 Firewall Manager 安全组策略的主安全组。默认情况下,策略中允许的安全组数量为 1,但您可以提交请求来增加安全组的数量。有关信息,请参阅 Amazon Firewall Manager 配额

策略规则设置

您可以为通用安全组策略的安全组和资源选择以下一个或两个更改控制行为:

  • 识别并还原本地用户对副本安全组所做的任何更改。

  • 取消任何其他安全组与Amazon策略范围内的资源。

政策制定和管理

创建通用安全组策略时,Firewall Manager 会将主安全组复制到策略范围内的每个 Amazon VPC 实例,并将复制的安全组与策略范围内的账户和资源关联起来。修改主安全组时,Firewall Manager 会将更改传播到副本。

删除通用安全组策略后,可以选择是否清除策略创建的资源。对于 Firewall Manager 公用安全组,这些资源是副本安全组。除非您希望在删除策略后手动管理每个单独的复制副本,否则请选择清理选项。在大多数情况下,选择清理选项是最简单的方法。

如何管理复制副本

Amazon VPC 实例中的副本安全组与其他 Amazon VPC 安全组一样进行管理。想要了解有关信息,请参阅您的 VPC 的安全组中的Amazon VPC User Guide.

内容审核安全组策略

使用Amazon Firewall Manager内容审核安全组策略,以检查和管理组织的安全组中使用的规则。内容审核安全组策略适用于在Amazon组织,具体取决于您在策略中定义的范围。

有关使用控制台创建内容审核安全组策略的指导,请参阅创建内容审核安全组策略.

策略范围资源类型

您可以将内容审计安全组策略应用于以下资源类型:

  • Amazon Elastic Compute Cloud (Amazon EC2) 实例

  • 弹性网络接口

  • Amazon VPC 安全组

如果安全组显式位于范围内,或者它们与范围内的资源相关联,则会在策略的范围内考虑安全组。

策略规则选项

您可以对每个内容审计策略使用托管策略规则或自定义策略规则,但不能同时使用两者。

  • 托管策略规则— 在具有托管规则的策略中,您可以使用应用程序和协议列表指定策略允许的内容和拒绝的内容。您可以使用由 Firewall Manager 管理的列表。您也可以创建和使用自己的应用程序和协议列表。有关这些类型的列表以及自定义列表的管理选项的信息,请参阅托管列表.

  • 自定义策略规则— 在具有自定义策略规则的策略中,您可以指定现有安全组作为策略的审核安全组。您可以将审计安全组规则用作定义策略允许或拒绝的规则的模板。

审核安全组

您必须使用 Firewall Manager 管理员账户创建审核安全组,然后才能在策略中使用它们。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。想要了解有关信息,请参阅使用安全组中的Amazon VPC User Guide.

用于内容审核安全组策略的安全组仅由 Firewall Manager 用作策略范围内的安全组的比较参考。Firewall Manager 不会将其与组织中的任何资源关联。

在审计安全组中定义规则的方式取决于您在策略规则设置中的选择:

  • 托管策略规则— 对于托管策略规则设置,您可以使用审核安全组覆盖策略中的其他设置,以显式允许或拒绝否则可能产生其他合规性结果的规则。

    • 如果您选择始终允许在审计安全组中定义的规则,则任何与审计安全组中定义的规则匹配的规则都会被视为合规,而不考虑其他策略设置。

    • 如果您选择始终拒绝在审计安全组中定义的规则,则任何与审计安全组中定义的规则匹配的规则都会被视为不合规,而不考虑其他策略设置。

  • 自定义策略规则— 对于自定义策略规则设置,审核安全组提供范围内安全组规则中可接受或不可接受的示例:

    • 如果选择允许规则的使用时,所有范围内的安全组都必须具有WITER策略的审核安全组规则的允许范围。在这种情况下,策略的安全组规则提供了可接受的操作的示例。

    • 如果选择拒绝规则的使用时,所有范围内的安全组都必须具有不在策略的审核安全组规则的允许范围。在这种情况下,策略的安全组提供了不可接受的操作的示例。

政策制定和管理

创建审计安全组策略时,必须禁用自动修正。建议的做法是在启用自动补救之前检查策略创建的效果。在查看预期效果后,您可以编辑策略并启用自动修复。启用自动修正后,Firewall Manager 会更新或删除范围内安全组中不符合规则。

受审核安全组策略影响的安全组策略

您的组织中由客户创建的所有安全组都有资格属于审计安全组策略的范围。

副本安全组不是由客户创建的,因此不符合直接属于审计安全组策略的范围。但是,可以根据策略的自动修正活动对它们进行更新。通用安全组策略的主安全组由客户创建,可以在审计安全组策略的范围内。如果审计安全组策略对主安全组进行了更改,Firewall Manager 会自动将这些更改传播到副本中。

使用情况审核安全组策略

使用Amazon Firewall Manager使用情况审核安全组策略,以监视组织中的未使用和冗余安全组,并可选择执行清理。如果为此策略启用了自动修复,Firewall Manager 将执行以下操作:

  1. 合并冗余安全组(如果选择了该选项)。

  2. 删除未使用的安全组(如果选择了该选项)。

您可以将使用情况审核安全组策略应用于以下资源类型:

  • Amazon VPC 安全组

有关使用控制台创建使用情况审计安全组策略的指导,请参阅创建使用情况审核安全组策略.

Firewall Manager 如何修复冗余安全组

要使安全组被视为冗余,它们必须设置完全相同的规则,并且位于同一 Amazon VPC 实例中。要修复冗余安全组集,Firewall Manager 会选择集中要保留的一个安全组,然后将其与与集中其他安全组关联的所有资源关联。然后,Firewall Manager 将其他安全组与它们关联的资源断开关联,这会使它们未使用。

注意

如果您还选择删除未使用的安全组,Firewall Manager 将执行接下来的操作。这会导致删除冗余集合中的安全组。

Firewall Manager 如何修复未使用的安全组

要使安全组被视为未使用,任何资源都必须在策略规则指定的最小分钟数内未使用这些安全组。默认情况下,此数字为零。您可以为此提供更高的设置,以便让自己有时间将新的安全组与资源关联起来。Firewall Manager 根据您的规则设置,通过从您的帐户中删除未使用的安全组来修复未使用的安全组。

默认账户规范

当您通过控制台创建使用情况审计安全组策略时,Firewall Manager 会自动选择排除指定帐户并包括所有其他帐户. 然后,该服务将 Firewall Manager 管理员帐户放入要排除的列表中。这是推荐的方法,允许您手动管理属于 Firewall Manager 管理员帐户的安全组。

安全组策略的最佳实践

本部分列出了有关使用管理安全组的建议Amazon Firewall Manager.

排除 Firewall Manager 管理员帐户

当您设置策略范围时,请排除 Firewall Manager 管理员账户。当您通过控制台创建使用情况审计安全组策略时,这是默认选项。

禁用自动修正后开始

对于内容或使用情况审计安全组策略,请先禁用自动修复。查看策略详细信息,以确定自动修正将产生的效果。在您确定进行了所需的更改时,请编辑策略以启用自动修复。

如果您还使用外部源管理安全组,则避免冲突

如果您使用 Firewall Manager 以外的工具或服务来管理安全组,请注意避免 Firewall Manager 中的设置与外部源中的设置之间的冲突。如果您使用自动修正并且您的设置冲突,则可以创建一个冲突的修正周期,该周期会消耗两方的资源。

例如,假设您将另一个服务配置为维护一组Amazon资源,并配置 Firewall Manager 策略,以便为部分或全部相同资源维护不同的安全组。如果您将任何一方配置为禁止任何其他安全组与范围内的资源相关联,则该方将删除由另一方维护的安全组关联。如果两侧都以这种方式进行配置,则最终可能会出现冲突的不关联和关联的循环。

此外,假设您创建 Firewall Manager 审计策略,以强制执行与其他服务中的安全组配置冲突的安全组配置。Firewall Manager 审计策略应用的修正可以更新或删除该安全组,从而使其不符合其他服务的要求。如果将其他服务配置为监视并自动修复它发现的任何问题,它将重新创建或更新安全组,从而使其再次不符合 Firewall Manager 审计策略。如果 Firewall Manager 审计策略配置了自动修正,它将再次更新或删除外部安全组,等等。

为避免此类冲突,请在 Firewall Manager 和任何外部源之间创建相互排斥的配置。

您可以使用标记将外部安全组排除在 Firewall Manager 策略的自动修正之外。为此,请将一个或多个标签添加到由外部源管理的安全组或其他资源。然后,定义 Firewall Manager 策略范围时,在资源规范中,排除具有已添加的标记的资源。

同样,在外部工具或服务中,从任何管理或审核活动中排除 Firewall Manager 管理的安全组。不要导入 Firewall Manager 资源,或使用 Firewall Manager 特定的标记将其排除在外部管理之外。

安全组策略限制

本节列出了使用Amazon Firewall Manager安全组策略:

  • 不支持更新使用 Fargate 服务类型创建的 Amazon EC2 弹性网络接口的安全组。但是,您可以使用 Amazon EC2 服务类型更新 Amazon ECS 弹性网络接口的安全组。

  • Firewall Manager 不支持 Amazon Amazon Relational Database Service 创建的 Amazon EC2 弹性网络接口的安全组。

  • 只有使用滚动更新(Amazon ECS)部署控制器的 Amazon 云服务器服务才能更新 Amazon 云服务器弹性网络接口。对于其他 Amazon ECS 部署控制器(如 CODE_DELEVE)或外部控制器,Firewall Manager 当前无法更新弹性网络接口。

  • 对于 Amazon EC2 弹性网络接口的安全组,Firewall Manager 不会立即看到对安全组的更改。Firewall Manager 通常会在几个小时内检测到更改,但检测可能会延迟多达六个小时。

  • Firewall Manager 不支持为网络负载平衡器更新弹性网络接口中的安全组。

  • Firewall Manager 不支持通用安全组策略中的安全组引用。

安全组策略使用案例

您可以使用Amazon Firewall Manager通用安全组策略,以自动执行主机防火墙配置,以便在 Amazon VPC 实例之间进行通信。本节列出标准 Amazon VPC 体系结构,并介绍如何使用 Firewall Manager 通用安全组策略保护每个体系结构。这些安全组策略可以帮助您应用一组统一的规则来选择不同账户中的资源,并避免在 Amazon 弹性计算云和 Amazon VPC 中进行每个账户配置。

借助 Firewall Manager 通用安全组策略,您可以仅标记与另一 Amazon VPC 中的实例进行通信所需的 EC2 弹性网络接口。同一 Amazon VPC 中的其他实例则更加安全和隔离。

使用案例:监视和控制对应用程序负载平衡器和 Classic Load Balancers 的请求

您可以使用 Firewall Manager 通用安全组策略来定义范围内负载均衡器应服务的请求。您可以通过 Firewall Manager 控制台进行配置。只有符合安全组入站规则的请求才能到达您的负载均衡器,负载均衡器将仅分发符合出站规则的请求。

使用案例:可通过互联网访问的公有 Amazon VPC

您可以使用 Firewall Manager 通用安全组策略来保护公有 Amazon VPC 的安全,例如,仅允许入站端口 443。这与仅允许公有 VPC 的入站 HTTPS 流量相同。您可以在 VPC 中标记公共资源(例如,标记为 “PubvVPC”),然后将 Firewall Manager 策略范围设置为仅具有该标记的资源。Firewall Manager 会自动将策略应用到这些资源。

使用案例:Amazon Virtual VPC 实例

您可以对公共资源使用相同的通用安全组策略,如先前使用案例中建议的,用于互联网访问的公共 Amazon VPC 实例。您可以使用第二个常用安全组策略来限制公共资源和私有资源之间的通信。为公有和私有 Amazon VPC 实例中的资源添加标记,以便将第二个策略应用于这些实例。您可以使用第三个策略来定义私有资源与其他公司或私有 Amazon VPC 实例之间允许的通信。对于此策略,您可以在私有资源上使用另一个标识标记。

使用案例:中心辐射型 Amazon VPC 实例

您可以使用通用安全组策略来定义中心 Amazon VPC 实例与分支 Amazon VPC 实例之间的通信。您可以使用第二个策略定义从每个分支的 Amazon VPC 实例到中心 Amazon VPC 实例的通信。

使用案例:Amazon EC2 实例的默认网络接口

您可以使用通用安全组策略仅允许标准通信,例如内部 SSH 和 Patch/OS 更新服务,并禁止其他不安全的通信。

使用案例:识别具有开放权限的资源

您可以使用审核安全组策略来标识组织中有权与公有 IP 地址通信的所有资源,或具有属于第三方供应商的 IP 地址的所有资源。