安全组策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
通用安全组策略内容审核安全组策略使用情况审核安全组策略最佳实践安全组策略限制安全组策略使用案例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

安全组策略

您可以使用Amazon Firewall Manager用于管理贵组织的Amazon Virtual Private Cloud 安全组的安全组策略Amazon Organizations. 您可以将集中控制的安全组策略应用于整个组织或部分账户和资源。您还可以通过审计和使用安全组策略来监控和管理组织中正在使用的安全组策略。

Firewall Manager 会持续维护您的策略,并在您的组织中添加或更新帐户和资源时将其应用于这些帐户和资源。有关以下内容的信息Amazon Organizations,请参阅阅。Amazon Organizations用户指南. 有关 Amazon Virtual Private Cloud 安全组的信息,请参阅您的 VPC 的安全组Amazon VPC User Guide.

您可以使用 Firewall Manager 安全组策略在您的Amazon组织:

  • 将常用安全组应用于指定的账户和资源。

  • 审计安全组规则,查找和修复不合规的规则。

  • 审核安全组的使用情况,清理未使用的和冗余的安全组。

本节介绍了 Firewall Manager 安全组策略的工作原理,并提供了使用这些策略的指导。有关创建安全组策略的步骤,请参阅创建 Amazon Firewall Manager 策略.

通用安全组策略

Firewall Manager 采用通用安全组策略,在企业中提供集中控制的安全组与账户和资源的关联。您可以指定在企业中应用策略的位置和方式。

您可以将常见的安全组策略应用于以下资源类型:

  • Amazon Elastic Compute Cloud (Amazon EC2)

  • 弹性网络接口

  • Application Load Balancer

  • 经典负载均衡器

有关使用控制台创建通用安全组策略的指导,请参阅创建通用安全组策略.

共享 VPC

在通用安全组策略的策略范围设置中,可以选择包括共享 VPC。此选项包括由另一个账户拥有并与范围内账户共享的 VPC。始终包括范围内账户拥有的 VPC。有关共享 VPC 的信息,请参阅使用共享 VPCAmazon VPC User Guide.

以下注意事项适用于包含共享 VPC。除此之外,以下是安全组策略的一般注意事项安全组策略限制.

  • Firewall Manager 将主安全组复制到每个范围内账户的 VPC 中。对于共享 VPC,Firewall Manager 会为与之共享 VPC 的每个范围内账户复制一次主安全组。这可能会导致单个共享 VPC 中存在多个副本。

  • 当您创建新的共享 VPC 时,只有在策略范围内在 VPC 中创建了至少一个资源之后,才能在 Firewall Manager 安全组策略详细信息中看到该共享 VPC。

  • 当您在启用了共享 VPC 的策略中禁用共享 VPC 时,Firewall Manager 会删除与任何资源无关的副本安全组。Firewall Manager 将剩余的副本安全组保留在原处,但会停止对其进行管理。删除这些其余的安全组时,需要在每个共享 VPC 实例中执行手动管理。

主要安全组

对于每个通用安全组策略,您提供Amazon Firewall Manager使用一个或多个主安全组:

  • 主要安全组必须由 Firewall Manager 管理员账户创建,并且可以驻留在该账户中的任何 Amazon VPC 实例中。

  • 您可以通过 Amazon VPC 或Amazon Elastic Compute Cloud (Amazon EC2) 管理您的主要安全组。想要了解有关信息,请参阅使用安全组Amazon VPC User Guide.

  • 您可以将一个或多个安全组命名为 Firewall Manager 安全组策略的主安全组。默认情况下,策略中允许的安全组数量为一个,但您可以提交请求以增加安全组数量。有关信息,请参阅Amazon Firewall Manager 配额

策略规则设置

您可以为常用安全组策略的安全组和资源选择以下一种或多种变更控制行为:

  • 识别并报告本地用户对副本安全组所做的任何更改。

  • 取消任何其他安全组与Amazon策略范围内的资源。

  • 将标签从主组分配到副本安全组。

    重要

    Firewall Manager 不会分发由添加的系统标记Amazon服务放入副本安全组。系统标签以aws:前缀。

策略创建和管理

当您创建通用安全组策略时,Firewall Manager 会将主安全组复制到策略范围内的每个 Amazon VPC 实例,并将复制的安全组与策略范围内的账户和资源关联起来。修改主安全组时,Firewall Manager 会将更改传播到副本。

在删除通用安全组策略时,您可以选择是否清理策略创建的资源。对于 Firewall Manager 常见安全组来说,这些资源是副本安全组。除非您想在删除策略后手动管理每个单独的副本,否则请选择清理选项。在大多数情况下,选择清理选项是最简单的方法。

如何管理副本

亚马逊 VPC 实例中的副本安全组像其他 Amazon VPC 安全组一样受到管理。想要了解有关信息,请参阅您的 VPC 的安全组Amazon VPC User Guide.

内容审核安全组策略

使用Amazon Firewall Manager内容审核安全组策略来检查和管理企业的安全组中使用的规则。内容审计安全组策略适用于您的所有客户创建的正在使用的安全组Amazon组织,根据您在策略中定义的范围。

有关使用控制台创建内容审计安全组策略的指导,请参阅创建内容审核安全组策略.

策略范围资源类型

您可以将内容审计安全组策略应用于以下资源类型:

  • Amazon Elastic Compute Cloud (Amazon EC2)

  • 弹性网络接口

  • Amazon VPC 安全组

如果安全组明确在策略范围内,或者如果它们与范围内的资源相关联,则安全组将被视为策略范围。

策略规则选项

您可以为每个内容审计策略使用托管策略规则或自定义策略规则,但不能同时使用两者。

  • 托管式策略规则— 在包含托管规则的策略中,您可以使用应用程序和协议列表来指定策略允许的内容和拒绝的内容。您可以使用由Firewall Manager 管理的列表。您也可以创建和使用自己的应用程序和协议列表。有关这些类型的列表以及自定义列表的管理选项的信息,请参阅托管列表.

  • 自定义策略规则— 在包含自定义策略规则的策略中,您可以将现有安全组指定为策略的审计安全组。您可以使用审计安全组规则作为模板来定义策略允许或拒绝的规则。

审计安全组

必须先使用 Firewall Manager 管理员帐户创建审计安全组,然后才能在策略中使用它们。您可以通过 Amazon VPC 或Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。想要了解有关信息,请参阅使用安全组Amazon VPC User Guide.

Firewall Manager 仅将您用于内容审计安全组策略的安全组用作策略范围内的安全组的比较参考。Firewall Manager 不会将其与组织中的任何资源相关联。

您在审计安全组中定义规则的方式取决于您在策略规则设置中的选择:

  • 托管式策略规则— 对于托管策略规则设置,您可以使用审计安全组来覆盖策略中的其他设置,明确允许或拒绝否则可能会产生其他合规结果的规则。

    • 如果你选择永远允许在审计安全组中定义的规则,任何与审计安全组中定义的规则相匹配的规则都将被考虑温顺使用该策略,不管其他策略设置如何。

    • 如果你选择永远否认在审计安全组中定义的规则,任何与审计安全组中定义的规则相匹配的规则都将被考虑不合规使用该策略,不管其他策略设置如何。

  • 自定义策略规则— 对于自定义策略规则设置,审计安全组提供了范围内的安全组规则中可接受或不可接受的示例:

    • 如果选择...允许规则的使用,所有范围内的安全组只能有符合以下条件的规则之内策略的审计安全组规则所允许的范围。在这种情况下,策略的安全组规则提供了可以接受的操作的示例。

    • 如果选择...否认规则的使用,所有范围内的安全组只能有符合以下条件的规则不在策略的审计安全组规则所允许的范围。在这种情况下,策略的安全组提供了不可接受的操作示例。

策略创建和管理

创建审计安全组策略时,必须禁用自动修复。建议的做法是在启用自动修复之前检查策略创建的影响。查看预期效果后,您可以编辑策略并启用自动修复。启用自动修复后,Firewall Manager 会更新或删除范围内安全组中不合规的规则。

受审计安全组策略影响的安全组

贵组织中由客户创建的所有安全组都有资格加入审计安全组策略的范围。

副本安全组不是客户创建的,因此没有资格直接加入审计安全组策略的范围。但是,由于该策略的自动修复活动,它们可能会被更新。通用安全组策略的主安全组由客户创建,可以在审计安全组策略的范围内。如果审计安全组策略对主安全组进行了更改,Firewall Manager 会自动将这些更改传播到副本。

使用情况审核安全组策略

使用Amazon Firewall Manager使用审计安全组策略来监控您的组织中是否存在未使用和冗余的安全组,并有选择地执行清理。当您为此策略启用自动修复时,Firewall Manager 执行以下操作:

  1. 合并冗余安全组(如果选择了该选项)。

  2. 删除未使用的安全组(如果选择了该选项)。

您可以将使用情况审计安全组策略应用于以下资源类型:

  • Amazon VPC 安全组

有关使用控制台创建使用情况审计安全组策略的指导,请参阅创建使用情况审核安全组策略.

Firewall Manager 如何修复冗余安全组

要将安全组视为冗余,它们必须设置完全相同的规则,并且位于相同的 Amazon VPC 实例中。为了修复冗余安全组集,Firewall Manager 在集合中选择一个要保留的安全组,然后将其关联到与集合中其他安全组关联的所有资源。然后,Firewall Manager 会将其他安全组与其关联的资源断开关联,从而使它们处于未使用状态。

注意

如果您还选择移除未使用的安全组,Firewall Manager 接下来会执行此操作。这可能导致删除冗余集中的安全组。

Firewall Manager 如何修复未使用的安全组

要使安全组被视为未使用,任何资源都必须在策略规则指定的最小分钟数内未使用这些安全组。默认情况下,此数字为零。您最多可以指定 525,600 分钟(365 天),以便自己有时间将新的安全组与资源关联起来。Firewall Manager 根据您的规则设置,通过从您的账户中删除未使用的安全组来修复这些安全组。

默认账户规范

当您通过控制台创建使用情况审计安全组策略时,Firewall Manager 会自动选择排除指定账户并包含所有其他账户. 然后,该服务将 Firewall Manager 管理员帐户放入要排除的列表中。这是推荐的方法,它允许您手动管理属于 Firewall Manager 管理员帐户的安全组。

安全组策略的最佳实践

本节列出了使用管理安全组的建议Amazon Firewall Manager.

排除Firewall Manager 管理员帐户

设置策略范围时,请排除 Firewall Manager 管理员帐户。当您通过控制台创建使用情况审计安全组策略时,这是默认选项。

从禁用自动修复开始

对于内容或使用情况审计安全组策略,请先禁用自动修复。查看策略详细信息以确定自动修复将产生的影响。在您确定进行了所需的更改时,请编辑策略以启用自动修复。

如果您还使用外部资源来管理安全组,请避免冲突

如果您使用 Firewall Manager 以外的工具或服务来管理安全组,请注意避免在 Firewall Manager 中的设置与外部来源的设置发生冲突。如果您使用自动修复并且您的设置发生冲突,则可能会创建一个冲突补救循环,消耗双方的资源。

例如,假设您配置了另一项服务来维护一组的安全组Amazon资源,您可以配置 Firewall Manager 策略,为部分或全部相同资源维护不同的安全组。如果您将任何一方配置为不允许任何其他安全组与范围内的资源相关联,则该端将删除由另一方维护的安全组关联。如果两端都以这种方式配置,则最终可能会出现相互矛盾的解除关联和关联循环。

此外,假设您创建了 Firewall Manager 审计策略来强制执行与其他服务的安全组配置冲突的安全组配置。Firewall Manager 审计策略应用的补救措施可能会更新或删除该安全组,使其不符合其他服务的要求。如果将其他服务配置为监控并自动修复发现的任何问题,它将重新创建或更新安全组,使其再次不符合 Firewall Manager 审计策略。如果 Firewall Manager 审计策略配置为自动修复,它将再次更新或删除外部安全组,依此类推。

为避免此类冲突,请在 Firewall Manager 和任何外部来源之间创建互斥的配置。

您可以使用标记将外部安全组排除在 Firewall Manager 策略的自动修复之外。为此,请向由外部来源管理的安全组或其他资源添加一个或多个标签。然后,当您定义 Firewall Manager 策略范围时,请在资源规范中排除具有已添加的一个或多个标签的资源。

同样,在您的外部工具或服务中,将 Firewall Manager 管理的安全组排除在任何管理或审计活动之外。要么不要导入Firewall Manager 资源,要么使用Firewall Manager 特定的标记将其排除在外部管理之外。

安全组策略限制

本部分列出了使用的限制Amazon Firewall Manager安全组策略:

  • 不支持更新使用 Fargate 服务类型创建的 Amazon EC2 弹性网络接口的安全组。但是,您可以使用 Amazon EC2 服务类型更新 Amazon ECS 弹性网络接口的安全组。

  • Firewall Manager 不支持由Amazon Relational Database Service 创建的 Amazon EC2 弹性网络接口的安全组。

  • 只有使用滚动更新 (Amazon ECS) 部署控制器的 Amazon ECS 服务才能更新 Amazon ECS 弹性网络接口。对于其他 Amazon ECS 部署控制器,例如 CODE_DEPLOY 或外部控制器,Firewall Manager 目前无法更新弹性网络接口。

  • 使用 Amazon EC2 弹性网络接口的安全组时,Firewall Manager 无法立即看到安全组的更改。Firewall Manager 通常会在几个小时内检测到更改,但检测可能会延迟长达六个小时。

  • Firewall Manager 不支持更新网络负载均衡器的弹性网络接口中的安全组。

  • Firewall Manager 不支持常见安全组策略中的安全组引用。

安全组策略使用案例

您可以使用Amazon Firewall Manager通用安全组策略,用于自动配置 Amazon VPC 实例之间的通信的主机防火墙。本节列出了标准的 Amazon VPC 架构,并描述了如何使用 Firewall Manager 常见安全组策略保护每个架构。这些安全组策略可以帮助您应用一组统一的规则来选择不同账户中的资源,并避免在 Amazon Elastic Compute Cloud 和 Amazon VPC 中针对每个账户进行配置。

使用 Firewall Manager 通用安全组策略,您可以只标记与另一个 Amazon VPC 中的实例通信所需的 EC2 弹性网络接口。这样,同一 Amazon VPC 中的其他实例就更加安全和隔离了。

使用案例:监控和控制对应用程序负载均衡器和传统负载均衡器的请求

您可以使用 Firewall Manager 通用安全组策略来定义您的负载均衡器应处理哪些请求。您可以通过Firewall Manager 控制台进行配置。只有符合安全组入站规则的请求才能到达您的负载均衡器,负载均衡器将仅分配符合出站规则的请求。

使用案例:可访问互联网的公共 Amazon VPC

您可以使用Firewall Manager 通用安全组策略来保护公有 Amazon VPC,例如,仅允许入站端口 443。这与只允许公有 VPC 的入站 HTTPS 流量相同。您可以在 VPC 中标记公共资源(例如,标记为 “PublicVPC”),然后将 Firewall Manager 策略范围设置为仅限带有该标签的资源。Firewall Manager 会自动将策略应用于这些资源。

使用案例:公共和私有 Amazon VPC 实例

您可以对公共资源使用相同的通用安全组策略,就像上一个可访问互联网的公共 Amazon VPC 实例用例中所建议的那样。您可以使用第二个通用安全组策略来限制公共资源和私有资源之间的通信。使用类似” 的内容标记公有和私有 Amazon VPC 实例中的资源PublicPrivate“对他们应用第二项政策。您可以使用第三个策略来定义私有资源与其他公司或私有 Amazon VPC 实例之间允许的通信。对于此政策,您可以在私有资源上使用其他识别标签。

使用案例:中心和分支亚马逊 VPC 实例

您可以使用通用安全组策略来定义中心 Amazon VPC 实例和分支 Amazon VPC 实例之间的通信。您可以使用第二个策略来定义从每个分支 Amazon VPC 实例到中心 Amazon VPC 实例的通信。

使用案例:Amazon EC2 实例的默认网络接口

您可以使用通用安全组策略仅允许标准通信,例如内部 SSH 和 Patch/OS 更新服务,并禁止其他不安全的通信。

使用案例:识别具有开放权限的资源

您可以使用审计安全组策略来识别组织内有权与公共 IP 地址通信或拥有属于第三方供应商的 IP 地址的所有资源。