セキュリティ

AWS Firewall Manager

Servicio de gestión de seguridad que aplica y administra de forma centralizada reglas de WAF, Shield Advanced, Security Groups y Network Firewall en múltiples cuentas y recursos bajo Organizations

Unos 4 min de lectura

Descripción general

AWS Firewall Manager es un servicio que gestiona de forma centralizada las reglas de firewall en múltiples cuentas AWS en coordinación con AWS Organizations. Define políticas de seguridad para reglas WAF, protección Shield Advanced, security groups de VPC, políticas de Network Firewall y reglas de Route 53 Resolver DNS Firewall, aplicándolas automáticamente a las OUs y cuentas especificadas. Cuando se agregan nuevas cuentas o recursos, las políticas se aplican automáticamente, garantizando la consistencia de seguridad.

Tipos de políticas de seguridad y alcance de aplicación

Firewall Manager tiene 6 tipos de políticas de seguridad, seleccionándose según el tipo de recurso a proteger. La política WAF aplica grupos de reglas WAF de forma masiva a distribuciones CloudFront, ALB, API Gateway y AppSync. Se usa para forzar reglas WAF comunes (defensa contra inyección SQL, rate limiting) en todos los ALB de todas las cuentas. La política Shield Advanced aplica protección DDoS a EC2, ELB, CloudFront, Global Accelerator y Route 53. La política de security groups gestiona los security groups de VPC, con capacidad de detección y remediación automática de reglas de entrada innecesarias. La política Network Firewall despliega automáticamente Network Firewall en VPCs, aplicando reglas de inspección de tráfico stateful. La política DNS Firewall aplica reglas de filtrado DNS a Route 53 Resolver, bloqueando consultas DNS a dominios maliciosos. El alcance de cada política se puede especificar por OU de Organizations, por cuenta o por tag de recurso, con posibilidad de configurar reglas de exclusión.

Gestión centralizada de reglas WAF y remediación automática

El caso de uso más común de Firewall Manager es la gestión centralizada de reglas WAF. Cuando el equipo de seguridad define una política WAF en Firewall Manager, se crean y asocian automáticamente Web ACLs en los recursos objetivo de las cuentas objetivo. En la política se especifican "primer grupo de reglas" y "último grupo de reglas", y los administradores de cada cuenta pueden agregar reglas específicas de la cuenta entre ellos. Esto permite forzar un baseline de seguridad organizacional (protección OWASP Top 10, protección contra bots, rate limiting) mientras se deja margen de personalización por cuenta. Con la función de remediación automática habilitada, se remedian automáticamente los recursos no conformes con la política (como ALBs sin WAF asociado). Cuando se crea un nuevo ALB, Firewall Manager lo detecta y asocia automáticamente el WAF. El dashboard de compliance permite ver de un vistazo el estado de conformidad de todas las cuentas, facilitando la identificación y tratamiento de recursos no conformes.

Prerrequisitos de implementación y estructura de costos

La implementación de Firewall Manager tiene 3 prerrequisitos. Primero, AWS Organizations debe estar habilitado con todas las funciones (All Features) activadas. Segundo, debe designarse una cuenta administradora de Firewall Manager (normalmente la cuenta de seguridad). Tercero, AWS Config debe estar habilitado en las cuentas objetivo (necesario para que Firewall Manager evalúe el estado de conformidad de los recursos). La estructura de costos incluye el cargo por política de Firewall Manager (100 USD mensuales por política) más los cargos de los recursos creados por cada política (Web ACLs de WAF, endpoints de Network Firewall, etc.). Para una política WAF, el costo total es 100 USD de Firewall Manager + cargo de Web ACL por cuenta (5 USD mensuales) + cargos de reglas + cargos de solicitudes. Aplicando una política WAF a 10 cuentas, el estimado mensual es de 200-300 USD entre 100 USD de Firewall Manager + 50 USD de Web ACLs + cargos de reglas y solicitudes. Con pocas cuentas (menos de 5), configurar WAF individualmente en cada cuenta puede ser más eficiente en costos.

共有するXB!

Términos relacionados

AWS WAFAWS Network FirewallAWS OrganizationsAWS Security HubAWS Config

Servicios relacionados

AWS WAFAWS Network FirewallAWS OrganizationsAWS Config

Artículos relacionados

Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Gestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.

Términos y artículos similares

Gestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.AWS Firewall ManagerUn servicio para gestionar centralmente reglas de firewall en toda su organización de AWSAWS Network FirewallServicio de firewall gestionado para el control granular del tráfico de red en VPCControl de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominiosExplicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.