セキュリティ

AWS Network Firewall

Servicio de firewall de red gestionado que inspecciona el tráfico de la VPC de forma stateful, proporcionando prevención de intrusiones y filtrado por dominio

Unos 4 min de lectura

Descripción general

AWS Network Firewall es un servicio de firewall gestionado que controla de forma granular el tráfico de red dentro de una VPC. Proporciona inspección avanzada de tráfico que no es posible con grupos de seguridad o NACLs (inspección stateful, detección y prevención de intrusiones, filtrado basado en dominios, inspección TLS). Adopta un motor de reglas compatible con Suricata, lo que permite migrar conjuntos de reglas IDS/IPS existentes. Puede combinarse con Transit Gateway o Gateway Load Balancer para operar como firewall centralizado en entornos multi-VPC.

Estructura de dos niveles con reglas stateless y stateful

Las reglas de Network Firewall se componen de dos tipos: grupos de reglas stateless y grupos de reglas stateful. Las reglas stateless realizan un filtrado simple basado en dirección IP, puerto y protocolo, con un comportamiento similar a las NACLs. Las reglas stateful rastrean el estado de las conexiones y pueden escribirse en tres formatos: reglas de 5-tupla compatibles con Suricata, reglas de lista de dominios y reglas IPS de Suricata. Al adoptar un motor basado en Suricata, se pueden utilizar directamente conjuntos de reglas IDS/IPS de código abierto publicados por Emerging Threats o la comunidad Snort. Azure Firewall adopta un motor de reglas propietario y no admite la importación directa de estas reglas de código abierto. En la práctica, se recomienda una estructura de dos niveles donde las reglas stateless descartan primero el tráfico claramente innecesario (rangos de IP maliciosas conocidas) y el tráfico restante se inspecciona en detalle con las reglas stateful.

Filtrado por dominio e inspección TLS

Las reglas de lista de dominios de Network Firewall son potentes para permitir solo comunicaciones HTTP/HTTPS hacia dominios específicos. Son efectivas para restringir comunicaciones hacia APIs externas o bloquear comunicaciones C2 (Command and Control) de malware. Para tráfico HTTP se inspecciona el encabezado Host, y para HTTPS se examina el campo SNI (Server Name Indication) de TLS para determinar el dominio. Al habilitar la inspección TLS, se puede examinar el contenido del tráfico cifrado, pero como se utiliza un certificado CA gestionado por ACM (AWS Certificate Manager) para descifrar y re-cifrar la comunicación, es necesario configurar la confianza del certificado CA en el lado del cliente. Libros de seguridad de red en Amazon para aprender de forma sistemática.

VPC de inspección centralizada y despliegue organizacional con Firewall Manager

El patrón de despliegue más común de Network Firewall es la VPC de inspección centralizada. Mediante el enrutamiento de Transit Gateway, se concentra todo el tráfico hacia Internet de todas las VPCs a través de la VPC de inspección, donde Network Firewall lo examina de forma centralizada. Esta configuración elimina la necesidad de colocar firewalls individuales en cada VPC y centraliza la gestión de reglas. Combinado con Firewall Manager, se pueden aplicar políticas de firewall unificadas a todas las cuentas dentro de Organizations, y cuando se crean nuevas VPCs, el firewall se despliega automáticamente. Como consideración de costos, los endpoints de firewall deben crearse por cada AZ, por lo que en una configuración de 3 AZs se generan cargos fijos por 3 endpoints. Además, hay cargos por volumen de tráfico procesado, lo que puede representar un costo significativo en entornos con alto volumen de tráfico. Si los requisitos pueden cubrirse con grupos de seguridad y NACLs, hay casos donde no es necesario implementar Network Firewall.

共有するXB!

Términos relacionados

Amazon VPCAWS WAFAmazon GuardDutyAWS IAM

Servicios relacionados

Amazon VPCAWS WAFAWS Transit Gateway

Artículos relacionados

Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Red hub-and-spoke con AWS Transit Gateway - Diseño de conectividad multi-VPCAgregación de múltiples VPCs y redes on-premises en topología hub-and-spoke, estableciendo límites de seguridad con separación de tablas de rutas. También presentamos la conectividad multi-región mediante peering.Por qué el CIDR predeterminado de VPC es /16 - Curiosidades y trampas del diseño de direcciones IPExplicamos por qué el CIDR predeterminado de VPC es /16, la historia del espacio de direcciones privadas RFC 1918, las 5 direcciones IP no utilizables en subredes y los patrones de fallo en el diseño CIDR.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.Ventaja del primer movedor y economías de escala de AWS - Lo que significan 18 años de acumulación desde 2006Comparamos la ventaja del primer movedor que AWS ha construido desde que creó el mercado de nube pública en 2006, desde las perspectivas de número de servicios, estabilidad de APIs y profundidad del ecosistema, frente a Azure y GCP.

Términos y artículos similares

AWS Network FirewallServicio de firewall gestionado para el control granular del tráfico de red en VPCControl de tráfico VPC con AWS Network Firewall - Reglas stateful y filtrado de dominiosExplicación del control de tráfico VPC con AWS Network Firewall. Se presenta la diferenciación con Security Groups, el diseño de reglas, el filtrado de dominios y las reglas gestionadas.AWS Firewall ManagerUn servicio para gestionar centralmente reglas de firewall en toda su organización de AWSAWS Firewall ManagerServicio de gestión de seguridad que aplica y administra de forma centralizada reglas de WAF, Shield Advanced, Security Groups y Network Firewall en múltiples cuentas y recursos bajo OrganizationsGestión centralizada de reglas de seguridad con AWS Firewall Manager - Despliegue organizacional de WAF y Security GroupsGestionamos centralizadamente las reglas WAF, Security Groups y políticas de Network Firewall en toda la organización, manteniendo la línea base de seguridad con aplicación automática a nuevas cuentas.