通过 AWS Firewall Manager 集中管理安全规则 - WAF 与 Security Group 的组织级部署
介绍如何集中管理 Organizations 全组织的 WAF 规则、Security Group 和 Network Firewall 策略,并通过自动应用到新账户来维护组织整体的安全基线。
Firewall Manager 概述
AWS Firewall Manager 是一项集中管理 Organizations 全组织防火墙规则的安全管理服务。可将 WAF 规则、Shield Advanced 保护、Security Group 规则、Network Firewall 策略和 Route 53 Resolver DNS Firewall 规则统一应用到整个组织。新账户或资源创建时会自动应用已定义的策略,确保安全基线不会出现空白。
安全策略的设计
Firewall Manager 的安全策略按策略类型(WAF、Shield、Security Group、Network Firewall、DNS Firewall)分别创建。WAF 策略中组合托管规则组(AWS Managed Rules、Marketplace 规则)和自定义规则进行定义,可应用于 CloudFront、ALB 和 API Gateway。Security Group 策略定义允许的入站/出站规则,自动检测并修复不合规的安全组。通过 OU 和标签指定策略的适用范围,实现精细的控制。
合规性与自动修复
通过 Firewall Manager 的合规性仪表板实时监控各账户和资源的策略合规状态。对于不合规的资源,可选择自动修复(强制应用策略中定义的规则)或仅通知(向管理员发送告警)。通过与 Security Hub 的集成,可将 Firewall Manager 的检测结果与其他安全服务的检测结果统一管理。Config Rules 持续评估合规状态,并在偏离时自动触发修复操作。
Firewall Manager 的定价
Firewall Manager 的费用为每个策略每月约 100 美元。一个策略可应用于整个组织(数百个账户),因此账户数越多,每个账户的成本越低。策略所应用的 WAF、Shield Advanced、Network Firewall 等各服务的费用另行产生。Firewall Manager 本身的费用是固定的,不随受保护资源数量增加而变化,适合大规模组织。
总结
AWS Firewall Manager 是一项集中管理 Organizations 全组织的 WAF、Security Group 和 Network Firewall 策略,并通过自动应用到新账户和资源来维护安全基线的服务。通过合规性仪表板和自动修复功能,持续监控和改善组织整体的安全态势。