概览
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
Automations for AWS Firewall Manager 使您能够以自动化方式集中配置、管理和审核所有 AWS Organizations 账户和资源的防火墙规则。通过使用此 AWS 解决方案,您可以在整个组织内保持一致的安全状况。
该解决方案提供预设规则来为 AWS WAF 配置应用程序级防火墙、审核未使用和过于宽松的 Amazon Virtual Private Cloud(Amazon VPC)安全组,并设置 DNS 防火墙来阻止对恶意域的查询。
该解决方案还可以帮助您创建防火墙安全规则的快速基准,并通过与 AWS Shield Advanced 集成来防范分布式拒绝服务(DDoS)攻击。
注意:如果您已经在您的组织中使用 Firewall Manager,则可以使用此解决方案;但是,您必须在您的 Firewall Manager 管理员账户中安装该解决方案。如果您尚未设置 Firewall Manager,请参阅实施指南,了解相关步骤。
优势
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
使用 AWS Firewall Manager,在多账户 AWS 环境中轻松配置和审计 AWS WAF、DNS 和安全组规则。
利用此解决方案安装使用 Firewall Manager 所需的先决条件,这样您就可以花更多时间关注您的特定安全需求。
利用 AWS Shield Advanced 订阅,在 AWS Organizations 中跨多个账户部署 DDoS 保护。
技术详情
![](https://d1.awsstatic.com/colorset-3A_blue-to-green_gradient_divider.81459b38a56091aebc8c9b5310826c4ef397b007.png)
您可以使用实施指南和随附的 AWS CloudFormation 模板自动部署该架构。
该架构可分为两个工作流:策略管理器和合规性报告生成器。
第 1 步
Parameter Store是 AWS Systems Manager 的一项功能,包含三个参数:/FMS/OUs、/FMS/Regions 和 /FMS/Tags。使用 Systems Manager 更新这些参数。
第 2 步
Amazon EventBridge 规则使用事件模式捕获 System Manager 参数更新事件。
第 3 步
EventBridge 规则将调用 AWS Lambda 函数。
第 4 步
Lambda 函数跨用户指定的 OU 安装一组预定义的 AWS Firewall Manager 安全策略。此外,如果您订阅了 AWS Shield,该解决方案还将部署 Advanced 策略以抵御分布式拒绝服务(DDoS)攻击。
第 5 步
PolicyManager Lambda 函数会从 Amazon Simple Storage Service(Amazon S3)存储桶获取策略清单文件,然后使用该清单文件创建 Firewall Manager 安全策略。
第 6 步
Lambda 在 Amazon DynamoDB 表中保存策略元数据。
第 7 步
基于时间的 EventBridge 规则会调用合规性生成器 Lambda 函数。
第 8 步
合规性生成器 Lambda 函数会获取各区域中的 Firewall Manager 策略,然后在 Amazon Simple Notification Service(Amazon SNS)主题中发布策略 ID 清单。
第 9 步
Amazon SNS 主题会通过负载 {PolicyId: string, Region: string} 调用合规性生成器 Lambda 函数。
第 10 步
合规性生成器Lambda 函数会为各策略生成合规性报告,并以 CSV 格式在 S3 存储桶中上载报告。