Généralités
Q : Qu'est-ce qu'AWS Firewall Manager ?
AWS Firewall Manager est un service de gestion de la sécurité qui vous permet de configurer et de gérer de manière centralisée les règles de pare-feu dans vos comptes et vos applications dans AWS Organization. Lorsque de nouvelles applications sont créées, Firewall Manager facilite également la mise en conformité des nouvelles applications et ressources en appliquant un ensemble commun de règles de sécurité. Vous disposez maintenant d'un service unique permettant d'établir des règles de pare-feu, de créer des stratégies de sécurité et de les appliquer de façon cohérente et hiérarchisée sur l'ensemble de l'infrastructure.
Q : Quels sont les principaux avantages d'AWS Firewall Manager ?
AWS Firewall Manager s'intègre à AWS Organizations pour que vous puissiez mettre en œuvre des règles AWS WAF, des protections AWS Shield Advanced, des groupes de sécurité de VPC, des listes de contrôle d’accès (ACL) au réseau VPC, AWS Network Firewalls, et les règles de pare-feu DNS Amazon Route 53 Resolver sur plusieurs comptes et ressources AWS à partir d'un seul endroit. Firewall Manager surveille les nouvelles ressources ou les nouveaux comptes créés pour garantir leur conformité avec un ensemble obligatoire de politiques de sécurité dès le premier jour. Vous pouvez regrouper les règles, créer des stratégies et appliquer de manière centralisée ces stratégies à l'ensemble de votre infrastructure. Par exemple, vous pouvez déléguer la création de règles spécifiques à une application dans un compte tout en ayant la possibilité d'appliquer des stratégies de sécurité globales aux comptes. Votre équipe dédiée à la sécurité peut être avertie des menaces contre l'entreprise afin de répondre et de juguler rapidement les attaques.
Firewall Manager s'intègre également aux règles gérées pour AWS WAF, ce qui vous permet de déployer facilement des règles WAF préconfigurées pour vos applications.
Les administrateurs de sécurité peuvent exploiter Firewall Manager pour appliquer un ensemble de règles ACL de base aux sous-réseaux ou aux règles de groupe de sécurité pour les instances EC2, Application Load Balancers et l’interface réseau Elastic (ENI) dans vos VPC Amazon. Parallèlement, vous pouvez également auditer les groupes de sécurité existants dans vos VPC pour détecter les règles trop permissives et les corriger depuis un emplacement unique.
Vous pouvez exploiter AWS Firewall Manager pour déployer de manière centralisée les points de terminaison pour AWS Network Firewall et les règles associées sur les VPC de votre organisation, afin de contrôler le trafic entrant et sortant de votre réseau. En même temps, vous pouvez également utiliser Firewall Manager pour associer les VPC de vos comptes aux règle de pare-feu DNS Route 53 Resolver afin de bloquer les requêtes DNS faites pour les domaines malveillants connus et d'autoriser les requêtes pour les domaines fiables.
Q : Que configure AWS Firewall Manager ?
Grâce à AWS Firewall Manager, vous pouvez configurer de manière centralisée des règles AWS WAF, des protections AWS Shield Advanced, des groupes de sécurité Amazon cloud privé virtuel (VPC) et les listes de contrôle d'accès (ACL) au réseau, AWS Network Firewall et des règles de pare-feu DNS Amazon Route 53 Resolver dans plusieurs comptes et ressources au sein de votre organisation.
Q : Sur quelles ressources AWS Firewall Manager permet-il de configurer des règles ?
Grâce à AWS Firewall Manager, vous pouvez
- facilement déployer des règles AWS WAF dans Application Load Balancer, vos passerelles API et vos distributions Amazon CloudFront.
- Vous pouvez créer des protections AWS Shield Advanced pour vos Application Load Balancers, vos Classic Load Balancers ELB, vos adresses IP Elastic et vos distributions CloudFront.
- Vous pouvez également configurer de nouveaux groupes de sécurité Amazon cloud privé virtuel (VPC) et auditer les groupes de sécurité existants pour vos instances Amazon EC2, Application Load Balancers (ALB) et vos types de ressources ENI.
- Vous pouvez configurer de nouvelles listes de contrôle d'accès (ACL) réseau Amazon cloud privé virtuel (VPC) pour vos sous-réseaux VPC.
- Vous pouvez également déployer AWS Network Firewall sur les comptes et les VPC de votre organisation.
- Enfin, grâce à AWS Firewall Manager, vous pouvez également associer des règles de pare-feu DNS Amazon Route 53 Resolver aux VPC de votre organisation.
Q : Combien coûte AWS Firewall Manager ?
La tarification d'AWS Firewall Manager est disponible ici.
Q : Dans quelles régions le service AWS Firewall Manager est-il disponible ?
Veuillez consulter le tableau des régions AWS pour connaître la disponibilité actuelle d'AWS Firewall Manager dans les différentes régions.
Activation d'AWS Firewall Manager
Q : Quels sont les prérequis pour AWS Firewall Manager ?
Il existe trois prérequis obligatoires et un prérequis facultatif pour utiliser AWS Firewall Manager.
- AWS Organizations – Vos comptes doivent faire partie d'AWS Organizations et toutes les fonctions doivent être actives. Consultez la documentation AWS Organizations pour en savoir plus.
- Configuration du compte administrateur d'AWS Firewall Manager : Firewall Manager doit être associé au compte de gestion de votre organisation AWS ou à un compte membre disposant des autorisations appropriées. Le compte associé à Firewall Manager est appelé compte administrateur de Firewall Manager. Consultez le guide de documentation pour plus d’informations.
- Activation d'AWS Config sur les comptes – Activez AWS Config pour chaque compte membre de votre organisation. Consultez la documentation AWS Config.
- Activation d'AWS Resource Access Manager (facultatif) – Pour permettre à Firewall Manager de configurer de manière centralisée les pare-feux réseau AWS ( AWS Network Firewalls) ou d'associer des règles de pare-feu de serveur DNS Amazon Route 53 Resolver à vos comptes et à vos VPC, vous devez d'abord activer le partage des ressources à l'aide d'AWS Resource Access Manager.
Q : Comment utiliser AWS Firewall Manager ?
- Tout d'abord, veillez à remplir les prérequis mentionnés cités plus haut.
- Deuxièmement, créez un type de stratégie pour AWS WAF, AWS Shield Advanced, le groupe de sécurité VPC, AWS Network Firewall ou le pare-feu DNA Amazon Route 53 Resolver.
- Troisièmement, selon la stratégie, spécifiez l'ensemble des règles ou des protections. Par exemple, pour une stratégie destinée à AWS WAF, spécifiez les groupes de règles (personnalisées ou gérées) que vous souhaitez déployer sur les différents comptes. De même, pour une stratégie de groupe de sécurité VPC, mentionnez le groupe de sécurité que vous souhaitez répliquer dans chaque ressource au sein des comptes. Pour les pare-feux réseau AWS, spécifiez les groupes de règles (dynamiques ou statiques) que vous souhaitez déployer sur les VPC de vos comptes. Pour le pare-feu DNS Amazon Route 53 Resolver, spécifiez l'ensemble de règles (groupe de règles) que vous souhaitez associer aux VPC de vos comptes.
- Quatrièmement, spécifiez la portée de la stratégie en sélectionnant les comptes, le type de ressources et, éventuellement les balises de ressources où vous souhaitez déployer la stratégie.
- Enfin, vous pouvez vérifier et créer la stratégie. Firewall Manager applique automatiquement les règles et protections à toutes les ressources des différents comptes. De plus, une fois la configuration terminée, Firewall Manager affiche un tableau de bord de conformité qui indique les comptes/ressources qui ne sont pas conformes ainsi que les comptes/ressources conformes.
Q : Puis-je créer une stratégie Firewall Manager sans l'appliquer automatiquement ?
Oui. Vous pouvez configurer une stratégie Firewall Manager selon deux modes :
- application automatique, qui vous permet de surveiller automatiquement tout écart à la stratégie et d'appliquer les règles aux ressources non conformes ;
- application manuelle, qui crée une nouvelle stratégie et les règles/protections associées sur chaque compte sans mettre en application ces règles sur les ressources du compte. Une fois la stratégie créée en application manuelle, vous avez la possibilité de prendre des mesures manuellement pour n'importe quel compte local, ou vous pouvez modifier à tout moment la stratégie pour l'appliquer automatiquement.
Q : Combien de comptes AWS Firewall Manager peut-il gérer ?
Chaque stratégie Firewall Manager peut être limitée à 2 500 comptes, limite par défaut pour le nombre de comptes dans AWS Organizations.
Q : Combien de ressources AWS Firewall Manager peut-il gérer ?
Pour le moment, il n'y a aucune limite au nombre de ressources gérées par Firewall Manager.
Q : Puis-je créer des stratégies de sécurité sur plusieurs régions ?
Non, les stratégies de sécurité d'AWS Firewall Manager sont spécifiques à chaque région. Chaque stratégie Firewall Manager ne peut inclure que des ressources disponibles dans une région AWS donnée. Vous pouvez créer une nouvelle stratégie pour chaque région dans laquelle vous travaillez.
Q : Puis-je exclure des comptes ou des ressources de la portée de la stratégie ?
Oui. Vous pouvez exclure des comptes. Vous avez également la possibilité d'utiliser des identifications pour spécifier les ressources à exclure de la portée de la stratégie.
Q : Qu'est-ce qu'une stratégie de sécurité Firewall Manager ?
La stratégie de sécurité Firewall Manager est un ensemble de configurations qui permet aux clients de spécifier les comptes et les ressources qui doivent être associés à un ensemble de règles de pare-feu, avec des configurations supplémentaires personnalisées pour chaque type de pare-feu. Firewall Manager prend actuellement en charge AWS WAF, AWS Shield Advanced, les groupes de sécurité VPC, les ACL de réseau VPC, AWS Network Firewall, les pare-feu DNS Amazon Route 53 Resolver et les pare-feu tiers d'AWS Marketplace.
Tableau de bord et visibilité
Q : Puis-je voir le statut de conformité par rapport à une stratégie précise ?
Avec Firewall Manager, il est possible de voir rapidement le statut de conformité pour chaque en regardant le nombre de comptes inclus dans la portée de la stratégie et combien parmi ces derniers sont conformes. En outre, pour chaque stratégie configurée sur Firewall Manager, vous disposez d'un tableau de bord de conformité. Le tableau de bord de conformité central vous permet de voir quels comptes ne sont pas conformes à une stratégie donnée, quelles ressources précises ne sont pas conformes et il donne également le motif de non-conformité d'une ressource donnée. Vous pouvez également afficher les événements non conformes pour chaque compte sur AWS Security Hub.
Q : Est-ce qu'AWS Firewall Manager émet des notifications lorsqu'une ressource n'est pas conforme ?
Oui. Vous pouvez créer de nouveaux canaux de notification SNS pour recevoir des notifications en temps réel lorsque de nouvelles ressources non conformes sont découvertes. De même, chaque compte faisant partie d'une stratégie Firewall Manager reçoit des notifications lorsque des événements non conformes se produisent sur AWS Security Hub.
Q : Comment voir les menaces qui pèsent sur mon organisation ?
Pour chaque stratégie Firewall Manager créée, vous pouvez regrouper des métriques CloudWatch pour chaque règle du groupe de règles, ce qui permet d'indiquer le nombre de requêtes ayant été autorisées ou bloquées dans toute l'organisation. Vous disposez ainsi d'une plateforme centralisée pour la configuration d'alertes de menaces sur votre organisation.
En savoir plus sur la tarification d'AWS Firewall Manager