Liên tục Audit và Giới hạn Security Groups với AWS Firewall Manager > AWS Firewall Manager

AWS Firewall Manager

Làm quen với dịch vụ AWS Firewall Manager

Firewall Manager là dịch vụ quản lý bảo mật cho phép chúng ta cấu hình những Firewall rules trên những ứng dụng và tài khoản AWS mà nằm trong phạm vi AWS Organization của một tổ chức.

Khi một ứng dụng được triển khai, các qui định bảo mật sẽ được thiết lập bởi Firewall Manager, nhằm áp đặt và bảo vệ dựa trên những quy tắc cơ sở. Qua đó, chắc chắn rằng những tài nguyên (ví dụ như Security Group) vi phạm sẽ được rà soát và loại bỏ một cách tự động.

Đây là một dịch vụ trung tâm bao gồm các tính năng như tạo ra các chính sách bảo mật, áp đặt các chính sách đó cũng như tự động rà soát các tài nguyên của một hệ thống lớn một cách xuyên suốt.

Các khả năng mà Firewall Manager cung cấp cho Security Group được phân làm 3 loại chính:

Khởi tạo và áp dụng bảo mật cơ sở cho Security Group.
Rà soát và thu dọn các Security Group trùng lặp và không sử dụng.
Xác định bất kỳ Security Group định nghĩa quy định quá mở và có rủi ro cao.

firewall-manager-architecture

Nội dung

Điều kiện tiên quyết
Thiết lập AWS Organizations
Cấu hình tài khoản Firewall Manager Administrator
Kích hoạt dịch vụ AWS Config
Kích hoạt tính năng chia sẻ tài nguyên

Điều kiện tiên quyết

Để có thể chuẩn bị và kích hoạt AWS Firewall Manager, đối với lần đầu tiên sử dụng dịch vụ này, chúng ta cần phải lần lượt thực hiện các bước sau:

Thiết lập AWS Organizations.
Cấu hình tài khoản Firewall Manager Administrator.
Kích hoạt dịch vụ AWS Config.
Kích hoạt tính năng chia sẻ tài nguyên (Đối với các chính sách Network Firewall)

Tìm hiểu thêm về AWS Firewall Manager Prerequisites.

Thiết lập AWS Organizations

Nếu như tài khoản AWS đã là một thành viên của AWS Organization, bạn có thể di chuyển tới bước kế tiếp. Nếu không, bạn cần phải tiến hành thiết lập AWS Organization.

ec2-security-groups

Tìm hiểu thêm về Creating & Managing AWS Organizations.

Cấu hình tài khoản Firewall Manager Administrator

Truy cập vào AWS Console thông qua tài khoản IAM User có đầy đủ quyền hạn.
Truy cập vào dịch vụ Firewall Manager.

ec2-security-groups

Nhấn nút Get Started.
Nhập ID của tài khoản AWS mà bạn muốn liên kết.

ec2-security-groups

Nhấn nút Set administrator account.
Một khi cấu hình thành công, bạn sẽ nhận được thông báo tương ứng như sau.

ec2-security-groups

Kích hoạt dịch vụ AWS Config

Ở phần trước, chúng ta đã kích hoạt dịch vụ AWS Config từ AWS Console. Tuy nhiên, chúng ta hoàn toàn có thể nhanh chóng kích hoạt thông qua việc khởi tạo một CloudFormation Stacksets.

Thành Phần	Giá Trị (Bắt buộc)
Stack Name	enable-aws-config
Template URL	EnableAWSConfig.yml

Kích hoạt tính năng chia sẻ tài nguyên

Để có thể quản lý các chính sách Network Firewall xuyên suốt các tài khoản AWS, bạn cần phải kích hoạt tính năng chia sẻ tài nguyên với AWS Organization thông qua dịch vụ AWS Resource Access Manager.

Truy cập vào dịch vụ Resource Access Manager.
Ở thanh điều hướng bên tay trái, chọn Settings.

ec2-security-groups

Nhấn chọn Enable sharing with AWS Organizations.

ec2-security-groups

Chọn nút Save Settings.

ec2-security-groups

Ngoài ra, chúng ta có thể sử dụng AWS CLI để tiến hành kích hoạt.

aws ram enable-sharing-with-aws-organization

Tìm hiểu thêm về Enable Sharing with AWS Organizations