FAQ concernant AWS Firewall Manager

Questions d’ordre général

AWS Firewall Manager est un service de gestion de la sécurité qui vous permet de configurer et de gérer de manière centralisée les règles de pare-feu dans vos comptes et applications dans AWS Organization. Lorsque de nouvelles applications sont créées, Firewall Manager facilite également la mise en conformité des nouvelles applications et ressources en appliquant un ensemble commun de règles de sécurité. Vous disposez maintenant d'un service unique permettant d'établir des règles de pare-feu, de créer des stratégies de sécurité et de les appliquer de façon cohérente et hiérarchisée sur l'ensemble de l'infrastructure.

AWS Firewall Manager s’intègre à AWS Organizations pour que vous puissiez mettre en œuvre des règles AWS WAF, des protections AWS Shield Advanced, des groupes de sécurité de VPC, des services AWS Network Firewalls et des règles de pare-feu DNS Amazon Route 53 Resolver dans plusieurs comptes et ressources AWS depuis un emplacement unique. Firewall Manager surveille les nouvelles ressources ou les nouveaux comptes créés pour garantir leur conformité avec un ensemble obligatoire de politiques de sécurité dès le premier jour. Vous pouvez regrouper les règles, créer des stratégies et appliquer de manière centralisée ces stratégies à l'ensemble de votre infrastructure. Par exemple, il est possible de déléguer la création de règles spécifiques à une application sur un compte tout en conservant la possibiltié de mettre en application des politiques de sécurité mondiales sur les comptes. Votre équipe dédiée à la sécurité peut être avertie des menaces contre l'entreprise afin de répondre et de juguler rapidement les attaques.

Firewall Manager s'intègre également aux règles gérées pour AWS WAF, ce qui vous permet de déployer facilement des règles WAF préconfigurées devant vos applications.

Les administrateurs de sécurité peuvent exploiter Firewall Manager pour appliquer un ensemble de base de règles des groupes de sécurité pour les instances EC2, les équilibreurs de charge d'application et les interfaces réseau Elastic (ENI) dans vos VPC Amazon. Parallèlement, vous pouvez également auditer les groupes de sécurité existants dans vos VPC pour détecter les règles trop permissives et les corriger depuis un emplacement unique.

Vous pouvez exploiter Firewall Manager pour déployer de manière centralisée les points de terminaison pour AWS Network Firewall et les règles associées sur les VPC de votre organisation, afin de contrôler le trafic entrant et sortant de votre réseau. En même temps, vous pouvez également utiliser Firewall Manager pour associer les VPC de vos comptes aux règle de pare-feu DNS Route 53 Resolver afin de bloquer les requêtes DNS faites pour les domaines malveillants connus et d'autoriser les requêtes pour les domaines fiables.

Grâce à AWS Firewall Manager, vous pouvez configurer de manière centralisée des règles AWS WAF, des protections AWS Shield Advanced, des groupes de sécurité Amazon cloud privé virtuel (VPC) et les listes de contrôle d'accès (ACL) au réseau, AWS Network Firewall et des règles de pare-feu DNS Amazon Route 53 Resolver dans plusieurs comptes et ressources au sein de votre organisation.

À l'aide d'AWS Firewall Manager, vous pouvez 

  • facilement déployer des règles AWS WAF dans Application Load Balancer, vos passerelles API et vos distributions Amazon CloudFront. 
  • Vous pouvez créer des protections AWS Shield Advanced pour vos Application Load Balancers, vos Classic Load Balancers ELB, vos adresses IP Elastic et vos distributions CloudFront. 
  • Vous pouvez également configurer de nouveaux groupes de sécurité Amazon Virtual Private Cloud (VPC) et auditer les groupes de sécurité existants pour vos instances Amazon EC2, Application Load Balancers (ALB) et vos types de ressources ENI. 
  • Vous pouvez également déployer des pare-feu réseau AWS sur les comptes et les VPC de votre organisation.
  • Enfin, grâce à AWS Firewall Manager, vous pouvez également associer des règles de pare-feu DNS Amazon Route 53 Resolver aux VPC de votre organisation.
  • Vous pouvez configurer de nouvelles listes de contrôle d'accès (ACL) réseau Amazon cloud privé virtuel (VPC) pour vos sous-réseaux VPC.

La tarification d’AWS Firewall Manager est disponible ici.

Veuillez consulter le tableau de Région AWS pour connaître la disponibilité actuelle d’AWS Firewall Manager dans les différentes régions.

Activation d'AWS Firewall Manager

Il existe trois prérequis obligatoires et un prérequis facultatif pour utiliser AWS Firewall Manager.

  • AWS Organizations – Vos comptes doivent faire partie d’AWS Organizations et toutes les fonctionnalités doivent être actives. Consultez la documentation AWS Organizations pour en savoir plus.
  • Définissez le compte administrateur d’AWS Firewall Manager : Firewall Manager doit être associé au compte de gestion de votre organisation AWS ou à un compte membre disposant des autorisations appropriées. Le compte associé à Firewall Manager est appelé compte administrateur de Firewall Manager. Consultez le guide de documentation pour plus d’informations.
  • Activation d’AWS Config sur les comptes – Activez AWS Config pour chaque compte membre de votre organisation. Consultez la documentation AWS Config.
  • Activer AWS Resource Access Manager (facultatif) – Pour permettre à Firewall Manager de configurer de manière centralisée AWS Network Firewalls ou d’associer des règles de pare-feu de serveur DNS Amazon Route 53 Resolver à vos comptes et à vos VPC, vous devez d’abord activer le partage des ressources à l’aide d’AWS Resource Access Manager.
  • Tout d'abord, veillez à remplir les prérequis mentionnés cités plus haut.
  • Deuxièmement, créez un type de stratégie pour AWS WAF, AWS Shield Advanced, le groupe de sécurité VPC, AWS Network Firewall ou le pare-feu DNA Amazon Route 53 Resolver.
  • Troisièmement, selon la stratégie, spécifiez l'ensemble des règles ou des protections. Par exemple, pour une stratégie destinée à AWS WAF, spécifiez les groupes de règles (personnalisées ou gérées) que vous souhaitez déployer sur les différents comptes. De même, pour une stratégie de groupe de sécurité VPC, mentionnez le groupe de sécurité que vous souhaitez répliquer dans chaque ressource au sein des comptes. Pour les pare-feux réseau AWS, spécifiez les groupes de règles (dynamiques ou statiques) que vous souhaitez déployer sur les VPC de vos comptes. Pour le pare-feu DNS Amazon Route 53 Resolver, spécifiez l'ensemble de règles (groupe de règles) que vous souhaitez associer aux VPC de vos comptes.
  • Quatrièmement, spécifiez la portée de la stratégie en sélectionnant les comptes, le type de ressources et, éventuellement, les balises de ressources où vous souhaitez déployer la stratégie.
  • Enfin, vous pouvez vérifier et créer la stratégie. Firewall Manager applique automatiquement les règles et protections à toutes les ressources des différents comptes. De plus, une fois la configuration terminée, Firewall Manager affiche un tableau de bord de conformité qui indique les comptes/ressources qui ne sont pas conformes ainsi que les comptes/ressources conformes.

Oui. Vous pouvez configurer une politique Firewall Manager selon deux modes :

  • application automatique, qui vous permet de surveiller automatiquement tout écart à la politique et d'appliquer les règles aux ressources non conformes ;
  • application manuelle, qui crée une nouvelle stratégie et les règles/protections associées sur chaque compte sans mettre en application ces règles sur les ressources du compte. Une fois la stratégie créée en application manuelle, vous avez la possibilité de prendre des mesures manuellement pour n'importe quel compte local, ou vous pouvez modifier à tout moment la stratégie pour l'appliquer automatiquement.

Chaque stratégie Firewall Manager peut être limitée à 2 500 comptes, limite par défaut pour le nombre de comptes dans AWS Organizations.

Pour le moment, il n'y a aucune limite au nombre de ressources gérées par Firewall Manager.

Non, les stratégies de sécurité d'AWS Firewall Manager sont spécifiques à chaque région. Chaque stratégie Firewall Manager ne peut inclure que des ressources disponibles dans une région AWS donnée. Vous pouvez créer une nouvelle politique pour chaque région dans laquelle vous travaillez.

Oui. Vous pouvez exclure des comptes. Vous avez également la possibilité d'utiliser des identifications pour spécifier les ressources à exclure de la portée de la stratégie.

La stratégie de sécurité Firewall Manager est un jeu de configurations qui permet aux clients de spécifier les comptes et les ressources qui doivent être associés à un ensemble de règles de pare-feu, avec des configurations supplémentaires personnalisées pour chaque type de pare-feu. Firewall Manager prend actuellement en charge AWS WAF, AWS Shield Advanced, les groupes de sécurité VPC, AWS Network Firewall, les pare-feu DNS Amazon Route 53 Resolver et les pare-feu tiers d'AWS Marketplace.

Tableau de bord et visibilité

Avec Firewall Manager, il est possible de voir rapidement le statut de conformité pour chaque en regardant le nombre de comptes inclus dans la portée de la stratégie et combien parmi ces derniers sont conformes. En outre, pour chaque stratégie configurée sur Firewall Manager, vous disposez d'un tableau de bord de conformité. Le tableau de bord de conformité central vous permet de voir quels comptes ne sont pas conformes à une politique donnée, quelles ressources précises ne sont pas conformes et il donne également le motif de non-conformité d'une ressource donnée. Vous pouvez également afficher les événements non conformes pour chaque compte sur AWS Security Hub.

Oui. Vous pouvez créer de nouveaux canaux de notification SNS pour recevoir des notifications en temps réel lorsque de nouvelles ressources non conformes sont découvertes. Par ailleurs, les événements non conformes sont signalés à AWS Security Hub pour chaque compte dont le champ d’application fait partie d’une politique de Firewall Manager.

Pour chaque stratégie Firewall Manager créée, vous pouvez regrouper des métriques CloudWatch pour chaque règle du groupe de règles, ce qui permet d'indiquer le nombre de requêtes ayant été autorisées ou bloquées dans toute l'organisation. Vous disposez ainsi d'une plateforme centralisée pour la configuration d'alertes de menaces sur votre organisation.