Sichern Sie Ihre Webanwendungen automatisch mit AWS Firewall Manager unternehmensweit

Der AWS Firewall Manager, ein gute Begleiter

Die Verwaltung von Zugriffskontrolllisten für eine große und vor allem wachsende Anzahl von Webanwendungen in Ihrem Unternehmen kann eine entmutigende Aufgabe sein. Mit dem AWS Firewall Manager haben Sie einen zentralen Punkt zur Konfiguration und Verwaltung all Ihrer Web Application Firewall (WAF)-Einsätze. So können Sie

 

  •    Basisregelsätze zu erstellen, die bewährten Praktiken folgen

 

  •    Ihre Bereitstellungen als Code zu verwalten

 

  •    sie automatisch für alle neu hinzugefügten Ressourcen bereitzustellen

 

  •    die Einhaltung der Vorschriften für alle verwalteten Konten durchzusetzen

 

  •    bei Bedarf Raum für die Erstellung individueller Regeln für bestimmte Anwendungen lassen

 

  •    aber überspringen Sie die obligatorischen Regeln

 

In diesem Artikel wollen wir uns ansehen, wann der AWS Firewall Manager eingesetzt werden sollte, wie ein Basis-Regelsatz erstellt wird und wie eine Beispielbereitstellung aussieht.

Ist AWS Firewall Manager das Richtige für mich?

 

Der Service ist am besten geeignet, wenn Sie eine große Anzahl von Anwendungen über mehrere Konten verwalten. Er ermöglicht es Ihnen, die Verwendung eines Basisregelsatzes für alle Ressourcen, die unter seinem Schutz stehen, zu erzwingen, während die Entwicklungsteams bei Bedarf ihre eigenen Regeln hinzufügen können.

 

Diese zentralisierte Verwaltung ermöglicht Ihnen auch einen ganzheitlichen Überblick über die Bedrohungen, die auf Ihre Anwendungen abzielen, da die Protokolle an einer einzigen Stelle gesammelt werden. So können Sie aufschlussreiche Dashboards für Ihr Team erstellen, um auf Sicherheitsbedrohungen zu reagieren oder die eingesetzten Regelsätze zu optimieren.

 

Kurz gesagt, wenn Sie das Gefühl haben, dass Ihr Unternehmen eine Größe erreicht hat, bei der die Implementierung eines zentralisierten Kernregelsatzes mit der dazugehörigen zentralen Protokollierung erforderlich ist, kann es sich lohnen, AWS Firewall Manager zu testen.

 

Um AWS Firewall Manager nutzen zu können, müssen Sie zumindest AWS Organizations aktivieren und ein AWS Firewall Manager-Konto einrichten sowie AWS Config aktivieren.

Wie erstellt man einen Grundregelsatz?

 

Dieses Thema ist offensichtlich zu umfangreich, um es im Rahmen dieses Artikels angemessen zu behandeln, aber ich möchte Ihnen einige grundlegende Richtlinien an die Hand geben, um das ganze Unterfangen weniger beängstigend zu machen.

 

Wenn Sie bereits eine WAF betreiben, können Sie einfach die Regeln verwenden, die Sie derzeit einsetzen und die für Ihre Anwendungen und Ihren Datenverkehr funktionieren.

 

Ein anderer Ansatz wäre, mit Ihren klassischen statischen Regeln wie einer BlockList und AllowList zu beginnen. Dann werfen Sie einen Blick auf die AWS Managed Rules und bauen den Rest Ihres Regelsatzes darauf auf. Wählen Sie einige Regelgruppen aus den Basisregelgruppen aus, fügen Sie einige anwendungsspezifische Regeln hinzu, z. B. die SQL-Datenbankverwaltungsregelgruppe, IP-Reputationsregelgruppen und die AWS WAF Bot Control-Regelgruppe. Damit haben Sie einen ziemlich guten Start hingelegt.

 

Nachdem Sie die erste Iteration Ihres Basisregelsatzes definiert haben, sollten Sie ihn im Zählmodus auf einer zu schützenden Ressource einsetzen (zusätzlich zu allen anderen Schutzmaßnahmen und mit höherer Priorität), um das Verhalten Ihres Regelsatzes zu überwachen. Überblockt er? Wird bösartiger Datenverkehr durchgelassen? Verwenden Sie diese Informationen, um Ihren Regelsatz zu verfeinern.

 

Der Firewall Manager kann seine Regeln als verwaltete Pre- oder Post-Regeln bereitstellen. Erstere werden vor den benutzerdefinierten Regeln des Entwicklungsteams angewendet, letztere nach den benutzerdefinierten Regeln. Auf diese Weise können Sie erzwingen, dass bestimmte Regeln immer angewendet werden, bevor sie von einer benutzerdefinierten Regel übersprungen werden, die von den Entwicklungsteams erstellt wurde.

Beispiel für den Einsatz

 

Dieser Überblick soll Ihnen ein grobes Beispiel geben, wie Sie den AWS Firewall Manager verwalten und bereitstellen können.

 

Verwenden Sie ein zentrales Repository, um den Firewall Manager zu konfigurieren und aufrechtzuerhalten:

 

  •    Hier definieren Sie die Richtlinien und Regelgruppen

 

  •    Sie können zusätzliche Assessts hinzufügen, wie IP-Sets und Lambdas

 

  •    Hier können Sie auch abgleichen, welche Richtlinien zu welchem Konto gehören.

 

Von Ihrem Repository aus kann der Code in Ihrem Firewall Manager Management Account bereitgestellt werden. Der Firewall Manager schützt dann die von Ihnen definierten Ressourcen unter seinem Dach.

 

Er kann so eingerichtet werden, dass alle Protokolle an ein zentrales S3-Bucket in einem Protokollierungskonto gesendet werden. So können Sie die Protokolle anreichern, um noch aufschlussreichere Dashbaords zu erstellen.

Mehrschichtiger Schutz

Der Aufbau einer allumfassenden Verteidigung kann kompliziert und komplex werden. Da Sie mit dem AWS Firewall Manager die Kontrolle über den gesamten Datenfluss haben, können Sie an jedem Punkt der Kette, an dem diese Richtlinien erforderlich sind, Richtlinien durchsetzen. Auf diese Weise können Sie die Komplexität in überschaubare Teile zerlegen, die auf jeder Verteidigungslinie bereitgestellt werden. Ein zusätzlicher Vorteil besteht darin, dass Sie die WCU-Grenzen von AWS deutlich unterschreiten und nicht jedes Mal, wenn Sie eine neue Ressource schützen möchten, manuelle Anfragen stellen müssen.

Nächste Schritte

Sie haben nun erfahren, wie der AWS Firewall Manager Sie bei der Verwaltung der WAF-Sicherheit und Compliance für eine wachsende Anzahl von Anwendungen unterstützen kann. Beim nächsten Mal werden wir uns eine alternative Möglichkeit ansehen, ein grundlegendes Firewall Manager-Setup zu erstellen, das Sie mithilfe von CDK und dem Open-Source-Projekt Firewall Factory aus einer einzigen .json-Datei verwalten können. Mit diesem Tool können Sie eine funktionierende Firewall Manager-Installation erstellen, einschließlich eines Kernregelsatzes oder eines auf den OWASP Top 10 basierenden Regelsatzes, einer grundlegenden Protokollierungslösung und einer Kapazitätsprüfung, und zwar sofort.

Wir sind hier, um zu helfen

Wenn Sie AWS Firewall Manager zum Schutz Ihrer eigenen Arbeitslasten verwenden möchten und Hilfe bei den ersten Schritten benötigen, können Sie sich gerne an uns wenden. Wir helfen Ihnen dabei, Ihre eigene Einrichtung auf die Beine zu stellen und einen grundlegenden Regelsatz zu erstellen.

Weitere Blogbeiträge zu diesem Thema

K8s - Admission Controller Teil I

Pfeil nach rechts

AWS-Sicherheit in der Quantum-Ära

Pfeil nach rechts

Die Bedeutung der Cloud-Transformation

Pfeil nach rechts

K8s - Admission Controller Teil II

Pfeil nach rechts
Du hast Fragen? Schreib uns!
Hiermit akzeptiere ich die Datenschutzbestimmungen der Alice&Bob.Company GmbH.
Termin buchen
Du hast Fragen? Schreib uns!
Sebastian Schäffer
Head of Business Operations & Growth
sebastianschäffer@alice-bob.de
Termin buchen
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.