Apresentação de uma nova experiência de console para o AWS WAF
Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.
Gerenciamento da ACL da Web para políticas do AWS WAF
O Firewall Manager cria e gerencia ACLs da Web para recursos dentro do escopo, de acordo com suas configurações e gerenciamento geral de políticas.
nota
Se um recurso configurado com mitigação automática avançada de DDoS na camada de aplicativos entrar no escopo de uma política do AWS WAF, o Firewall Manager não conseguirá aplicar as proteções da política ao recurso e marcará o recurso como não conforme.
Gerenciar a configuração de ACLs da Web não associadas
Definição de configuração de política que especifica como o Firewall Manager gerencia as ACLs da Web para contas quando as ACLs da Web não serão usadas por nenhum recurso. Se você habilitar o gerenciamento de ACLs da Web não associadas, o Firewall Manager só criará ACLs da Web nas contas que estão dentro do escopo da política somente se as ACLs da Web forem usadas por pelo menos um recurso. Se você não habilitar essa opção, o Firewall Manager garantirá automaticamente que cada conta tenha uma ACL da Web, independentemente de a ACL da Web ser usada.
Quando isso está habilitado, quando uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma ACL da Web na conta se pelo menos um recurso usar a ACL da Web.
Além disso, quando você habilita o gerenciamento de ACLs da web não associadas, na criação da política o Firewall Manager executa uma limpeza única das ACLs da Web não associadas na sua conta. Durante essa limpeza, o Firewall Manager ignora todas as ACLs da Web que você modificou após sua criação, por exemplo, se você adicionou um grupo de regras à ACL da Web ou modificou suas configurações. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política depois que o Firewall Manager criar uma web ACL, o Firewall Manager desassociará o recurso da web ACL, mas não limpará a web ACL não associada. O Firewall Manager só limpa web ACLs não associadas quando você habilita antes o gerenciamento de web ACLs não associadas em uma política.
Na API, essa configuração é optimizeUnassociatedWebACL no tipo de dados SecurityServicePolicyData. Exemplo: \"optimizeUnassociatedWebACL\":false
Configuração da fonte de ACL da Web: criar todas do zero ou reformar as existentes?
Definição de configuração de política que especifica o que o Firewall Manager faz com as ACLs da Web existentes associadas a recursos dentro do escopo.
Por padrão, o Firewall Manager cria novas ACLs da Web para recursos dentro do escopo. Com a reforma, o Firewall Manager usa todas as ACLs da Web existentes que já estejam em uso e só cria novas ACLs da Web para recursos que ainda não têm uma associada.
Quando uma política é configurada para adaptação, todas as ACLs da Web associadas aos recursos dentro do escopo são adaptadas ou marcadas como não compatíveis.
O Firewall Manager só atualiza uma ACL da Web se ela atender aos seguintes requisitos:
A ACL da Web é de propriedade de uma conta de cliente.
A ACL da Web está associada somente a recursos dentro do escopo.
dica
Antes de configurar uma política do AWS WAF para readequação, certifique-se de que as ACLs da Web associadas aos recursos dentro do escopo da política não estejam associadas a nenhum recurso fora do escopo.
dica
Se quiser excluir um recurso associado, primeiro desassocie todos os recursos da ACL da Web. Se uma ACL da Web não estiver em conformidade devido a uma associação com um recurso fora do escopo, excluir o recurso fora do escopo sem primeiro desassociá-lo da ACL da Web pode colocar a ACL da Web em conformidade, e o Firewall Manager pode então reformar a ACL da Web por meio de correção, mas a correção nessa situação pode ser adiada em até 24 horas.
Para obter informações sobre como acessar os detalhes da violação de conformidade, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager.
Se uma ACL da Web puder ser reformada, o Firewall Manager a modificará da seguinte forma:
O Firewall Manager insere os primeiros grupos de regras da política do AWS WAF na frente das regras existentes da ACL da Web e anexa os últimos grupos de regras da política do AWS WAF no final. Para obter informações sobre o gerenciamento de grupos de regras, consulte Gerenciamento de grupos de regras para políticas do AWS WAF.
Se a política tiver uma configuração de registro de logs, o Firewall Manager a adicionará à ACL da Web somente se a ACL da Web ainda não estiver configurada para o registro de logs. Se a ACL da Web tiver registro em log configurado pela conta, o Firewall Manager o deixará em vigor durante a readequação e quaisquer atualizações subsequentes na configuração de registro em log da política.
O Firewall Manager não verifica nem configura nenhuma outra propriedade da ACL da Web. Por exemplo, o Firewall Manager não modifica a ação padrão da ACL da Web, os cabeçalhos de solicitação personalizados, as configurações CAPTCHA ou Challenge ou as listas de domínios de tokens. O Firewall Manager configura essas outras propriedades somente em ACLs da Web que o Firewall Manager cria.
Depois que o Firewall Manager reforma todas as ACLs da Web associadas existentes, para qualquer recurso dentro do escopo que não tenha uma ACL da Web, o Firewall Manager manipula o recurso seguindo o comportamento padrão da política. Se for um recurso que o AWS WAF pode proteger, o Firewall Manager cria e associa uma ACL da Web do Firewall Manager a esse recurso.
Na API, a configuração da fonte da ACL da Web é webACLSource no tipo de dados SecurityServicePolicyData. Exemplo: \"webACLSource\":\"RETROFIT_EXISTING\"
Amostragem e métricas do CloudWatch
O AWS Firewall Manager habilita a amostragem e as métricas do Amazon CloudWatch para as web ACLs e grupos de regras que ele cria para uma política AWS WAF.
Nomenclatura das ACLs da Web
Uma ACL da Web criada pelo Firewall Manager tem o nome da política do AWS WAF da seguinte forma: FMManagedWebACLV2-. O timestamp em milissegundos UTC. Por exemplo, policy
name-timestampFMManagedWebACLV2-MyWAFPolicyName-1621880374078.
Uma ACL da Web que o Firewall Manager atualiza tem o nome que a conta do cliente especificou na criação. O nome da ACL da Web não pode ser modificado depois da criação.
nota
Se um recurso configurado com mitigação automática avançada de DDoS na camada de aplicativos entrar no escopo de uma política AWS WAF, o Firewall Manager não conseguirá associar a web ACL criada pela política AWS WAF ao recurso.
