Como usar políticas da lista de controle de acesso (ACL) de rede da Amazon VPC com o Firewall Manager - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Práticas recomendadasAdvertências

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como usar políticas da lista de controle de acesso (ACL) de rede da Amazon VPC com o Firewall Manager

Esta seção aborda como as políticas de ACL de rede do AWS Firewall Manager funcionam e fornece orientações para usá-las. Para obter orientação sobre como criar uma política de ACL de rede usando o console, consulte Como criar uma política de ACL de rede.

Para obter mais informações sobre listas de controle de acesso (ACLs) de rede da Amazon VPC, consulte Controlar o tráfego para sub-redes usando ACLs de rede no Guia do usuário da Amazon VPC.

Você pode usar as políticas de ACL de rede do Firewall Manager para gerenciar as listas de controle de acesso (ACLs) de rede da Amazon Virtual Private Cloud (Amazon VPC) para sua organização em AWS Organizations. Você define as configurações da regra de ACL de rede da política e as contas e sub-redes nas quais deseja que as configurações sejam aplicadas. O Firewall Manager aplica continuamente suas configurações de política a contas e sub-redes à medida que são adicionados ou atualizados em toda a organização. Para obter informações sobre o escopo da política e AWS Organizations, consulte Usar o escopo de política do AWS Firewall Manager e o Guia do Usuário do AWS Organizations.

Ao definir uma política de ACL de rede do Firewall Manager, além das configurações padrão da política do Firewall Manager, como nome e escopo, você fornece o seguinte:

  • A primeira e a última regra para tratamento de tráfego de entrada e de saída. O Firewall Manager impõe a presença e a ordem dessas regras nas ACLs de rede que estão no escopo da política ou relata a não conformidade. Suas contas individuais podem criar regras personalizadas para serem executadas entre a primeira e a última regra da política.

  • Se deve forçar a correção quando a correção resultar em conflitos de gerenciamento de tráfego entre as regras na ACL da rede. Isso se aplica somente quando a correção está habilitada para a política.

Práticas recomendadas para usar políticas de ACL de rede do Firewall Manager

Esta seção lista recomendações para trabalhar com políticas de ACL de rede e ACLs de rede gerenciadas do Firewall Manager.

Consulte a tag FMManaged para identificar ACLs de rede gerenciadas pelo Firewall Manager

As ACLs de rede gerenciadas pelo Firewall Manager têm a tag FMManaged definida como true. Use essa tag para ajudar a distinguir suas próprias ACLs de rede personalizadas das que você gerencia por meio do Firewall Manager.

Não modifique o valor da tag FMManaged em uma ACL de rede

O Firewall Manager usa essa tag para definir e determinar seu status de gerenciamento com uma ACL de rede.

Não modifique as associações para sub-redes que tenham ACLs de rede gerenciadas pelo Firewall Manager.

Não altere manualmente as associações entre suas sub-redes e quaisquer ACLs de rede gerenciadas pelo Firewall Manager. Isso pode desativar a capacidade do Firewall Manager de gerenciar as proteções dessas sub-redes. Você pode identificar as ACLs de rede que são gerenciadas pelo Firewall Manager procurando as configurações de tag FMManaged de true.

Para remover uma sub-rede do gerenciamento de políticas do Firewall Manager, use as configurações do escopo da política do Firewall Manager para excluir a sub-rede. Por exemplo, você pode marcar a sub-rede e depois excluir essa tag do escopo da política. Para obter mais informações, consulte Usar o escopo de política do AWS Firewall Manager.

Ao atualizar uma ACL de rede gerenciada, não modifique as regras gerenciadas pelo Firewall Manager.

Em uma ACL de rede gerenciada pelo Firewall Manager, mantenha suas regras personalizadas separadas das regras de política seguindo o esquema de numeração descrito em Como usar regras de ACL de rede e tags no Firewall Manager. Adicione ou modifique somente regras que tenham números entre 5000 e 32 000.

Evite adicionar muitas regras aos limites da sua conta

Durante a correção de uma ACL de rede, o Firewall Manager geralmente aumenta temporariamente a contagem de regras de ACL de rede. Para evitar problemas de não conformidade, verifique se você tem espaço suficiente para as regras que está usando. Para obter mais informações, consulte Como o Firewall Manager corrige ACLs de redes gerenciadas não compatíveis.

Comece com a correção automática desabilitada

Comece com a correção automática desativada e revise as informações de detalhes da política para determinar os efeitos que a correção automática teria. Quando você estiver satisfeito com as alterações, edite a política para habilitar a correção automática.

Advertências da política de ACL de rede do Firewall Manager

Esta seção lista as advertências e limitações do uso das políticas de ACL de rede do Firewall Manager.

  • Tempos de atualização mais lentos do que com outras políticas: o Firewall Manager geralmente aplica políticas de ACL de rede e alterações de políticas mais lentamente do que com outras políticas do Firewall Manager, devido às limitações na taxa na qual as APIs de ACL de rede do Amazon EC2 são capazes de processar solicitações. Você pode notar que as alterações de política demoram mais do que alterações semelhantes em outras políticas do Firewall Manager, especialmente quando você adiciona uma política pela primeira vez.

  • Para proteção inicial da sub-rede, o Firewall Manager prefere políticas mais antigas: isso se aplica somente às sub-redes que ainda não estão protegidas por uma política de ACL de rede do Firewall Manager. Se uma sub-rede entrar no escopo de mais de uma política de ACL de rede ao mesmo tempo, o Firewall Manager usará a política mais antiga para proteger a sub-rede.

  • Motivos para uma política parar de proteger uma sub-rede: uma política que gerencia a rede ACL de uma sub-rede retém o gerenciamento até que uma das seguintes situações aconteça:

    • A sub-rede está fora do escopo da política.

    • A política é excluída.

    • Você altera manualmente a associação da sub-rede a uma ACL de rede gerenciada por uma política diferente do Firewall Manager e da qual a sub-rede está no escopo.

Tópicos