AWS Firewall Manager 改造：協調中央安全性與應用團隊的靈活性

AWS Firewall Manager 是一個強大的工具，組織可以用來定義常見的 AWS WAF 規則，並集中管理安全政策。這些政策會指定哪些帳戶和資源在範圍內。Firewall Manager 會創建一個符合組織政策要求的網路存取控制清單（web ACL），並將其與範圍內的資源關聯。圖 1 顯示了在每個範圍內帳戶中創建的 Firewall Manager 安全政策和網路存取控制清單。

圖 1：在每個範圍內帳戶中創建的 Firewall Manager 安全政策和網路存取控制清單

在這篇文章中，我們將討論重新調整的好處，以及如何使用此功能讓 Firewall Manager 管理現有的網路存取控制清單。當啟用重新調整時，Firewall Manager 安全政策不會取代現有的網路存取控制清單。相反地，Firewall Manager 會在與範圍內資源關聯的現有網路存取控制清單中添加頂部和底部規則部分。對於應用程式團隊來說，Firewall Manager 不再限制他們如何配置和部署 AWS WAF。團隊可以使用 AWS 管理控制台或基礎設施即代碼（IaC）工具來自訂網路存取控制清單中的規則，即使這些網路存取控制清單是由 Firewall Manager 管理的。

Firewall Manager 在重新調整之前

Firewall Manager 提供了顯著的好處，但現有的方法會導致一些挑戰：

與基礎設施即代碼（IaC）的相容性：Firewall Manager 創建並將 AWS WAF 網路存取控制清單與範圍內資源關聯。IaC 工具期望創建和管理資源（換句話說，擁有它們的生命周期）。應用程式團隊無法使用 IaC 管理由 Firewall Manager 創建的 WAF 規則和其他網路存取控制清單配置組件；有一些自訂解決方案可以將本地定義的規則注入 Firewall Manager 創建的網路存取控制清單，但這些解決方案複雜且具有漂移等風險。對於 AWS WAF 客戶和應用程式團隊來說，這帶來了操作上的挑戰。

現有 WAF 遷移：已經使用 AWS WAF 的客戶必須將現有規則遷移到由 Firewall Manager 管理的網路存取控制清單。

應用程式特定規則的複雜性：強迫同一帳戶和 AWS 區域中的所有範圍內資源使用相同的網路存取控制清單，使應用程式特定或例外規則更加複雜。此外，對一個應用程式規則的更改可能會影響共享相同網路存取控制清單的其他應用程式。

增加的成本：當許多應用程式共享單一網路存取控制清單時，應用程式特定規則是單一網路存取控制清單的一部分，這可能會增加總 WAF 容量單位（WCU）的使用，有時會導致更高的 AWS WAF 請求成本。

Firewall Manager 透過重新調整解決挑戰

為了解決這些挑戰，Firewall Manager 現在提供了重新調整現有網路存取控制清單的功能。讓我們具體了解 Firewall Manager 重新調整何時以及如何運作：

Firewall Manager 只有在所有關聯資源（例如，應用程式負載平衡器、API 閘道和 Amazon CloudFront 分配）都在範圍內時，才會重新調整網路存取控制清單。如果還關聯了不在範圍內的資源，Firewall Manager 不會重新調整或更新未來的安全政策更改到重新調整的網路存取控制清單。在這種情況下，關聯的範圍內資源和網路存取控制清單將被標記為不符合安全政策。

重新調整僅修改客戶創建的網路存取控制清單。重新調整不會作用於由另一安全政策重新調整或由 Firewall Manager 管理的網路存取控制清單。如果發生這兩種情況之一，網路存取控制清單和關聯資源將被標記為不符合安全政策。

重新調整會在與一個或多個範圍內資源關聯的現有網路存取控制清單上添加以下內容：

重新調整會將安全政策中定義的第一規則組和最後規則組添加到網路存取控制清單中。網路存取控制清單中的現有規則不會更改。規則評估順序的更改如下：

安全政策定義的第一規則組規則

安全政策定義的最後規則組規則

如果安全政策中定義了 WAF 日誌配置，重新調整會添加該配置。如果網路存取控制清單已經有日誌配置，Firewall Manager 不會取代現有的日誌配置，並將網路存取控制清單標記為不符合。

重新調整不會驗證或配置安全政策定義的其他屬性。這包括以下屬性：預設操作、自訂請求標頭、網路存取控制清單 Captcha 或挑戰配置，以及令牌域名清單。這些屬性僅在 Firewall Manager 創建網路存取控制清單時使用。

如果支持 AWS WAF 的範圍內資源沒有網路存取控制清單，Firewall Manager 會創建並將 Firewall Manager 管理的網路存取控制清單與該資源關聯。

圖 2 顯示了在 Firewall Manager 安全政策重新調整與範圍內資源關聯的網路存取控制清單之前和之後的規則和日誌配置。

Figure 2: Using retrofitting to update an existing web ACL

圖 2：使用重新調整更新現有的網路存取控制清單

這項新的重新調整功能以以下方式解決了先前的挑戰：

與 IaC 相容：應用程式團隊可以使用 IAC 工具來配置和管理 AWS WAF。Firewall Manager 通過將安全政策中定義的規則添加到由 IaC 工具創建的網路存取控制清單中來重新調整現有的網路存取控制清單。應用程式團隊可以像未使用 Firewall Manager 時一樣管理 AWS WAF。

現有 WAF 整合：擁有現有 AWS WAF 部署的客戶可以採用 Firewall Manager，而無需遷移現有的 WAF 規則。

應用程式特定規則：同一帳戶中的多個資源可以使用單獨的網路存取控制清單，這簡化了應用程式特定規則。

幫助防止額外成本：應用程式特定規則僅應用於相關的網路存取控制清單。這有助於防止來自共享網路存取控制清單的高 WCU 使用量所帶來的增加的 AWS WAF 請求成本。

通過增強 Firewall Manager 以重新調整現有的網路存取控制清單，客戶可以利用集中管理 WAF 的強大功能，而不限制應用程式團隊在成員帳戶中部署和配置 AWS WAF 的方式。

Firewall Manager 的 AWS WAF 安全政策 – 啟用重新調整

圖 3 顯示了一個使用新功能「重新調整現有網路存取控制清單」的 Firewall Manager 安全政策範例。

Figure 3: An example Firewall Manager security policy that uses the new Retrofit existing webACLs feature

圖 3：使用新功能「重新調整現有網路存取控制清單」的 Firewall Manager 安全政策範例

這項安全政策在第一規則組部分中定義了 WAF 規則。它適用於 AWS Organizations 中在創建此安全政策的區域內的所有應用程式負載平衡器（ALBs）。政策行動設置為自動修復。在網路存取控制清單管理下，有一個新部分「管理的網路存取控制清單來源」，有兩個選項，預設和重新調整現有網路存取控制清單。預設是現有行為：Firewall Manager 創建並關聯一個由 Firewall Manager 管理的網路存取控制清單。重新調整現有網路存取控制清單將安全政策定義的 WAF 規則和日誌配置（如果有）應用於現有的網路存取控制清單，當它們與範圍內資源關聯時。此政策指定重新調整現有網路存取控制清單。如果範圍內資源沒有網路存取控制清單，Firewall Manager 仍然會創建並關聯一個網路存取控制清單作為預設。

重新調整的實際應用

讓我們來看看當您將「管理的網路存取控制清單來源」設置為「重新調整現有網路存取控制清單」時會發生什麼。圖 4 顯示了兩個在我們的安全政策範圍內的 ALBs，LoadBalancer1 和 LoadBalancer2。

Figure 4: Two existing ALBs, one with an existing web ACL and the other without

圖 4：兩個現有的 ALBs，一個有現有的網路存取控制清單，另一個沒有

LoadBalancer1 的特點如下：

LoadBalancer1 沒有關聯的網路存取控制清單。

在 Firewall Manager 安全政策應用後，LoadBalancer1 與 Firewall Manager 創建的網路存取控制清單關聯，如圖 5 所示。

Figure 5: LoadBalancer1 is now associated with a Firewall Manager managed and created web ACL

圖 5：LoadBalancer1 現在與 Firewall Manager 管理和創建的網路存取控制清單關聯

Firewall Manager 創建的網路存取控制清單包含了安全政策中定義的 WAF 規則。

LoadBalancer2 的特點如下：

LoadBalancer2 與現有的客戶創建的網路存取控制清單關聯，如圖 6 所示。

Figure 6: LoadBalancer2 is associated with a customer-created web ACL

圖 6：LoadBalancer2 與客戶創建的網路存取控制清單關聯

這個網路存取控制清單是由應用程式團隊創建的，具有應用程式特定的規則。網路存取控制清單可能是使用 AWS 管理控制台、AWS CloudFormation 或其他 IaC 工具如 Terraform 創建的。

在 Firewall Manager 安全政策生效後，LoadBalancer2 仍然與現有的客戶創建的網路存取控制清單 MyCustomWebACL 關聯。

重新調整會根據安全政策在第一規則組中添加 WAF 規則，如圖 7 所示。現有的 WAF 規則不會更改，網路存取控制清單的規則和其他方面不會更改，可以繼續像沒有 Firewall Manager 存在時一樣進行管理。

Figure 7: Firewall Manager has retrofitted a customer-created web ACL and added the security policy–defined first rule groups rules

圖 7：Firewall Manager 已重新調整客戶創建的網路存取控制清單並添加了安全政策定義的第一規則組規則

圖 8 顯示了兩個 ALBs 現在都符合我們的安全政策。LoadBalancer1 有一個由 Firewall Manager 創建的網路存取控制清單；未來沒有關聯網路存取控制清單的 ALBs 也將與此網路存取控制清單關聯。LoadBalancer2 與應用程式團隊先前創建的網路存取控制清單關聯。應用程式定義的 WAF 規則不會更改，安全政策定義的 WAF 規則會添加到此網路存取控制清單中。

Figure 8: Multiple ALBs in scope for the same security policy

圖 8：多個 ALBs 在同一安全政策範圍內

與已存在的 Firewall Manager 關聯網路存取控制清單

讓我們從之前的情境繼續。LoadBalancer1 的應用程式團隊現在使用以下過程為他們的 ALB 配置應用程式特定的規則。

應用程式團隊創建一個網路存取控制清單並定義他們自己的 WAF 規則。他們可能會使用控制台、AWS CloudFormation 或其他 IaC 工具如 Terraform 來完成這項工作。

應用程式團隊將 LoadBalancer1 與自訂網路存取控制清單關聯。

Figure 9: From the web ACL, only LoadBalancer1 is associated with the app team’s web ACL

圖 9：從網路存取控制清單中，只有 LoadBalancer1 與應用程式團隊的網路存取控制清單關聯

過了一會兒，Firewall Manager 檢測到範圍內資源（LoadBalancer1）的變更。Firewall Manager 重新調整應用程式團隊的網路存取控制清單 AppTeamNewWebACL，使其與安全政策一致。

Figure 10: Firewall Manager has retrofitted the app team–created web ACL and added the security policy–defined first rule group rules

圖 10：Firewall Manager 已重新調整應用程式團隊創建的網路存取控制清單並添加了安全政策定義的第一規則組規則

圖 11 中的圖示顯示了當應用程式團隊創建自己的網路存取控制清單並將其與 LoadBalancer1 關聯時發生的工作流程。Firewall Manager 檢測到關聯變更，並再次重新調整應用程式團隊的網路存取控制清單，使 LoadBalancer1 與安全政策保持一致。

Figure 11: Firewall Manager retrofitting a web ACL in response to being associated with an existing in-scope resource

圖 11：Firewall Manager 重新調整網路存取控制清單以回應與現有範圍內資源的關聯

與重新調整的網路存取控制清單關聯的範圍外資源

讓我們對安全政策進行更改。在圖 12 中，政策範圍已更新為僅適用於具有資源標籤 Tier: Production 的資源。應用程式團隊將此標籤添加到 LoadBalancer1 和 LoadBalancer2。

Figure 12: The Firewall Manager security policy scope has been updated to include a resource tag

圖 12：Firewall Manager 安全政策範圍已更新為包含資源標籤

之後，應用程式團隊創建 LoadBalancer3 並將其與 AppTeamNewWebACL 關聯（圖 13）。

Figure 13: A new ALB associated with a custom WAF web ACL

圖 13：一個新的 ALB 與自訂 WAF 網路存取控制清單關聯

應用程式團隊沒有標記 LoadBalancer3，使其與安全政策範圍外，如圖 14 所示。

Figure 14: A new ALB that is out of scope with a security policy

圖 14：一個與安全政策範圍外的新 ALB

此網路存取控制清單目前由我們的安全政策重新調整，並與 LoadBalancer2（範圍內）關聯，如圖 15 所示。

Figure 15: A retrofitted web ACL associated with in-scope and out-of-scope ALBs

圖 15：一個與範圍內和範圍外 ALBs 關聯的重新調整網路存取控制清單

Firewall Manager 檢測到一個範圍外資源與重新調整的網路存取控制清單關聯。如圖 16 所示，Firewall Manager 將網路存取控制清單 AppTeamNewWebACL 標記為不符合。它也將 LoadBalancer2 標記為不符合。

Figure 16: Shows retrofit-specific reasons a resource or web ACL will be marked noncompliant. In this case, a not-in-scope resource is associated with a web ACL where another associated resource is in-scope.

圖 16：顯示資源或網路存取控制清單將被標記為不符合的重新調整特定原因。在這種情況下，一個不在範圍內的資源與一個網路存取控制清單關聯，而另一個關聯資源在範圍內。

只要網路存取控制清單不符合，Firewall Manager 就不會重新調整未重新調整的網路存取控制清單，未來的安全政策更改也不會應用於該網路存取控制清單。現有的重新調整 WAF 規則不會被修改或刪除。當網路存取控制清單後來變得符合時，它將再次重新調整安全政策的最新狀態。圖 17 顯示了 Firewall Manager 如何保留現有的重新調整，但不應用更新。使用我們的範例，為了使網路存取控制清單變得符合，必須發生以下三種情況之一：

LoadBalancer3 可以與當前安全政策範圍內的資源一致。應用程式團隊可以將資源標籤 Tier: Production 添加到此 ALB。

可以從政策範圍中移除資源標籤。

可以將 LoadBalancer3 與網路存取控制清單解除關聯。

注意：我們建議您立即解決與範圍內資源共享的網路存取控制清單關聯的範圍外資源。例如，如果前述情境未被解決，並且 LoadBalancer3 在三個月後被刪除，Firewall Manager 在那時會重新調整網路存取控制清單（3 個月後）。這不一定是個問題，但可能會觸發網路存取控制清單規則的意外變更。