Configuración de políticas del firewall de próxima generación en la nube de Palo Alto Networks de AWS Firewall Manager.

Creación de una política de Firewall Manager para NGFW en la nube de Palo Alto Networks (consola)

1. Inicie sesión en la Consola de administración de AWS mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall ManagerRequisitos previos de .

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall ManagerRequisitos previos de .

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Seleccione Crear política.

4. En Tipo de política, seleccione Palo Alto Networks Cloud NGFW. Si aún no se ha suscrito al servicio de NGFW en la nube de Palo Alto Networks en AWS Marketplace, tendrá que hacerlo primero. Para suscribirse en AWS Marketplace, seleccione Ver AWS detalles de Marketplace.

5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.

6. En Región, seleccione una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

7. Elija Siguiente.

8. En Nombre de política, introduzca un nombre descriptivo.

9. En la configuración de la política, elija la política de firewall de NGFW en la nube de Palo Alto Networks para asociarla a esta política. La lista de políticas de firewall de NGFW en la nube de Palo Alto Networks contiene todas las políticas de firewall de NGFW en la nube de Palo Alto Networks asociadas a su inquilino de NGFW en la nube de Palo Alto Networks. Para obtener información acerca de cómo crear y administrar las políticas de firewall Palo Alto Networks Cloud NGFW, consulte el tema Implementar Palo Alto Networks Cloud NGFW para AWS con AWS Firewall Manager en la Guía de implementación de Palo Alto Networks Cloud NGFW para AWS.

10. En Registro de Palo Alto Networks Cloud NGFW: opcional, elija los tipos de registro de Palo Alto Networks Cloud NGFW que desee registrar para su política. Para obtener información acerca de los tipos de registro de Palo Alto Networks Cloud NGFW, consulte Configurar el registro de Palo Alto Networks Cloud NGFW en AWS en la Guía de implementación de Palo Alto Networks Cloud NGFW para AWS.

    En Destino del registro, especifique en qué momento Firewall Manager debe escribir los registros.

11. Elija Siguiente.

12. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de implementación centralizada para esta política, en Configuración de punto de conexión de AWS Firewall Manager de Configuración de VPC de inspección, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

13. Elija Siguiente.

14. Para Alcance de la política, en esta política se aplica a Cuentas de AWS, elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

    El Tipo de recurso para las políticas de Network Firewall es VPC.

15. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte Uso del ámbito de la política de AWS Firewall Manager.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

16. En Conceder acceso entre cuentas, seleccione Descargar plantilla de CloudFormation. Esto descarga una plantilla de CloudFormation que se puede usar para crear una pila de CloudFormation. Esta pila crea un rol de AWS Identity and Access Management que otorga permisos entre cuentas a Firewall Manager para administrar los recursos de NGFW en la nube de Palo Alto Networks. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de CloudFormation.

17. Elija Siguiente.

18. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

19. Elija Siguiente.

20. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Compruebe que Acciones de la política está establecido en Identificar los recursos que no cumplan las reglas de la política, pero sin corregirlos automáticamente. Esto permite revisar los cambios que la política introduciría antes de activarlos.

21. Cuando esté satisfecho con la política, elija Crear política.

    En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener más información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager