Configuración de políticas de AWS Firewall Manager para AWS Shield Advanced - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Paso 1: Completar los requisitos previosPaso 2: Crear y aplicar una política de Shield AvanzadoPaso 3: (opcional) Autorizar al equipo de respuesta de Shield (SRT)Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon CloudWatch

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Configuración de políticas de AWS Firewall Manager para AWS Shield Advanced

Se puede utilizar AWS Firewall Manager para habilitar las protecciones AWS Shield Advanced en toda la organización.

importante

Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones en Agregar la protección de AWS Shield Advanced a los recursos de AWS.

Para utilizar Firewall Manager para habilitar la protección de Shield Advanced, siga los siguientes pasos por orden.

Paso 1: Completar los requisitos previos

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en AWS Firewall ManagerRequisitos previos de . Complete todos los requisitos previos antes de continuar con Paso 2: Crear y aplicar una política de Shield Avanzado.

Paso 2: Crear y aplicar una política de Shield Avanzado

Después de completar los requisitos previos, cree una política de Shield Advanced de AWS Firewall Manager. Una política de Firewall Manager Shield Advanced contiene las cuentas y los recursos que desea proteger con Shield Advanced.

importante

Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones en Agregar la protección de AWS Shield Advanced a los recursos de AWS.

Creación de una política de Firewall Manager para Shield Advanced (consola)

  1. Inicie sesión en la Consola de administración de AWS mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall ManagerRequisitos previos de .

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall ManagerRequisitos previos de .

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Seleccione Crear política.

  4. Para el tipo de política, seleccione Shield Advanced.

    Para crear una política de Shield Advanced, su cuenta de administrador de Firewall Manager debe estar suscrita a Shield Advanced. Se le pedirá que se suscriba si no lo ha hecho ya. Para obtener más información sobre el costo de suscripción, consulte Precios de AWS Shield Advanced.

    nota

    No es necesario suscribir manualmente cada cuenta de miembro a Shield Advanced. Firewall Manager lo hace por usted cuando crea la política. Cada cuenta debe permanecer suscrita a Firewall Manager y Shield Advanced para seguir protegiendo los recursos de la cuenta.

  5. En Región, seleccione una Región de AWS. Para proteger los recursos de Amazon CloudFront, seleccione Global.

    Para proteger los recursos en varias regiones (que no sean recursos de CloudFront), debe crear políticas de Firewall Manager independientes para cada región.

  6. Elija Siguiente.

  7. En Nombre, introduzca un nombre descriptivo.

  8. (Solo para la región global) Para las políticas de la región global, puede elegir si desea gestionar la mitigación automática de DDoS en la capa de aplicaciones de Shield Advanced. Para este tutorial, deje esta opción con la configuración predeterminada de Ignorar.

  9. Para la Acción de la política, elija la opción que no corrija automáticamente.

  10. Elija Siguiente.

  11. La política de Cuentas de AWS que se aplica le permite limitar el alcance de su política especificando cuentas para incluir o excluir. En este tutorial, elija Include all accounts under my organization (Incluir todas las cuentas de mi organización).

  12. Escoja los tipos de recursos que desea proteger.

    Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones de Shield Advanced en Agregar la protección de AWS Shield Advanced a los recursos de AWS.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte Uso del ámbito de la política de AWS Firewall Manager.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. Elija Siguiente.

  15. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  16. Elija Siguiente.

  17. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Compruebe que Acciones de la política está establecido en Identificar los recursos que no cumplan las reglas de la política, pero sin corregirlos automáticamente. Esto permite revisar los cambios que la política introduciría antes de activarlos.

  18. Cuando esté satisfecho con la política, elija Crear política.

    En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener más información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager

Continuar con Paso 3: (opcional) Autorizar al equipo de respuesta de Shield (SRT).

Paso 3: (opcional) Autorizar al equipo de respuesta de Shield (SRT)

Uno de los beneficios que aporta AWS Shield Advanced es la ayuda que proporciona el Equipo de Respuesta de Shield (SRT). Cuando se produce un posible ataque de DDoS, puede ponerse en contacto con el Centro de AWS Support. Si es necesario, el Centro de soporte remite su problema al SRT. El SRT ayuda a analizar la actividad sospechosa y a mitigar el problema. Esta mitigación suele implicar la creación o actualización de reglas y ACL web de AWS WAF para su cuenta. El SRT puede inspeccionar su configuración de AWS WAF y crear o actualizar reglas y ACL web de AWS WAF para usted, pero el equipo necesita su autorización para ello. Le recomendamos que, como parte del proceso de configuración de AWS Shield Advanced, proporcione de forma proactiva al SRT la autorización necesaria. Dar permiso de antemano ayudará a evitar retrasos en la mitigación en caso de que se produzca un verdadero ataque.

Debe autorizar y contactar con el SRT en el nivel de cuenta. Le informamos que, el propietario de la cuenta, no el administrador de Firewall Manager, debe seguir los siguientes pasos para autorizar al SRT a mitigar posibles ataques. El administrador de Firewall Manager puede autorizar al SRT solo para las cuentas de las que sean propietarios. Del mismo modo, solo el propietario de la cuenta puede ponerse en contacto con el SRT para obtener soporte.

nota

Para utilizar los servicios del SRT, debe haberse registrado en el plan Business Support o en el plan Enterprise Support.

Para autorizar al SRT a mitigar en su nombre los posibles ataques, siga las instrucciones en Respuesta administrada a eventos DDoS con asistencia del equipo de respuesta de Shield (SRT). Puede cambiar el acceso y los permisos del SRT en cualquier momento siguiendo los mismos pasos.

Continuar con Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon CloudWatch.

Paso 4: Configurar las notificaciones de Amazon SNS y las alarmas de Amazon CloudWatch

Puede seguir desde este paso sin configurar las notificaciones de Amazon SNS ni las alarmas de CloudWatch. Sin embargo, la configuración de estas alarmas y notificaciones aumenta de forma considerable la visibilidad de los posibles eventos de DDoS.

Puede monitorizar sus recursos protegidos de una posible actividad de DDoS utilizando Amazon SNS. Para recibir notificaciones de posibles ataques, cree un tema de Amazon para cada región.

importante

Las notificaciones de Amazon SNS sobre posibles actividades de DDoS no se envían en tiempo real y pueden retrasarse. Además, si supera la cuota de Shield Advanced de 1000 recursos protegidos para cada tipo de recurso de cada cuenta, las limitaciones de rendimiento de Firewall Manager podrían impedir por completo la entrega correcta de las notificaciones de ataques DDoS. Para obtener más información, consulte AWS Shield AdvancedCuotas de .

Para activar las notificaciones en tiempo real de posibles actividades de DDoS, puede utilizar una alarma de CloudWatch. La alarma debe basarse en la métrica DDoSDetected de la cuenta en la que se encuentra el recurso protegido.

Creación de un tema de Amazon SNS en Firewall Manager (consola)

  1. Inicie sesión en la Consola de administración de AWS mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall ManagerRequisitos previos de .

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall ManagerRequisitos previos de .

  2. En el panel de navegación, en FMS de AWS, seleccione Configuración.

  3. Elija Create new topic (Crear nuevo tema).

  4. Escriba un nombre de tema.

  5. Escriba una dirección de correo electrónico a la que se enviarán los mensajes de Amazon SNS y, a continuación, elija Añadir dirección de correo electrónico.

  6. Seleccione Update SNS configuration(Actualizar la configuración de SNS).

Configuración de alarmas de Amazon CloudWatch

Shield Avanzado registra las métricas de detección, mitigación y los principales colaboradores en CloudWatch para que usted las pueda supervisar. Para obtener más información, consulte AWS Shield Advanced metrics. CloudWatch conlleva costos adicionales. Para obtener información acerca de los precios, consulte Precios de Amazon CloudWatch.

Para crear una alarma de CloudWatch, siga las instrucciones de Uso de las alarmas de Amazon CloudWatch. De forma predeterminada, Shield Advanced configura CloudWatch para alertarle después de tan solo un indicador del posible evento DDoS. Si es necesario, puede utilizar la consola de CloudWatch para cambiar esta configuración para alertarle solo después de que se detecten varios indicadores.

nota

Además de las alarmas, también puede utilizar un panel de CloudWatch para monitorizar la posible actividad DDoS. El panel recopila y procesa los datos sin formato de Shield Advanced en métricas legibles y casi en tiempo real. Puede utilizar las estadísticas de Amazon CloudWatch para disponer de una perspectiva sobre el rendimiento de su aplicación web o servicio. Para obtener más información, consulte ¿Qué es CloudWatch? en la Guía del usuario de Amazon CloudWatch.

Para obtener instrucciones sobre cómo crear un panel de CloudWatch, consulte Supervisión con Amazon CloudWatch. Para obtener más información acerca de métricas de Shield Advanced específicas que puede añadir a su panel, consulte AWS Shield Advanced metrics.

Cuando haya completado la configuración de Shield Advanced, familiarícese con las opciones de visualización de los eventos en Visibilidad de los eventos de DDoS con Shield Avanzado.