Cómo Firewall Manager corrige las ACL de red administradas no compatibles - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Informes de cumplimiento de la ACL de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Cómo Firewall Manager corrige las ACL de red administradas no compatibles

En esta sección se describe cómo Firewall Manager corrige sus ACL de red administradas cuando no cumplen con la política. Firewall Manager solo corrige las ACL de red administradas, con la etiqueta FMManaged configurada en true. Para ver las ACL de red que no están administradas por Firewall Manager, consulte Administración inicial de la ACL de red.

La corrección restaura las ubicaciones relativas de la primera regla, la regla personalizada y la última regla, y restablece el orden de la primera y la última regla. Durante la corrección, Firewall Manager no moverá necesariamente las reglas a los números de regla que utiliza en la inicialización de la ACL de red. Para ver la configuración numérica inicial y las descripciones de estas categorías de reglas, consulte Administración inicial de la ACL de red.

Para establecer reglas y un orden de reglas compatibles, es posible que Firewall Manager necesite mover las reglas dentro de la ACL de red. En la medida de lo posible, Firewall Manager preserva las protecciones de la ACL de red al mantener el orden de reglas compatibles existentes. Por ejemplo, podría duplicar de forma temporal las reglas en nuevas ubicaciones y, a continuación, eliminar de forma ordenada las reglas originales para conservar así las ubicaciones relativas durante el proceso.

Este enfoque protege la configuración, pero también requiere espacio en la ACL de red para las reglas provisionales. Si Firewall Manager alcanza el límite de reglas en una ACL de red, detendrá la corrección. Cuando esto ocurre, la ACL de red sigue sin cumplir las normas y Firewall Manager informa sobre el motivo.

Si una cuenta agrega reglas personalizadas a una ACL de red administrada por Firewall Manager y esas reglas interfieren con la corrección, Firewall Manager detiene cualquier actividad de corrección en la ACL de red e informa sobre el conflicto.

Corrección forzosa

Al elegir la corrección automática para la política, también especifica si desea forzar la corrección para la primera regla o para la última regla.

Cuando Firewall Manager detecta un conflicto en la administración del tráfico entre una regla personalizada y una regla de política, hace referencia a la configuración de corrección forzosa correspondiente. Si la corrección forzosa está habilitada, Firewall Manager la aplica a pesar del conflicto. Si esta opción no está habilitada, Firewall Manager detiene la corrección. En cualquier caso, Firewall Manager informa sobre el conflicto de reglas y ofrece opciones de corrección.

Requisitos y limitaciones del recuento de reglas

Durante la corrección, Firewall Manager puede duplicar de forma temporal las reglas para moverlas sin alterar las protecciones que proporcionan.

Tanto para las reglas de entrada como de salida, el mayor número de reglas que Firewall Manager puede necesitar para hacer la corrección es el siguiente: 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Las ACL de red y las políticas de ACL de red están sujetas a límites de reglas mutables. Si Firewall Manager alcanza un límite en sus esfuerzos de corrección, deja de intentar corregir e informa sobre el incumplimiento.

Para dejar espacio para que Firewall Manager lleve a cabo sus actividades de corrección, puede solicitar un aumento del límite. Como alternativa, puede cambiar la configuración de la política o la ACL de red para reducir el número de reglas utilizadas.

Para obtener más información acerca de los límites de las ACL de red, consulte Cuotas de Amazon VPC en las ACL de red en la Guía del usuario de Amazon VPC.

Cuando falla la corrección

Al actualizar una ACL de red, si Firewall Manager necesita detenerse por algún motivo, no revierte los cambios, sino que deja la ACL de red en un estado provisional. Si ve reglas duplicadas en una ACL de red que tiene la etiqueta FMManaged configurada en true, lo más probable es que Firewall Manager esté trabajando para corregir el problema. Es posible que los cambios se hayan completado de manera parcial durante un periodo, pero, debido al enfoque que adopta Firewall Manager para llevar a cabo la remediación, esto no interrumpirá el tráfico ni reducirá la protección de las subredes asociadas.

Cuando Firewall Manager no corrige por completo las ACL de red que no cumplen con los requisitos, informa sobre el incumplimiento de las subredes asociadas y sugiere posibles opciones de corrección.

Reintento después de un fallo de corrección

En la mayoría de los casos, si Firewall Manager no completa los cambios de corrección en una ACL de red, eventualmente volverá a intentar el cambio.

La excepción a esto ocurre cuando la corrección alcanza el límite de recuento de reglas de la ACL de red o el límite de recuento de la ACL de red de la VPC. Firewall Manager no puede realizar actividades de corrección que consuman recursos de AWS por encima de su configuración límite. En estos casos, es necesario reducir los recuentos o aumentar los límites para poder continuar. Para obtener más información sobre los límites, consulte Cuotas de Amazon VPC en las ACL de red en la Guía del usuario de Amazon VPC.

Informes de cumplimiento de la ACL de red de Firewall Manager

Firewall Manager supervisa el cumplimiento de todas las ACL de red que están conectadas a las subredes incluidas en el ámbito e informa sobre estas.

En términos generales, el incumplimiento se produce en situaciones como un orden incorrecto de las reglas o un conflicto en el comportamiento de administración del tráfico entre las reglas de política y las reglas personalizadas. Los informes de incumplimiento incluyen las infracciones de conformidad y las opciones de corrección.

Firewall Manager informa sobre las infracciones de cumplimiento de una política de ACL de red de la misma manera que para otros tipos de políticas. Para obtener más información sobre los informes de cumplimiento, consulte Visualización de información de conformidad para una política de AWS Firewall Manager.

Incumplimiento durante las actualizaciones de la política

Después de modificar una política de ACL de red, hasta que Firewall Manager actualice las ACL de red que están dentro del ámbito de la política, Firewall Manager marca esas ACL de red como no conformes. Firewall Manager lo hace incluso si las ACL de red pueden, estrictamente hablando, cumplir con las normas.

Por ejemplo, si elimina las reglas de la especificación de la política y las ACL de red incluidas en el ámbito siguen teniendo reglas adicionales, es posible que sus definiciones de reglas todavía cumplan con la política. Sin embargo, dado que las reglas adicionales forman parte de las reglas que administra Firewall Manager, Firewall Manager las considera infracciones de la configuración de políticas actual. Esto es diferente de la forma en que Firewall Manager ve las reglas personalizadas que se agregan a las ACL de red administradas por Firewall Manager.