AWS Firewall Manager 的回归改建：兼顾中心安全与应用团队灵活性

关键要点

AWS Firewall Manager 现在支持回归改建功能，允许管理现有 Web ACL 而不替换它们。回归改建促进了基础设施作为代码IaC与 AWS Firewall Manager 的兼容性，减少了操作挑战。应用团队可以灵活地配置和管理自己的 WAF 规则，同时保持与中心政策的一致性。通过回归改建，用户可以在不迁移现有 WAF 规则的情况下，利用 Firewall Manager 的集中管理功能。

在这篇文章中，我们将讨论 AWS Firewall Manager 的回归改建功能及其如何增强安全管理，尤其是在允许应用团队自主配置的同时。通过回归改建，当启用此特性后，Firewall Manager 仅在不替代现有 Web ACL 的基础上，向现有的 Web ACL 添加新规则，以满足组织的安全政策需求。

Firewall Manager 之前的挑战

尽管 Firewall Manager 提供了诸多显著好处，但其现有方法也面临一系列挑战：

挑战描述与 IaC 的兼容性Firewall Manager 创建并关联 AWS WAF Web ACL 。IaC 工具希望创建和管理资源，因此应用团队无法使用 IaC 管理由 Firewall Manager 创建的 Web ACL 的 WAF 规则。现有 WAF 迁移已使用 AWS WAF 的客户需将现有规则迁移至 Firewall Manager 管理的 Web ACL。特定应用规则的复杂性强制所有在同一账户和 AWS 区域的资源使用相同的 Web ACL，使得应用特定或例外规则更复杂。成本增加当多个应用共享单个 Web ACL 时，应用特定的规则会导致总的 WAF 容量单位使用增加，从而提高请求成本。

回归改建所解决的挑战

为了解决这些挑战，Firewall Manager 现在支持回归改建现有 Web ACL。具体而言：

Firewall Manager 仅在所有相关资源都在范围内的情况下，才能回归改建 Web ACL。如果某个不在范围的资源也有关联，Firewall Manager 将不会对 Web ACL 进行回归改建或更新。回归改建只修改客户创建的 Web ACL，且不会影响由其他安全策略回归改建的 Web ACL。在 Web ACL 中，回归改建会在现有规则的基础上添加新规则，并添加 WAF 日志配置。如果与 AWS WAF 相关的资源没有 Web ACL，Firewall Manager 将会创建并关联一个管理的 Web ACL。

这项新功能大大简化了应用团队的管理方式，允许他们继续使用 IaC 安装和配置 WAF，同时又不妨碍中心政策的遵守。

Firewall Manager 安全策略示例

以下是启用回归改建的 Firewall Manager 安全策略示例。这一安全策略定义了在所有应用负载均衡器 (ALB) 上适用的 WAF 规则，并在组织中的特定区域生效。其下的 Managed web ACL source 部分提供了两个选项：Default 和 Retrofit existing webACLs，选择后者能够按安全政策将规则应用至现有 Web ACL。

回归改建的实际操作

在应用团队为其 ALB 配置特定规则的场景中，Firewall Manager 会在资源范围内检测到更改并相应地回归改建 Web ACL。这一流程确保了 ALB 在保持自身管理灵活性的同时，也能遵循安全策略。

加速器永久免费破解版

处理异常资源

如果与回归改建的 Web ACL 关联的资源不再符合安全策略，例如不再带有特定标签，则 Firewall Manager 将会标记此 Web ACL 为不合规。此时，Firewall Manager 不会应用未来的安全策略更新，直到相关问题解决。

注意：我们建议及时处理与 Web ACL 共享的异常资源，以避免潜在的安全风险。

结论

通过为 AWS WAF 的 Firewall Manager 启用回归改建，用户既能利用集中管理的优势，同时又保证应用团队在 WAF 规则配置方面的灵活性。这一强大功能将进一步增强 AWS Firewall Manager 的可用性和安全性。

注意：回归改建仅适用于 AWS Firewall Manager 中的 AWS WAF 安全策略，AWS WAF Classic 暂不支持。

如果您对本篇文章有任何反馈，请在评论区留言。如果您有其他问题，欢迎在 AWS Firewall Manager rePost 上发起新话题或 联系 AWS 支持。

Ian OlsonIan 是 AWS 的高级安全专业解决方案架构师，帮助客户自动化安全服务以防范各种威胁。他致力于提供适合不同规模组织的安全解决方案，并享受与两个孩子共度美好时光。

Bryan Van HookBryan 是 AWS 的高级安全解决方案架构师，拥有超过 25 年的软件工程和互联网安全领域的经验，专注于帮助客户充分利用 AWS 原生安全服务。业余时间，他喜欢玩桌面游戏和弹奏吉他。

标签： AWS Firewall Manager AWS WAF AWS Web 应用防火墙 安全博客 WAF