Amazon 发布全新云平台安全服务：AWS 防火墙管理

看新闻很累？看技术新闻更累？试试下载 InfoQ 手机客户端，每天上下班路上听新闻，有趣还有料！

Amazon 发布了一个全新的服务，叫做 AWS 防火墙管理，它为 AWS 的客户提供了一种跨账号集中配置 AWS Web 应用程序防火墙的方法。AWS 防火墙管理是 Amazon 最近推出的几项安全服务中的一部分。

Amazon 推出这项服务是为了满足客户的需求。 Jeff Barr 是 AWS 的首席宣传官，他在一篇讲 AWS 防火墙管理服务发布的博客中提到：

在过去的几年中，我们为客户提供了越来越完善的安全保护，其中包括 AWS WAF 和 AWS Shield 。我们的客户正在充分利用所有这些安全服务，他们希望能够在一个集中化的面板中对这些选项进行管理。

AWS 的客户通过通过防火墙管理器可以访问每个服务来创建防火墙保护策略，通过应用程序负载平衡器（Load Balancer）和 Amazon CloudFront 基础架构使它们一致执行。除此之外，该安全服务还允许用户通过诸如 Imperva、F5 和 Trend Micro 等各种供应商在 AWS Marketplace 中使用自定义 WAF 规则和托管 WAF 规则。

想要使用 AWS 防火墙管理服务，用户必须满足以下要求：

• 用户组织必须使用 AWS Organizations 来管理他们的账户，并且要启用所有的功能。

• 必须要为防火墙管理服务指定一个管理员账号来为整个组织部署 WS WAF 防火墙规则。

• 需要为所有账户启用 AWS Config 以便防火墙管理能够检测到所有新创建的资源。

一旦满足了上述前提，被指定的管理员就可以创建各种各样的政策（Policy）了。控制台会在整个政策的创建过程中为管理员提供指导。这个过程包括创建规则和规则组、为规则组制定政策、定义政策的范围以及创建实际的政策。

图片来源： https://aws.amazon.com/blogs/aws/aws-firewall-manager-central-management-for-your-web-application-portfolio/

通过制定政策，组织可以从中心化的 AWS 防火墙管理器中获益。比如，所有的资源和账户都可以遵守同一套强制性的政策。 Barr 在同一篇博客中提到：

通过跨帐户的和跨应用程序的自动化政策的执行，您的安全团队可以确保，当他们使用防火墙管理器时，新创建的和现有的应用程序将遵守组织范围内的安全策略。他们也能够找到那些不满足要求的应用程序和 AWS 资源，然后用几分钟就能使它们符合安全标准。

使用 AWS Shield Advanced 服务的用户能够免费使用 AWS 防火墙管理服务和 AWS WAF。其他用户则需要按月按区域进行收费，还需要收取 WAF Web ACLs、WAF Rules 以及 AWS Config Rules 的常规费用。关于 AWS 防火墙管理服务的价格细则请参看定价页面。该服务目前在美国东部区域（弗吉尼亚北部）、美国西部区域（俄勒冈）以及所有Amazon CloudFront 的关键区域可用。关于AWS 防火墙管理服务的更多细节请查看 AWS 网站。

阅读英文原文： Amazon Launches a New Cloud Security Service: AWS Firewall Manager