중앙에서 여러 VPC에 AWS Network Firewall 배포
보안 관리자는 Firewall Manager로 AWS Network Firewall에 대한 방화벽 규칙을 배포하여 여러 계정과 Amazon VPC에 대한 수신 및 송신 트래픽을 단일 위치에서 제어할 수 있습니다. 중앙에서 구성된 규칙 세트가 변경되면 계정 및 VPC에 자동으로 배포됩니다. 따라서 보안 관리자는 조직에 새 계정과 VPC가 생성되더라도 중앙에서 지정한 방화벽 규칙을 조직 전체에 일관되게 적용할 수 있습니다. 동시에, Firewall Manager는 Network Firewall 보호가 누락된 VPC와 계정을 포함한 비준수 문제도 보고합니다.
Amazon VPC 보안 그룹, VPC 네트워크 액세스 제어 목록(ACL), AWS WAF 규칙, AWS Shield Advanced 보호, AWS Network Firewall 규칙 및 Amazon Route 53 Resolver DNS Firewall 규칙을 자동으로 배포합니다.
현재 존재하거나 앞으로 생성될 AWS 리소스에 대해 정책을 자동으로 적용할 수 있으므로, 조직 전체에서 방화벽 규칙을 준수하도록 보장할 수 있습니다. AWS Firewall Manager는 고객에게 Application Load Balancer, API Gateway 및 Amazon CloudFront 계정에서 AWS WAF 규칙 및 AWS WAF용 관리형 규칙을 적용할 수 있는 기능을 제공합니다. 그리고 Application/Classic Load Balancer, 탄력적 IP 주소 또는 CloudFront 배포에서 AWS Shield Advanced 보호를 적용할 수 있습니다. 마찬가지로, AWS Firewall Manager를 사용하여 VPC에서 EC2 인스턴스에 대해 공통된 기본 보안 그룹 또는 서브넷에 대한 네트워크 액세스 제어 목록(ACL)을 생성할 수도 있습니다. Firewall Manager를 사용하면 VPC에 대한 네트워크 방화벽 엔드포인트 및 관련 규칙을 자동으로 배포할 수 있습니다. 동시에 Firewall Manager를 사용하여 VPC를 Route 53 Resolver DNS Firewall 규칙과 연결할 수도 있습니다. 새로 생성되는 리소스에 규칙을 자동으로 적용하도록 선택하거나 새로운 리소스가 생성되면 알림을 받도록 선택할 수 있습니다.
다중 계정 리소스 그룹
AWS Firewall Manager 내에서 리소스를 계정별, 리소스 유형별 및 태그별로 그룹화할 수 있습니다. 보안 팀에서는 조직의 특정 그룹 내 또는 여러 계정에 걸쳐 모든 리소스에 대한 정책을 생성할 수 있습니다.
교차 계정 보호 정책
AWS Firewall Manager는 AWS Organizations와 통합되어 AWS 조직 내 계정 목록을 자동으로 가져오므로 계정 전체에서 리소스를 그룹화할 수 있습니다. 먼저, 보호 정책을 구축합니다. 이때 리소스 그룹을 정의하고 해당 그룹을 정책에 연결합니다. 그런 다음, 특정 AWS 계정 세트 또는 조직의 모든 계정을 포함하도록 정책 범위를 지정합니다. 그러면 Firewall Manager가 정책 범위에 따라 해당 계정의 해당 리소스에만 보호를 배포합니다.
계층적 규칙 적용
AWS Firewall Manager를 사용하면 계층적 방식으로 보호 정책을 적용할 수 있으므로, 특정 규칙을 중앙에서 적용하는 기능은 유지하면서 동시에 애플리케이션별 규칙 생성을 위임할 수 있습니다. 중앙에서 적용하는 규칙은 실수로 삭제되거나 잘못 처리되지 않는지 지속적으로 모니터링되므로, 규칙의 일관된 적용이 보장됩니다.
규정 준수 알림을 제공하는 대시보드
AWS Firewall Manager는 시각적 대시보드를 제공하므로, 어떤 AWS 리소스가 보호되는지 신속하게 확인하고, 규정 비준수 리소스를 파악하며, 적절한 조치를 취할 수 있습니다. 또한 구성이 변경되면 SNS 알림 스트림을 통해 알림을 받을 수도 있습니다.
VPC에서 기존 및 향후 보안 그룹 감사
AWS Firewall Manager를 사용하면 VPC에서 허용/거부되는 보안 그룹을 정의하는 가드레일을 설정하도록 정책을 생성할 수 있습니다. AWS Firewall Manager는 보안 그룹을 지속적으로 모니터링하여 과도한 권한의 규칙을 탐지하고 방화벽의 보안 태세를 향상시킬 수 있습니다. 그리고 규정을 준수하지 않는 리소스 및 계정에 대한 알림을 받거나 AWS Firewall Manager에서 자동 해결을 통해 직접 조치를 취할 수 있습니다.
AWS Marketplace 서드 파티 방화벽 지원
AWS Firewall Manager를 사용하면 AWS Marketplace에 가입한 서드 파티 클라우드 방화벽을 중앙에서 조직의 모든 Virtual Privat Cloud(VPC)에 배포하고 모니터링할 수 있습니다. 이 서비스는 AWS 네이티브 방화벽과 AWS Marketplace에 가입한 서드 파티 방화벽을 모두 배포하고 관리할 수 있는 단일 방화벽 관리 솔루션입니다. 조직에서 신규 계정과 VPC를 생성할 때에도 방화벽의 교차 계정 배포, 규칙 연결 및 VPC 경로 구성을 자동화할 수 있습니다.