最近在「AWS Firewall Manager Update – Support for VPC Security Groups」這邊看到消息才知道有 AWS Firewall Manager 這個服務,順便寫篇文章整理一下這個服務。
介紹
AWS Firewall Manager 可以在有 Organization 的 AWS 帳號集群開啟 AWS Firewall Manager 控管所有的 Linked-Account,範圍從 WAF、Shield Advanced 到 Security Group。
功能
- 必須搭配 Organization 使用
- 可以指定 Organization 內其中一個 Linked-Account 為 Administrator,Administrator 可以派發 WAF、Shield Advanced、Security Group 規則。
- 每個 Policy 佈署後,可以自動開啟 AWS Config 監控。
價格
- 當使用 WAF / Shield 時,每個 Policy 為 US$100,WAF WebACL 或 Config 另外照定價收費。
- 當使用 Shield Advanced 時(已付費 Shield Advanced),Policy 跟 WAF WebACL 不收費,但 Config 照定價收費。
結論
基本上是一個以 Shield Advanced 而生的服務,當 AWS 規模 (Multi-Account) 使用到一定程度時 AWS FMS 會是資安管理的一大利器,
但如果規模不大,在不訂閱 Shield Advanced 的情況下每個 Rule / Security Policy 要價 $100,而且 WAF WebACL 和 Config 還另計,基本上沒有 Shield Advanced 根本很難買的下手 …。
總之就是 … 歸類在給「有錢人」的服務。