关键要点 AWS网络防火墙CloudWatch仪表板提供了可自定义的监控解决方案。 该仪表板可帮助用户更深入地了解防火墙的性能和安全事件。 提供了便捷的CloudFormation模板,快速部署监控仪表板。 包含对关键指标的集中视图,有助于快速识别潜在的安全威胁。
由 Ajinkya Patil、Amish Shah 和 Todd Pula 于 2024年12月12日发布于 Amazon CloudWatch。
Amazon CloudWatch仪表板是CloudWatch控制台中的可自定义页面,可用于在一个视图中监控您的资源。本文专注于部署一个CloudWatch仪表板,使您能够为您的 AWS网络防火墙 创建可自定义的监控解决方案。旨在提供更深入的洞察,简化安全监控,确保防火墙的性能和安全事件得到有效分析。
网络防火墙是一项托管服务,您可以用来为 亚马逊虚拟私有云Amazon VPC 部署必要的网络保护。网络防火墙通过CloudWatch提供全面的日志和指标,我们通过这个CloudWatch仪表板扩展了它的能力。这一增强功能使可视化、分析和处理防火墙生成的大量数据变得更加容易。
该 开源解决方案 利用用户友好的 AWS CloudFormation 模板简化了网络安全监控,快速部署专用监控仪表板。此解决方案集成了CloudWatch的一系列功能基本监控指标、销售日志、日志洞察查询、贡献者洞察规则及仪表板本身形成集中的视图。预配置的小部件提供对关键信息的即时洞察,例如主要流量生成者、协议分布和警报日志趋势,以及HTTP和TLS流流量分析。全面的关键指标和日志视图能够更快速地识别潜在的安全威胁或性能问题。借助所有相关的网络防火墙数据集中在一个地方,您的团队能够更快响应新出现的安全事件。
在本文中,我们提供了仪表板的概述,以及在您的环境中部署它的逐步指南。
CloudWatch仪表板可以部署在目前可用的所有 AWS区域 中,包括AWS GovCloud美国区域和中国区域。仪表板虽然是预配置的,但您可以快速调整查询、时间范围和刷新间隔,以满足特定需求。默认情况下,仪表板查询防火墙流量和警报日志事件,时间跨度为3小时,影响扫描的日志事件数量。Logs Insights和Contributor Insights小部件默认展示前10个数据点,但您可以通过修改查询或调整“前贡献者”值来增强结果,尽管这可能会导致费用增加。您可以配置小部件的自动刷新间隔,以便获得实时可见性并优化成本。请查看 Amazon CloudWatch 价格 指南,以获取最新的免费和付费层的定价信息。
如图1所示,仪表板可以通过CloudFormation部署,并包含以下来源的数据和分析:
数据来源AWS/NetworkFirewall 和 AWS/PrivateLinkEndpoints 命名空间的原生CloudWatch指标分析网络防火墙流量和警报日志的CloudWatch Logs Insights查询从网络防火墙流量和警报日志聚合数据的CloudWatch Contributor Insights规则在仪表板中,Logs Insights和Contributor Insights小部件默认显示前10个数据点。您可以编辑Insights查询或更改“前贡献者”的值,以显示更多结果,如图2所示。
您也可以手动刷新单个或多个小部件中的数据,也可以配置整个仪表板,以按照设置的时间间隔自动刷新,如图3所示。仪表板默认不会自动刷新小部件数据。
部署网络防火墙CloudWatch仪表板非常简单。您需要满足以下条件:
在您的VPC中有一个网络防火墙。您的网络防火墙必须配置为将流量和警报日志发布到两个不同的CloudWatch日志组。例如,流量日志发布到 /myfirewallflowlogs,警报日志发布到 /myfirewallalertlogs。如果您还没有在VPC中部署网络防火墙,可以使用可用的 AWS网络防火墙部署架构 模板来创建防火墙。创建防火墙后,请根据前述配置CloudWatch日志组,并配置有状态记录。优化您的防火墙策略和规则配置,并确保您通过防火墙进行 对称路由。防火墙在路由路径中并发布指标和日志事件后,您可以继续使用此网络防火墙CloudWatch仪表板模板。
网络防火墙仪表板CloudFormation模板为单个网络防火墙创建监控仪表板。确保在与防火墙相同的AWS区域和账户中启动此CloudFormation堆栈,无论防火墙是以中央方式还是分布方式设置。
飞鱼加速器官网地址部署仪表板的步骤:
选择相关AWS区域的 启动堆栈。确保您已登录到正确的AWS账户和区域。区域:中国区域:Gov Cloud区域:AWS网络防火墙支持的所有其他区域您将被重定向到AWS管理控制台中的创建堆栈页面。确保您处于正确的区域并使用正确的模板。选择 下一步。以下是区域及其模板名称: 中国区域 nfwcloudwatchdashboardchinayamlGov Cloud区域 nfwcloudwatchdashboardgovcloudyaml其他所有区域 nfwcloudwatchdashboardyaml启动堆栈时,您需要输入以下参数:
堆栈名称 此CloudFormation堆栈的描述性名称,例如 myfirewalldashboard。防火墙名称 在亚马逊VPC控制台中看到的防火墙名称。在亚马逊VPC控制台,选择导航窗格中的网络防火墙,然后选择防火墙。防火墙子网 您的防火墙端点所附加的防火墙子网ID。防火墙子网可以在亚马逊VPC控制台的防火墙详细信息选项卡中找到。流日志组名称 存储防火墙流日志的CloudWatch日志组名称。警报日志组名称 存储防火墙警报日志的CloudWatch日志组名称。贡献者洞察规则状态 启用或禁用贡献者洞察规则模板默认启用。禁用将停止规则扫描日志数据并在贡献者洞察小部件中显示结果。创建规则后,您可以从CloudWatch控制台通过选择导航窗格中的 Insights,然后选择 Contributor Insights 来更改一个或多个贡献者洞察规则的状态。堆栈达到 CREATECOMPLETE 状态后,转到 输出 选项卡并选择 FirewallDashboardURI 链接,以在CloudWatch仪表板控制台中打开新仪表板。Logs Insights和Contributor Insights小部件起初可能需要几分钟才能开始显示数据。有关每个小部件的更多详细信息,请参阅 README。如果没有与小部件中的查询参数匹配的日志事件,则某些小部件可能不会显示数据点。
如果您在部署期间或之后遇到问题,请检查以下事项:
防火墙日志记录 已启用,并配置为使用 CloudWatch 而不是 Amazon S3 或 Amazon Kinesis。流量和警报日志记录 均已启用,而不仅仅是其中之一。日志组名称 输入正确;不正确的名称将导致小部件指向无效数据。选择 正确的子网。不正确的选择可能会影响PrivateLink指标小部件。防火墙名称 输入正确。错误的名称可能会影响指标小部件、仪表板和贡献者洞察小部件的名称,并中断防火墙链接。您可以通过几次点击删除网络防火墙CloudWatch仪表板及所有相关资源。删除仪表板不会影响防火墙执行的路由和网络流量检测。
登录到您启动堆栈的区域的CloudFormation控制台,从导航窗格中选择堆栈。选择启动堆栈时选择的堆栈名称。例如,myfirewalldashboard。选择 删除。我们鼓励您亲自体验这个新仪表板如何增强您的网络安全管理。要开始使用AWS网络防火墙CloudWatch仪表板,请访问我们的 GitHub代码库 以获取详细说明和CloudFormation模板。有关仪表板及其功能的视觉概述,请查看我们的 YouTube视频。
如果您对本文有反馈意见,请在评论部分提交。如果您对本文有疑问,可以 联系AWS支持。
Ajinkya PatilAjinkya是亚马逊专业服务的安全顾问,自2019年以来专注于为汽车行业的AWS客户提供安全咨询。他在AWS reInforce上发表过演讲,并为AWS安全博客和AWS建议指导撰写过文章。工作之余,他热衷于旅行和摄影。
Todd PulaTodd是AWS的高级云支持工程师,也是AWS网络防火墙的服务体验所有者。他是一位成功的问题解决者,帮助客户构建和故障排除复杂的云网络和安全解决方案。他拥有信息技术硕士学位,并且是思科认证网络专家CCIE。
Amish ShahAmish是一位拥有15年经验的资深产品领导者,专注于开发创新的可扩展网络、安全和云使用案例解决方案。他目前领导AWS网络防火墙服务,协助开发保护AWS工作负载的安全解决方案。工作以外,Amish喜欢打板球和足球,热爱旅行,并最近开始收藏特定的香水。
标签 Amazon CloudWatch AWS网络防火墙 监控 可观察性 安全博客
