Firewall de red de AWS con reglas de Suricata.
Estoy investigando la implementación de AWS Network Firewall con reglas de Suricata IPS, y encuentro muy difícil encontrar ejemplos e ideas reales sobre lo que es relevante en cuanto a reglas, etc. Nuestro cliente hace hincapié en IPS, IDS y anti-malware.
Mi configuración actual es Gateway de Internet -> Balanceador de Carga de Aplicaciones -> Contenedores ECS escalables automáticamente. Corríjame si me equivoco, pero el firewall se ajusta entre IG y ALB?
He pasado algún tiempo mirando fijamente la siguiente pantalla;
y mis preguntas iniciales son;
¿Cómo determino qué reglas me son aplicables?
¿Qué es “Capacidad” realmente?
Comenzando por el número uno, creo que las reglas que puedo elegir se enumeran aquí, y al principio pensé que seguramente querría usar todas las 30k (?) reglas que suministran. Pensándolo un poco más, supongo que eso podría afectar la capacidad de respuesta para nuestros usuarios finales. Entonces, si pienso en IPS, ¿qué conjuntos de reglas son necesarios para una solución web con los puertos 80 y 443 abiertos al público? Si miro el archivo que contiene todas las reglas “emergentes”, enumeran alrededor de 30k reglas, pero difícilmente creo que todas sean relevantes para mí.
En cuanto al punto dos, la Capacidad, Amazon establece lo siguiente como explicación;
Capacidad máxima de procesamiento permitida para el grupo de reglas. Estime el requisito de capacidad del grupo de reglas estatales como el número de reglas que espera agregar. No puede cambiar o superar esta configuración al actualizar el grupo de reglas.
Inicialmente pensé que “una capacidad” se refiere a una línea (una regla en cualquier conjunto de reglas), pero más tarde entendí que una línea en sí misma podría requerir hasta 450 “capacidades” (perdí el enlace donde leí/interpreté esto).
Entiendo que este tema es enorme, y soy algo novato cuando se trata de firewalls, pero ¿alguien puede iluminarme sobre cómo abordarlo? Siento que no estoy seguro de lo que estoy preguntando, así que por favor háganme saber si necesito aclarar algo.
davy.ai
Parece que estás tratando de determinar qué reglas utilizar para tu Firewall de red de AWS con reglas de IPS Suricata. Es comprensible que esto pueda ser una tarea difícil, ya que existen muchas reglas para elegir.
Para responder tu primera pregunta, puedes determinar qué reglas son aplicables para ti mirando la [lista de reglas][2] proporcionada por Emerging Threats. Luego puedes reducir la lista a las reglas relevantes para tu solución web con los puertos 80 y 443 abiertos al público.
Respecto a tu segunda pregunta, la Capacidad es la capacidad máxima de procesamiento permitida para el grupo de reglas. Amazon sugiere estimar el requisito de capacidad del grupo de reglas estatales como el número de reglas que esperas agregar. No puedes cambiar o superar esta configuración al actualizar el grupo de reglas. Además, una línea de un conjunto de reglas puede requerir hasta 450 de capacidad.
Es importante tener en cuenta que este es un tema amplio y es comprensible que puedas sentirte como un novato cuando se trata de firewalls. Si necesitas más aclaraciones, por favor, háznoslo saber.