Firewall Manager
📘 ¿Qué es AWS Firewall Manager?
AWS Firewall Manager es un servicio de administración centralizada de políticas de seguridad para organizaciones en AWS. Permite aplicar y mantener reglas de WAF, Shield Advanced, VPC security groups, Route 53 resolver DNS Firewall y AWS Network Firewall de forma automática en múltiples cuentas y regiones.
Ideal para organizaciones que usan AWS Organizations y buscan consistencia en las reglas de seguridad y cumplimiento.
🧠 ¿Para qué sirve?
-
Aplicar políticas de seguridad de forma centralizada
-
Automatizar la protección para recursos nuevos (auto-remediación)
-
Garantizar compliance y estándares corporativos en seguridad de red
-
Administrar configuraciones de WAF, Shield Advanced y Network Firewall desde una sola cuenta
🧩 Servicios que administra
| Servicio | ¿Qué puedes hacer con Firewall Manager? |
|---|---|
| AWS WAF | Aplicar reglas web a CloudFront, ALB, API Gateway, AppSync |
| Shield Advanced | Proteger automáticamente cuentas y recursos |
| AWS Network Firewall | Políticas de firewall de red a nivel de VPC |
| VPC Security Groups | Controlar configuraciones de seguridad en instancias EC2 |
| Route 53 Resolver DNS Firewall | Controlar tráfico DNS saliente |
🧱 Requisitos
Para usar AWS Firewall Manager:
-
Tener habilitado AWS Organizations
-
Designar una cuenta administradora de seguridad (admin account)
-
Activar los servicios gestionados (WAF, Shield, Network Firewall, etc.)
-
Crear y asociar políticas de seguridad por tipo de servicio
🛠️ Tipos de políticas soportadas
| Tipo de Política | ¿Qué protege? |
|---|---|
| WAF policy | CloudFront, ALB, API Gateway |
| Shield Advanced policy | DDoS para ALB, CloudFront, EC2, Route 53 |
| VPC security group policy | Reglas de entrada/salida en instancias EC2 |
| Network Firewall policy | Tráfico de red entre subredes y VPCs |
| DNS Firewall policy | Filtrado DNS malicioso o no deseado |
⚙️ Funcionalidades clave
-
Auto-remediación: Detecta recursos no protegidos y aplica políticas automáticamente
-
Cobertura automática de nuevas cuentas o recursos en AWS Organizations
-
Auditoría y visibilidad centralizadas
-
Soporte multi-región
-
Exclusiones granulares: puedes excluir cuentas, VPCs o recursos específicos
🧠 Ejemplo de arquitectura
Cuenta Administradora de Seguridad
|
v
[Firewall Manager Policies]
|
v
Cuentas miembro (Organizations)
├── WAF en ALB
├── Shield en CloudFront
├── Security Groups auditados
└── Network Firewall en VPC💰 Precios
| Servicio | Costo adicional |
|---|---|
| AWS Firewall Manager | Sin costo adicional, pero… |
| WAF, Shield, Network Firewall | Se cobran por separado |
| DNS Firewall / Security Groups | Se cobra por uso individual |
💡 El uso de Firewall Manager no tiene un cargo adicional, pero los servicios que administra sí lo tienen.
🧠 Preguntas tipo certificación
-
¿Qué servicio permite aplicar políticas WAF en todas las cuentas desde un solo punto?
- ✅ AWS Firewall Manager
-
¿Qué requisito es obligatorio para usar Firewall Manager?
- ✅ AWS Organizations
-
¿Puede detectar automáticamente recursos no protegidos?
- ✅ Sí, mediante auto-remediación
-
¿Puede administrar AWS Network Firewall?
- ✅ Sí
-
¿Permite exclusiones por cuenta o recurso?
- ✅ Sí
🔐 Ventajas
-
Ahorro de tiempo operativo al aplicar seguridad estandarizada
-
Reducción de errores humanos en configuraciones distribuidas
-
Visibilidad y auditoría centralizadas
-
Alineación con marcos de cumplimiento (NIST, PCI, etc.)