nexus/wiki/concepts/Security-Group-Policy.md

title, type, tags, sources, last_updated

title	type	tags	sources	last_updated
Security Group Policy	concept	AWS Security Security-Group Firewall-Manager Compliance	ctp-topic-55-aws-firewall-manager	2026-04-14

Definition

Security Group Policy 是 AWS Firewall Manager 中的安全组策略类型，用于在组织级别对安全组进行集中化管理和合规性控制。Policy 定义在 Firewall Manager 管理员账户中，通过 AWS Config + Lambda 机制自动分发和强制执行到目标账户的 EC2 实例。

Policy Types

1. Common Security Group Policy（通用安全组策略）

• 作用：将基线安全组附加到所有目标账户的 EC2 实例
• 特点：允许产品团队在基线之上继续添加自定义安全组规则
• 适用场景：需要统一安全基线但保留团队灵活性的场景

2. Audit & Enforcement Security Group Policy（审计与强制执行策略）

• 作用：检测并拒绝过度宽松（over-permissive）的安全组规则
• 两种修复模式：
  • 手动修复（Manual Remediation）：仅告警，由管理员手动处理
  • 自动修复（Auto Remediation）：通过 Lambda 自动纠正不合规规则
• 适用场景：强制最小权限原则，防止安全组配置错误导致风险暴露

3. Cleanup Security Group Policy（清理策略）

• 作用：自动识别并清理未使用的冗余安全组
• 适用场景：减少安全组管理复杂度，避免过期规则堆积

Policy Lifecycle

Policy Created in Firewall Manager Admin Account
    ↓
Target Account / OU Association
    ↓
AWS Config Compliance Check
    ├── Compliant → No Action
    └── Non-Compliant → Lambda Triggered
            ↓
Auto-Remediation (if enabled)
    ↓
New EC2 Instance → Auto-attach Security Group
Policy Deleted → Auto-detach Security Group from all instances

Prerequisites

• Firewall Manager 管理员账户已配置
• 目标账户必须启用 AWS Config
• 目标账户所在 OU 必须授予 Firewall Manager 管理员相应权限

Relationship with Other Concepts

• AWS Firewall Manager：Security Group Policy 的上层管理平台
• AWS Config：提供合规性评估数据
• AWS Lambda：执行自动化修复逻辑
• Prefix List：定义允许的 IP CIDR 范围，供安全组规则引用
• AWS RAM：跨账户共享 Prefix List

Design Patterns

• 分层叠加模式：Common SG（基线）+ 产品团队自定义 SG（叠加）= 完整安全策略
• 黑名单模式：Audit & Enforcement Policy 拒绝特定危险规则（如 0.0.0.0/0 全开放）
• 白名单模式：只允许明确声明的 CIDR 范围访问