Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour AWS Network Firewall
Ces AWS Security Hub contrôles évaluent le AWS Network Firewall service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::Firewall
Règle AWS Config : netfw-multi-az-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle évalue si un pare-feu géré par le biais AWS Network Firewall est déployé sur plusieurs zones de disponibilité (AZs). Le contrôle échoue si un pare-feu est déployé dans une seule zone de disponibilité.
AWS l'infrastructure mondiale comprend plusieurs Régions AWS. AZs sont des sites physiquement séparés et isolés dans chaque région, reliés par un réseau à latence faible, à haut débit et hautement redondant. En déployant un pare-feu Network Firewall sur plusieurs sites AZs, vous pouvez équilibrer et transférer le trafic entre eux AZs, ce qui vous permet de concevoir des solutions à haute disponibilité.
Correction
Déploiement d'un pare-feu Network Firewall sur plusieurs AZs
Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/
. Dans le volet de navigation, sous Network Firewall, sélectionnez Firewalls.
Sur la page Pare-feu, sélectionnez le pare-feu que vous souhaitez modifier.
Sur la page des détails du pare-feu, choisissez l'onglet Détails du pare-feu.
Dans la section Politique associée et VPC, choisissez Modifier
Pour ajouter un nouvel AZ, choisissez Ajouter un nouveau sous-réseau. Sélectionnez l'AZ et le sous-réseau que vous souhaitez utiliser. Assurez-vous d'en sélectionner au moins deux AZs.
Choisissez Enregistrer.
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
Exigences connexes : NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::LoggingConfiguration
Règle AWS Config : netfw-logging-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la journalisation n'est pas activée pour au moins un type de journal ou si la destination de journalisation n'existe pas.
La journalisation vous permet de gérer la fiabilité, la disponibilité et les performances de vos pare-feux. Dans Network Firewall, la journalisation vous fournit des informations détaillées sur le trafic réseau, notamment l'heure à laquelle le moteur avec état a reçu un flux de paquets, des informations détaillées sur le flux de paquets et toute action de règle avec état prise à l'encontre du flux de paquets.
Correction
Pour activer la journalisation pour un pare-feu, consultez la section Mise à jour de la configuration de journalisation d'un pare-feu dans le Guide du AWS Network Firewall développeur.
[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.13.1
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
Règle AWS Config : netfw-policy-rule-group-associated
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une politique Network Firewall est associée à des groupes de règles avec ou sans état. Le contrôle échoue si aucun groupe de règles apatride ou dynamique n'est attribué.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon Virtual Private Cloud (Amazon VPC). La configuration de groupes de règles avec ou sans état permet de filtrer les paquets et les flux de trafic, et définit la gestion du trafic par défaut.
Correction
Pour ajouter un groupe de règles à une politique de Network Firewall, consultez la section Mise à jour d'une politique de pare-feu dans le Guide du AWS Network Firewall développeur. Pour plus d'informations sur la création et la gestion de groupes de règles, consultez la section Groupes de règles dans AWS Network Firewall.
[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets complets.
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
Règle AWS Config : netfw-policy-default-action-full-packets
Type de calendrier : changement déclenché
Paramètres :
statelessDefaultActions: aws:drop,aws:forward_to_sfe(non personnalisable)
Ce contrôle vérifie si l'action par défaut sans état pour les paquets complets dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si Drop ou Forward est sélectionné, et échoue s'il Pass est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. L'utilisation par défaut de cette valeur Pass peut entraîner un trafic non prévu.
Correction
Pour modifier votre politique de pare-feu, consultez la section Mise à jour d'une politique de pare-feu dans le Guide du AWS Network Firewall développeur. Pour les actions par défaut sans état, choisissez Modifier. Choisissez ensuite Supprimer ou Transférer vers des groupes de règles dynamiques comme Action.
[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
Règle AWS Config : netfw-policy-default-action-fragment-packets
Type de calendrier : changement déclenché
Paramètres :
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets fragmentés dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si Drop ou Forward est sélectionné, et échoue s'il Pass est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. L'utilisation par défaut de cette valeur Pass peut entraîner un trafic non prévu.
Correction
Pour modifier votre politique de pare-feu, consultez la section Mise à jour d'une politique de pare-feu dans le Guide du AWS Network Firewall développeur. Pour les actions par défaut sans état, choisissez Modifier. Choisissez ensuite Supprimer ou Transférer vers des groupes de règles dynamiques comme Action.
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
Exigences connexes : NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::RuleGroup
Règle AWS Config : netfw-stateless-rule-group-not-empty
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe de règles AWS Network Firewall apatrides contient des règles. Le contrôle échoue s'il n'y a pas de règles dans le groupe de règles.
Un groupe de règles contient des règles qui définissent comment votre pare-feu gère le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, peut donner l'impression que le groupe de règles va traiter le trafic. Toutefois, lorsque le groupe de règles sans état est vide, il ne gère pas le trafic.
Correction
Pour ajouter des règles à votre groupe de règles Network Firewall, consultez la section Mise à jour d'un groupe de règles dynamique dans le Guide du AWS Network Firewall développeur. Sur la page des détails du pare-feu, pour le groupe de règles Stateless, choisissez Modifier pour ajouter des règles.
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::NetworkFirewall::Firewall
AWS Config règle : tagged-networkfirewall-firewall (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux AWS exigences. |
No default value
|
Ce contrôle vérifie si un AWS Network Firewall pare-feu possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le pare-feu ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le pare-feu n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une identification est une étiquette que vous affectez à une AWS ressource et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les étiquettes vous aident à identifier, à organiser, à rechercher et à filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter un contrôle d'accès par attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez attacher des étiquettes à des entités IAM (utilisateurs ou rôles), ainsi qu'à des AWS ressources. Vous pouvez créer une seule politique ABAC ou un nombre de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces stratégies ABAC pour autoriser des opérations lorsque la balise du mandataire correspond à celle de la ressource. Pour plus d'informations, consultez Présentation d'ABAC pour AWS. dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas de données d'identification personnelle (PII) ou d'autres informations confidentielles ou sensibles dans les étiquettes. Les étiquettes accessibles à de nombreux Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un pare-feu Network Firewall, consultez les AWS Network Firewall ressources relatives au balisage dans le Guide du AWS Network Firewall développeur.
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
AWS Config règle : tagged-networkfirewall-firewallpolicy (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux AWS exigences. |
No default value
|
Ce contrôle vérifie si une politique de AWS Network Firewall pare-feu comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la politique de pare-feu ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique de pare-feu n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une identification est une étiquette que vous affectez à une AWS ressource et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les étiquettes vous aident à identifier, à organiser, à rechercher et à filtrer les ressources. Le balisage vous permet également de suivre les actions et les notifications des propriétaires de ressources responsables. Lorsque vous utilisez le balisage, vous pouvez implémenter un contrôle d'accès par attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez attacher des étiquettes à des entités IAM (utilisateurs ou rôles), ainsi qu'à des AWS ressources. Vous pouvez créer une seule politique ABAC ou un nombre de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces stratégies ABAC pour autoriser des opérations lorsque la balise du mandataire correspond à celle de la ressource. Pour plus d'informations, consultez Présentation d'ABAC pour AWS. dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas de données d'identification personnelle (PII) ou d'autres informations confidentielles ou sensibles dans les étiquettes. Les étiquettes accessibles à de nombreux Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une politique de Network Firewall, consultez les AWS Network Firewall ressources relatives au balisage dans le Guide du AWS Network Firewall développeur.
[NetworkFirewall.9] La protection contre la suppression des pare-feux Network Firewall doit être activée
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Catégorie : Protection > Sécurité du réseau
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::Firewall
Règle AWS Config : netfw-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre la suppression est activée sur un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre la suppression n'est pas activée pour un pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique et un service de détection des intrusions qui vous permet d'inspecter et de filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Le paramètre de protection contre la suppression protège contre la suppression accidentelle du pare-feu.
Correction
Pour activer la protection contre la suppression sur un pare-feu Network Firewall existant, consultez la section Mise à jour d'un pare-feu dans le manuel du AWS Network Firewall développeur. Pour les protections contre les modifications, sélectionnez Activer. Vous pouvez également activer la protection contre la suppression en appelant l' UpdateFirewallDeleteProtectionAPI et en définissant le DeleteProtection champ sur. true
[NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Catégorie : Protection > Sécurité du réseau
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::Firewall
Règle AWS Config : netfw-subnet-change-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les modifications de sous-réseau est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre les modifications de sous-réseau n'est pas activée pour le pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique et un service de détection des intrusions que vous pouvez utiliser pour inspecter et filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Si vous activez la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall, vous pouvez protéger le pare-feu contre toute modification accidentelle des associations de sous-réseaux du pare-feu.
Correction
Pour plus d'informations sur l'activation de la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall existant, consultez la section Mise à jour d'un pare-feu dans le Guide du AWS Network Firewall développeur.
