本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub CSPM 控件适用于 AWS Network Firewall
这些AWS Security Hub CSPM控制措施评估AWS Network Firewall服务和资源。这些控件可能并非全部可用AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性。
[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中
相关要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
类别:恢复 > 弹性 > 高可用性
严重性:中
资源类型:AWS::NetworkFirewall::Firewall
AWS Config 规则:netfw-multi-az-enabled
计划类型:已触发变更
参数:无
此控件评估通过管理的防火墙AWS Network Firewall是否部署在多个可用区 (AZs)。如果防火墙仅部署在一个可用区中,则控制失败。
AWS全球基础设施包括多个AWS 区域。 AZs 在每个区域内都是物理上分开的、孤立的地点,通过低延迟、高吞吐量和高度冗余的网络连接。通过在多个 AZs防火墙上部署 Network Firewall 防火墙 AZs,您可以平衡和转移流量,这有助于您设计高度可用的解决方案。
修复
在多个防火墙上部署 Network Firewall AZs
打开位于 https://console.aws.amazon.com/vpc/
的 Amazon VPC 控制台。 在导航窗格中的网络防火墙 下,选择防火墙。
在防火墙页面上,选择要编辑的防火墙。
在防火墙详细信息页面上,选择防火墙详细信息选项卡。
在关联策略和 VPC 部分中,选择编辑
要添加新的可用区,请选择添加新子网。请选择您要使用的可用区和子网。确保至少选择两个 AZs。
选择保存。
[NetworkFirewall.2] 应启用 Network Firewall 日志记录
相关要求: NIST.800-53.r5 AC-2(12)、(4)、(26)、(9)、 NIST.800-53.r5 AC-2 (9)、(9)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-4 (8)、 NIST.800-53.r5 AC-6 nist.800-53.r5 SI-4 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-7 (8)、nist.800-171.r2 3.1.r2 3.1.r2 (20)、nist.800-53.r5 SI-7 (8) 20,nist.800-171.r2 3.13.1
类别:识别 > 日志记录
严重性:中
资源类型:AWS::NetworkFirewall::LoggingConfiguration
AWS Config 规则:netfw-logging-enabled
计划类型:定期
参数:无
此控件检查是否已为AWS Network Firewall防火墙启用日志记录。如果没有为至少一种日志类型启用日志记录或者日志记录目标不存在,则控制失败。
日志记录可帮助您保持防火墙的可靠性、可用性和性能。在 Network Firewall 中,日志记录为您提供有关网络流量的详细信息,包括有状态引擎接收数据包流的时间、有关数据包流的详细信息以及针对数据包流采取的任何有状态规则操作。
修复
要启用防火墙日志记录,请参阅《AWS Network Firewall 开发人员指南》中的更新防火墙的日志记录配置。
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
相关要求: NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.1.3、nist.800-171.r2 3.13.1
类别:保护 > 安全网络配置
严重性:中
资源类型:AWS::NetworkFirewall::FirewallPolicy
AWS Config 规则:netfw-policy-rule-group-associated
计划类型:已触发变更
参数:无
此控件检查 Network Firewall 策略是否关联了任何状态或无状态规则组。如果未分配无状态或有状态规则组,则控制失败。
防火墙策略定义防火墙如何监控和处理 Amazon Virtual Private Cloud(Amazon VPC)中的流量。配置无状态和有状态规则组有助于筛选数据包和流量,并定义默认流量处理。
修复
要向 Network Firewall 策略添加规则组,请参阅 AWS Network Firewall 开发人员指南中的更新防火墙策略。有关创建和管理规则组的信息,请参阅 AWS Network Firewall 中的规则组。
[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包
相关要求: NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2
类别:保护 > 安全网络配置
严重性:中
资源类型:AWS::NetworkFirewall::FirewallPolicy
AWS Config 规则:netfw-policy-default-action-full-packets
计划类型:已触发变更
参数:
statelessDefaultActions: aws:drop,aws:forward_to_sfe(不可自定义)
此控件检查 Network Firewall 策略中对完整数据包的默认无状态操作是丢弃还是转发。如果选择了 Drop 或 Forward,则控制通过,如果选择 Pass 则控制失败。
防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。
修复
要变更您的防火墙策略,请参阅 AWS Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作,请选择编辑。然后,选择丢弃或转发到有状态的规则组作为操作。
[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
相关要求: NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.1.3、nist.800-171.r2 3.1.14、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.6
类别:保护 > 安全网络配置
严重性:中
资源类型:AWS::NetworkFirewall::FirewallPolicy
AWS Config 规则:netfw-policy-default-action-fragment-packets
计划类型:已触发变更
参数:
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(不可自定义)
此控件检查 Network Firewall 策略中对碎片数据包的默认无状态操作是丢弃还是转发。如果选择了 Drop 或 Forward,则控制通过,如果选择 Pass 则控制失败。
防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。
修复
要变更您的防火墙策略,请参阅 AWS Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作,请选择编辑。然后,选择丢弃或转发到有状态的规则组作为操作。
[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空
相关要求: NIST.800-53.r5 AC-4(21)、(11)、(16)、(21)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7、nist.800-171.r2 3.1.3、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.14、nist.800-171.r2 3.1.14、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.6 NIST.800-53.r5 SC-7
类别:保护 > 安全网络配置
严重性:中
资源类型:AWS::NetworkFirewall::RuleGroup
AWS Config 规则:netfw-stateless-rule-group-not-empty
计划类型:已触发变更
参数:无
此控件检查中的无状态规则组是否AWS Network Firewall包含规则。如果规则组中没有规则,则控制失败。
规则组包含的规则定义防火墙如何处理您的 VPC 中的流量。当防火墙策略中存在空的无状态规则组时,可能会给人一种规则组将处理流量的印象。但是,当无状态规则组为空时,它不处理流量。
修复
要将规则添加到 Network Firewall 规则组,请参阅 AWS Network Firewall 开发人员指南中的更新有状态规则组。在防火墙详细信息页面上,对于无状态规则组,选择编辑以添加规则。
[NetworkFirewall.7] 应标记 Network Firewall 防火墙
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::NetworkFirewall::Firewall
AWS Config规则:tagged-networkfirewall-firewall(自定义 Security Hub CSPM 规则)
计划类型:已触发变更
参数:
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 AWS 要求的标签键。 |
No default value
|
此控件检查AWS Network Firewall防火墙是否具有参数中定义的特定密钥的标签requiredTagKeys。如果防火墙没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果防火墙未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给AWS资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和AWS资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签AWS 服务,包括AWS Billing。有关更多标记最佳做法,请参阅中的为AWS资源添加标签。AWS 一般参考
修复
要向 Network Firewall 防火墙添加标签,请参阅《AWS Network Firewall开发者指南》中的标记AWS Network Firewall资源。
[NetworkFirewall.8] 应标记 Network Firewall 防火墙策略
类别:识别 > 清单 > 标记
严重性:低
资源类型:AWS::NetworkFirewall::FirewallPolicy
AWS Config规则:tagged-networkfirewall-firewallpolicy(自定义 Security Hub CSPM 规则)
计划类型:已触发变更
参数:
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
|---|---|---|---|---|
requiredTagKeys
|
被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 AWS 要求的标签键。 |
No default value
|
此控件检查AWS Network Firewall防火墙策略是否具有参数中定义的特定密钥的标签requiredTagKeys。如果防火墙策略没有任何标签键或未在 requiredTagKeys 参数中指定所有键,则此控件将失败。如果未提供 requiredTagKeys 参数,则此控件仅检查是否存在标签键,如果防火墙策略未使用任何键进行标记,则此控件将失败。自动应用并以 aws: 为开头的系统标签会被忽略。
标签是您分配给AWS资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和AWS资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 ABAC 有什么用 AWS? 在 IAM 用户指南中。
注意
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签AWS 服务,包括AWS Billing。有关更多标记最佳做法,请参阅中的为AWS资源添加标签。AWS 一般参考
修复
要向 Network Firewall 策略添加标签,请参阅《AWS Network Firewall开发者指南》中的标记AWS Network Firewall资源。
[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
类别:保护 > 网络安全
严重性:中
资源类型:AWS::NetworkFirewall::Firewall
AWS Config 规则:netfw-deletion-protection-enabled
计划类型:已触发变更
参数:无
此控件检查AWS Network Firewall防火墙是否启用了删除保护。如果未为防火墙启用删除保护,则控制失败。
AWS Network Firewall是一项有状态的托管网络防火墙和入侵检测服务,可让您检查和过滤进出虚拟私有云或虚拟私有云之间的流量(VPCs)。删除保护设置可防止意外删除防火墙。
修复
要在现有 Network Firewall 防火墙上启用删除保护,请参阅 AWS Network Firewall 开发人员指南中的更新防火墙。对于变更保护,选择启用。您也可以通过调用 UpdateFirewallDeleteProtectionAPI 并将该DeleteProtection字段设置为来true启用删除保护。
[NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护
相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
类别:保护 > 网络安全
严重性:中
资源类型:AWS::NetworkFirewall::Firewall
AWS Config 规则:netfw-subnet-change-protection-enabled
计划类型:已触发变更
参数:无
此控件检查 AWS Network Firewall 防火墙是否启用了子网更改保护。如果未为防火墙启用子网更改保护,则该控件会失败。
AWS Network Firewall是一项有状态的托管网络防火墙和入侵检测服务,可用于检查和过滤进出虚拟私有云或虚拟私有云之间的流量(VPCs)。如果为 Network Firewall 防火墙启用子网更改保护,则可以保护防火墙免遭其子网关联意外更改。
修复
有关为现有 Network Firewall 防火墙启用子网更改保护的信息,请参阅《AWS Network Firewall 开发人员指南》中的 Updating a firewall。
