的 Security Hub CSPM 控制項AWS Network Firewall - AWSSecurity Hub
【NetworkFirewall.1] 網路防火牆防火牆應部署在多個可用區域【NetworkFirewall.2] 應啟用網路防火牆記錄【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組【NetworkFirewall.4] 網路防火牆政策的預設無狀態動作應為捨棄或轉送完整封包【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空【NetworkFirewall.7] 網路防火牆應加上標籤【NetworkFirewall.8] 應標記網路防火牆防火牆政策【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的 Security Hub CSPM 控制項AWS Network Firewall

這些AWS Security Hub CSPM控制項會評估 AWS Network Firewall服務和資源。控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性

【NetworkFirewall.1] 網路防火牆防火牆應部署在多個可用區域

相關要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

類別:復原 > 彈性 > 高可用性

嚴重性:

資源類型: AWS::NetworkFirewall::Firewall

AWS Config 規則:netfw-multi-az-enabled

排程類型:已觸發變更

參數:

此控制項會評估透過 AWS Network Firewall管理的防火牆是否跨多個可用區域 (AZs) 部署。如果防火牆僅部署在一個可用區域中,則控制項會失敗。

AWS全球基礎設施包含多個 AWS 區域。AZs區域是每個區域內以低延遲、高輸送量和高備援聯網連接的實際隔離位置。透過在多個AZs部署 Network Firewall 防火牆,您可以在AZs之間平衡和轉移流量,這可協助您設計高可用性的解決方案。

修補

在多個AZs部署 Network Firewall 防火牆

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格的網路防火牆下,選擇防火牆

  3. 防火牆頁面上,選取要編輯的防火牆。

  4. 在防火牆詳細資訊頁面上,選擇防火牆詳細資訊索引標籤。

  5. 關聯的政策和 VPC 區段中,選擇編輯

  6. 若要新增可用區域,請選擇新增子網路。選取您要使用的 AZ 和子網路。請確定您至少選取兩個 AZs。

  7. 選擇儲存

【NetworkFirewall.2] 應啟用網路防火牆記錄

相關要求:NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.50 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7 3.1.20

類別:識別 > 記錄日誌

嚴重性:

資源類型: AWS::NetworkFirewall::LoggingConfiguration

AWS Config 規則:netfw-logging-enabled

排程類型:定期

參數:

此控制項會檢查是否已為AWS Network Firewall防火牆啟用記錄。如果未針對至少一個日誌類型啟用記錄,或記錄目的地不存在,則控制項會失敗。

記錄可協助您維護防火牆的可靠性、可用性和效能。在 Network Firewall 中,記錄可為您提供網路流量的詳細資訊,包括具狀態引擎收到封包流程的時間、封包流程的詳細資訊,以及針對封包流程採取的任何具狀態規則動作。

修補

若要啟用防火牆的記錄,請參閱《 AWS Network Firewall開發人員指南》中的更新防火牆的記錄組態

【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.13.1

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::NetworkFirewall::FirewallPolicy

AWS Config 規則:netfw-policy-rule-group-associated

排程類型:已觸發變更

參數:

此控制項會檢查 Network Firewall 政策是否有任何相關聯的具狀態或無狀態規則群組。如果未指派無狀態或有狀態規則群組,則控制項會失敗。

防火牆政策定義防火牆如何監控和處理 Amazon Virtual Private Cloud (Amazon VPC) 中的流量。無狀態和有狀態規則群組的組態有助於篩選封包和流量流程,並定義預設流量處理。

修補

若要將規則群組新增至網路防火牆政策,請參閱《 AWS Network Firewall開發人員指南》中的更新防火牆政策。如需有關建立和管理規則群組的資訊,請參閱 中的規則群組AWS Network Firewall

【NetworkFirewall.4] 網路防火牆政策的預設無狀態動作應為捨棄或轉送完整封包

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::NetworkFirewall::FirewallPolicy

AWS Config 規則:netfw-policy-default-action-full-packets

排程類型:已觸發變更

參數:

  • statelessDefaultActions: aws:drop,aws:forward_to_sfe (不可自訂)

此控制項會檢查 Network Firewall 政策完整封包的預設無狀態動作是捨棄還是轉送。如果選取 DropForward ,則控制項會通過,如果選取 Pass ,則控制項會失敗。

防火牆政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為 Pass可允許意外流量。

修補

若要變更防火牆政策,請參閱《 AWS Network Firewall開發人員指南》中的更新防火牆政策。針對無狀態預設動作,選擇編輯。然後,選擇棄或轉送至具狀態規則群組作為動作

【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.13.6

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::NetworkFirewall::FirewallPolicy

AWS Config 規則:netfw-policy-default-action-fragment-packets

排程類型:已觸發變更

參數:

  • statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe (不可自訂)

此控制項會檢查網路防火牆政策分段封包的預設無狀態動作是捨棄還是轉送。如果選取 DropForward ,則控制項會通過,如果選取 Pass ,則控制項會失敗。

防火牆政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為 Pass可允許意外流量。

修補

若要變更防火牆政策,請參閱《 AWS Network Firewall開發人員指南》中的更新防火牆政策。針對無狀態預設動作,選擇編輯。然後,選擇棄或轉送至具狀態規則群組作為動作

【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空

相關需求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::NetworkFirewall::RuleGroup

AWS Config 規則:netfw-stateless-rule-group-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查 中的無狀態規則群組是否AWS Network Firewall包含規則。如果規則群組中沒有規則,則控制項會失敗。

規則群組包含定義防火牆如何處理 VPC 中流量的規則。當防火牆政策中有空的無狀態規則群組時,可能會給人留下規則群組將處理流量的印象。不過,當無狀態規則群組為空時,不會處理流量。

修補

若要將規則新增至 Network Firewall 規則群組,請參閱《 AWS Network Firewall開發人員指南》中的更新具狀態規則群組。在防火牆詳細資訊頁面上,針對無狀態規則群組,選擇編輯以新增規則。

【NetworkFirewall.7] 網路防火牆應加上標籤

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::NetworkFirewall::Firewall

AWS Configrule:tagged-networkfirewall-firewall(自訂 Security Hub CSPM 規則)

排程類型:已觸發變更

參數:

參數 說明 Type 允許的自訂值 Security Hub CSPM 預設值
requiredTagKeys 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 StringList (最多 6 個項目) 1-6 個符合AWS要求的標籤金鑰。 No default value

此控制項會檢查AWS Network Firewall防火牆是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果防火牆沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果防火牆未標記任何金鑰,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。

標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的什麼是 ABACAWS?

注意

請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考

修補

若要將標籤新增至 Network Firewall 防火牆,請參閱《 AWS Network Firewall開發人員指南》中的標記AWS Network Firewall資源

【NetworkFirewall.8] 應標記網路防火牆防火牆政策

類別:識別 > 庫存 > 標記

嚴重性:

資源類型: AWS::NetworkFirewall::FirewallPolicy

AWS Configrule:tagged-networkfirewall-firewallpolicy(自訂 Security Hub CSPM 規則)

排程類型:已觸發變更

參數:

參數 說明 Type 允許的自訂值 Security Hub CSPM 預設值
requiredTagKeys 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 StringList (最多 6 個項目) 1-6 個符合AWS要求的標籤金鑰。 No default value

此控制項會檢查AWS Network Firewall防火牆政策是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果防火牆政策沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果防火牆政策未標記任何金鑰,則 會失敗。系統會aws:忽略自動套用並以 開頭的系統標籤。

標籤是您指派給AWS資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《IAM 使用者指南》中的什麼是 ABACAWS?

注意

請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的標記您的 AWS資源AWS 一般參考

修補

若要將標籤新增至 Network Firewall 政策,請參閱《 AWS Network Firewall開發人員指南》中的標記AWS Network Firewall資源

【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

類別:保護 > 網路安全

嚴重性:

資源類型: AWS::NetworkFirewall::Firewall

AWS Config 規則:netfw-deletion-protection-enabled

排程類型:已觸發變更

參數:

此控制項會檢查AWS Network Firewall防火牆是否已啟用刪除保護。如果防火牆未啟用刪除保護,則控制項會失敗。

AWS Network Firewall是一種具狀態的受管網路防火牆和入侵偵測服務,可讓您檢查和篩選進出虛擬私有雲端 (VPCs) 的流量。刪除保護設定可防止意外刪除防火牆。

修補

若要在現有的 Network Firewall 防火牆上啟用刪除保護,請參閱《 AWS Network Firewall開發人員指南》中的更新防火牆。針對變更保護,選取啟用。您也可以叫用 UpdateFirewallDeleteProtection API 並將 DeleteProtection 欄位設定為 ,以啟用刪除保護true

【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護

相關要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

類別:保護 > 網路安全

嚴重性:

資源類型: AWS::NetworkFirewall::Firewall

AWS Config 規則:netfw-subnet-change-protection-enabled

排程類型:變更已觸發

參數:

此控制項會檢查是否已啟用防火牆的AWS Network Firewall子網路變更保護。如果防火牆未啟用子網路變更保護,則控制項會失敗。

AWS Network Firewall是一種具狀態的受管網路防火牆和入侵偵測服務,可用來檢查和篩選進出虛擬私有雲端 (VPCs) 的流量。如果您啟用 Network Firewall 防火牆的子網路變更保護,您可以保護防火牆免於意外變更防火牆的子網路關聯。

修補

如需有關為現有 Network Firewall 防火牆啟用子網路變更保護的資訊,請參閱《 AWS Network Firewall開發人員指南》中的更新防火牆