Amazon Network Firewall 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Network Firewall 控件

这些控制与 Network Firewall 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中

相关要求:NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)。

类别:恢复 > 弹性 > 高可用性

严重性:

资源类型:AWS::NetworkFirewall::Firewall

Amazon Config 规则:netfw-multi-az-enabled

计划类型:已触发变更

参数:

此控件评估通过管理的防火墙 Amazon Network Firewall 是否部署在多个可用区 (AZ) 上。如果防火墙仅部署在一个可用区中,则控制失败。

Amazon 全球基础设施包括多个 Amazon Web Services 区域。每个区域内的可用区位置在物理上是相互独立、相互隔离的,通过低延迟、高吞吐量且高冗余性的网络连接在一起。通过跨多个可用区部署 Network Firewall 防火墙,您可以在可用区之间平衡和转移流量,这可以帮助您设计高度可用的解决方案。

修复

跨多个可用区部署 Network Firewall 防火墙

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 在导航窗格中的网络防火墙 下,选择防火墙

  3. 防火墙页面上,选择要编辑的防火墙。

  4. 在防火墙详细信息页面上,选择防火墙详细信息选项卡。

  5. 关联策略和 VPC 部分中,选择编辑

  6. 要添加新的可用区,请选择添加新子网。请选择您要使用的可用区和子网。确保您至少选择两个可用区。

  7. 选择保存

[NetworkFirewall.2] 应启用 Network Firewall 日志记录

相关要求:NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::NetworkFirewall::LoggingConfiguration

Amazon Config 规则:netfw-logging-enabled

计划类型:定期

参数:

此控件检查是否已为 Amazon Network Firewall 防火墙启用日志记录。如果没有为至少一种日志类型启用日志记录或者日志记录目标不存在,则控制失败。

日志记录可帮助您保持防火墙的可靠性、可用性和性能。在 Network Firewall 中,日志记录为您提供有关网络流量的详细信息,包括有状态引擎接收数据包流的时间、有关数据包流的详细信息以及针对数据包流采取的任何有状态规则操作。

修复

要启用防火墙日志记录,请参阅《Amazon Network Firewall 开发人员指南》中的更新防火墙的日志记录配置

[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::NetworkFirewall::FirewallPolicy

Amazon Config 规则:netfw-policy-rule-group-associated

计划类型:已触发变更

参数:

此控件检查 Network Firewall 策略是否关联了任何状态或无状态规则组。如果未分配无状态或有状态规则组,则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon Virtual Private Cloud(Amazon VPC)中的流量。配置无状态和有状态规则组有助于筛选数据包和流量,并定义默认流量处理。

修复

要向 Network Firewall 策略添加规则组,请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙策略。有关创建和管理规则组的信息,请参阅 Amazon Network Firewall中的规则组

[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::NetworkFirewall::FirewallPolicy

Amazon Config 规则:netfw-policy-default-action-full-packets

计划类型:已触发变更

参数:

  • statelessDefaultActions: aws:drop,aws:forward_to_sfe(不可自定义)

此控件检查 Network Firewall 策略中对完整数据包的默认无状态操作是丢弃还是转发。如果选择了 DropForward,则控制通过,如果选择 Pass 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。

修复

要变更您的防火墙策略,请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作,请选择编辑。然后,选择丢弃转发到有状态的规则组作为操作

[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::NetworkFirewall::FirewallPolicy

Amazon Config 规则:netfw-policy-default-action-fragment-packets

计划类型:已触发变更

参数:

  • statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(不可自定义)

此控件检查 Network Firewall 策略中对碎片数据包的默认无状态操作是丢弃还是转发。如果选择了 DropForward,则控制通过,如果选择 Pass 则控制失败。

防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 Pass 可能会允许意外流量。

修复

要变更您的防火墙策略,请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙策略。对于无状态默认操作,请选择编辑。然后,选择丢弃转发到有状态的规则组作为操作

[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空

相关要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::NetworkFirewall::RuleGroup

Amazon Config 规则:netfw-stateless-rule-group-not-empty

计划类型:已触发变更

参数:

此控件检查中的无状态规则组是否 Amazon Network Firewall 包含规则。如果规则组中没有规则,则控制失败。

规则组包含的规则定义防火墙如何处理您的 VPC 中的流量。当防火墙策略中存在空的无状态规则组时,可能会给人一种规则组将处理流量的印象。但是,当无状态规则组为空时,它不处理流量。

修复

要将规则添加到 Network Firewall 规则组,请参阅 Amazon Network Firewall 开发人员指南中的更新有状态规则组。在防火墙详细信息页面上,对于无状态规则组,选择编辑以添加规则。

[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护

相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)。

类别:保护 > 网络安全 > 高可用性

严重性:

资源类型:AWS::NetworkFirewall::Firewall

Amazon Config 规则:netfw-deletion-protection-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon Network Firewall 防火墙是否启用了删除保护。如果未为防火墙启用删除保护,则控制失败。

Amazon Network Firewall 是一项有状态的托管网络防火墙和入侵检测服务,可让您检查和过滤进出虚拟私有云 (VPC) 或虚拟私有云 (VPC) 之间的流量。删除保护设置可防止意外删除防火墙。

修复

要在现有 Network Firewall 防火墙上启用删除保护,请参阅 Amazon Network Firewall 开发人员指南中的更新防火墙。对于变更保护,选择启用。您也可以通过调用 UpdateFirewallDeleteProtectionAPI 并将该DeleteProtection字段设置为来true启用删除保护。