查看符合性信息Amazon Firewall Manager策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看符合性信息Amazon Firewall Manager策略

作为多个Amazon合规性计划的一部分,第三方审核员将评估Amazon服务的安全性与合规性,例如 SOC、PCI、FedRAMP 和 HIPAA。

如需了解Amazon WAF或其他Amazon服务在特定的合规性计划的范围内,请参阅Amazon合规性计划范围内的服务. 有关常规信息,请参阅Amazon 合规性计划

您可以使用 Amazon Artifact 下载第三方审计报告。有关更多信息,请参阅下载 Amazon Artifact 中的报告

您在使用Amazon服务时的合规性责任由您数据的敏感性、贵公司的合规性目标以及适用的法律法规决定。Amazon提供以下资源来帮助满足合规性:

对于所有Amazon Firewall Manager策略中,您可以查看策略范围内的账户和资源的合规性状态。如果策略中的设置反映在帐户或资源的设置中,则帐户或资源符合 Firewall Manager 策略。每种策略类型都有其自己的合规性要求,您可以在定义策略时对其进行调整。对于某些策略,您还可以查看范围内资源的详细违规信息,以帮助您更好地了解和管理您的安全风险。

查看策略的合规性信息

  1. 登录Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择一个策略。在账户和资源选项卡上,Firewall Manager 将列出组织中的帐户,并按策略范围内的帐户和超出作用域的帐户进行分组。

    这些区域有:策略范围内的账户窗格列出了每个账户的合规性状态。A合规状态表示策略已成功应用于账户的所有范围内资源。A不合规状态表示该策略尚未应用于该帐户的一个或多个范围内的资源。

  4. 选择不符合要求的帐户。在帐户页面中,Firewall Manager 列出了每个不合规资源的 ID 和类型,以及资源违反策略的原因。

    注意

    对于资源类型AWS::EC2::NetworkInterface(ENI) 和AWS::EC2::Instance,Firewall Manager 可能显示有限数量的不合规资源。若要列出其他不符合要求的资源,请修复最初显示为帐户的资源。

  5. 如果 Firewall Manager 策略类型是内容审核安全组策略,则可以访问资源的详细违规信息。

    要查看违规详细信息,请选择资源。

    注意

    在添加详细资源违规页面之前,Firewall Manager 发现不合规的资源可能没有违规详细信息。

    在资源页面中,Firewall Manager 根据资源类型列出有关违规的特定详细信息。

    • AWS::EC2::NetworkInterface(ENI)— Firewall Manager 显示有关资源不合规的安全组的信息。选择安全组以查看有关该组的更多详细信息。

    • AWS::EC2::Instance— Firewall Manager 显示连接到不符合要求的 EC2 实例的 ENI。它还显示有关资源不合规的安全组的信息。选择安全组以查看有关该组的更多详细信息。

    • AWS::EC2::SecurityGroup— Firewall Manager 显示以下违规详细信息:

      • 不合规的安全组规则— 违反规则,包括其协议、端口范围、IP CIDR 范围和说明。

      • 引用的规则— 不符合安全组规则违反的审核安全组规则及其详细信息。

      • 违规原因— 不合规查找结果的解释。

      • 修正操作— 建议执行的操作。如果 Firewall Manager 无法确定安全修正操作,则此字段为空。

    • AWS::EC2::Subnet— 这用于 Network Firewall 策略。Firewall Manager 显示子网 ID、VPC ID 和可用区。如果适用,Firewall Manager 会包含有关违规的其他信息,例如发生违规的原因或子网应与之关联的路由表的 ID。违规描述组件包含资源的预期状态描述、当前不合规状态以及导致差异的原因的说明(如果可用)。

      例如,子网的预期状态可能是 “子网应包含Amazon Network Firewall子网” 时,当前状态可能是 “带有 id 子网-1234 的子网在可用区 us-east-1e 中缺少 Network Firewall 子网”,并且描述可能是 “Firewall Manager 无法在此可用区中创建子网,因为没有可用的 CIDR 块。”

      • 路由管理违规— 对于使用监视模式的 Network Firewall 策略,Firewall Manager 将显示基本子网信息,以及子网、Internet 网关和 Network Firewall 子网路由表中的预期路由和实际路由。如果实际路由与路由表中的预期路由不匹配,则 Firewall Manager 会提醒您存在违规情况。

      • 针对路由管理违规的修正操作— 对于使用监视器模式的 Network Firewall 策略,Firewall Manager 建议对存在违规的路由配置采取可能的修正措施。

      例 — 路由管理违规和修正建议

      子网预计会通过防火墙终端节点发送流量,但当前子网直接向 Internet 网关发送流量。这是一种路由管理违规行为。在这种情况下,建议的修正可能是有序操作的列表。第一个是建议将所需的路由添加到 Network Firewall 子网的路由表中,以将传出流量定向到 Internet 网关,并将 VPC 内目的地的传入流量引导到`local`. 第二个建议是替换 Internet 网关路由或子网路由表中的无效 Network Firewall 路由,以将传出流量定向到防火墙终端节点。第三个建议是将所需的路由添加到 Internet 网关的路由表中,以将传入流量定向到防火墙终端节点。

    • AWS::EC2:InternetGateway— 这用于启用了监视器模式的 Network Firewall 策略。

      • 路由管理违规— 如果 Internet 网关未与路由表关联,或者 Internet 网关路由表中存在无效的路由,则 Internet 网关不符合。

      • 针对路由管理违规的修正操作— Firewall Manager 建议可能的补救措施,以补救路由管理违规。

      例 1 — 路由管理违规和修正建议

      Internet 网关未与路由表相关联。建议的修正操作可能是有序操作的列表。第一个操作是创建路由表。第二个操作是将路由表与 Internet 网关相关联。第三个操作是将所需的路由添加到 Internet 网关路由表中。

      例 2 — 路由管理违规和修正建议

      Internet 网关与有效的路由表相关联,但路由配置不正确。建议的修正可能是有序操作的列表。第一个建议是删除无效路由。第二种方法是将所需的路由添加到 Internet 网关路由表中。

    • AWS::NetworkFirewall::FirewallPolicy— 这用于 Network Firewall 策略。Firewall Manager 显示有关 Network Firewall 防火墙策略的信息,该策略的修改方式使其不符合要求。该信息提供预期的防火墙策略及其在客户帐户中找到的策略,因此您可以比较无状态和有状态规则组名称和优先级设置、自定义操作名称和默认无状态操作设置。违规描述组件包含资源的预期状态描述、当前不合规状态以及导致差异的原因的说明(如果可用)。

    • AWS::EC2::VPC— 这用于 DNS 防火墙策略。Firewall Manager 显示有关位于 Firewall Manager DNS 防火墙策略范围内且与策略不兼容的 VPC 的信息。提供的信息包括预期与 VPC 和实际规则组关联的规则组。违规描述组件包含资源的预期状态描述、当前不合规状态以及导致差异的原因的说明(如果可用)。