查看Amazon Firewall Manager策略的合规性信息 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看Amazon Firewall Manager策略的合规性信息

要了解某个 Amazon Web Service 是否在特定合规性计划范围内,请参阅 合规性计划范围内的 Amazon Web Services,然后选择您感兴趣的合规性计划。有关常规信息,请参阅Amazon Web Services合规性计划

您可以使用 Amazon Artifact 下载第三方审计报告。有关更多信息,请参阅、在 Amazon Artifact 中下载报告

您使用 Amazon Web Services 的合规性责任取决于您数据的敏感度、贵公司的合规性目标以及适用的法律法规。Amazon 提供以下资源来帮助满足合规性:

  • 安全性与合规性快速入门指南 – 这些部署指南讨论了架构注意事项,并提供了在 Amazon 上部署以安全性和合规性为重点的基准环境的步骤。

  • Amazon合规性资源 – 此业务手册和指南集合可能适用于您的行业和位置。

  • Amazon Config 开发人员指南中的使用规则评估资源 – 此 Amazon Config 服务评估您的资源配置对内部实践、行业指南和法规的遵循情况。

  • Amazon Security Hub:此 Amazon Web Service 提供了 Amazon 中安全状态的全面视图,可帮助您检查是否符合安全行业标准和最佳实践规范。

对于所有Amazon Firewall Manager策略,您可以查看策略范围内账户和资源的合规性状态。如果策略中的设置反映在帐户或资源的设置中,则该帐户或资源符合Firewall Manager 策略。每种策略类型都有自己的合规性要求,可以在定义策略时调整这些要求。对于某些策略,您还可以查看范围内的资源的详细违规信息,以帮助您更好地了解和管理安全风险。

查看策略的合规规规规性

  1. Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户登录,然后在上打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择一个策略。在策略页面的帐户和资源选项卡中,Firewall Manager 列出了组织中的帐户,按策略范围内的帐户和范围外的帐户分组。

    策略范围内的账户窗格列出了每个账户的合规状态。合状态表示该策略已成功应用于该账户的所有范围内的资源。不合规状态表示该策略尚未应用于该账户的一个或多个范围内的资源。

  4. 选择不合规的账户。在帐户页面中,Firewall Manager 列出了每个不合规资源的 ID 和类型以及该资源违反策略的原因。

    注意

    对于资源类型AWS::EC2::NetworkInterface (ENI) 和AWS::EC2::Instance,Firewall Manager 可能会显示有限数量的不合规资源。要列出其他不合规的资源,请修复最初为该账户显示的资源。

  5. 如果 Firewall Manager 策略类型是内容审计安全组策略,则可以访问资源的详细违规信息。

    要查看违规详细信息,请选择资源。

    注意

    在添加详细的资源违规页面之前,Firewall Manager 发现不合规的资源可能没有违规详细信息。

    在资源页面中,Firewall Manager 根据资源类型列出了有关违规的具体详细信息。

    • AWS::EC2::NetworkInterface(ENI) — Firewall Manager 显示有关资源不符合的安全组的信息。选择安全组以查看有关它的更多详细信息。

    • AWS::EC2::Instance— Firewall Manager 显示连接到不合规的 EC2 实例的 ENI。它还显示有关资源不符合的安全组的信息。选择安全组以查看有关它的更多详细信息。

    • AWS::EC2::SecurityGroup— Firewall Manager 显示以下违规详细信息:

      • 不合规安全组规则-违规的规则,包括其协议、端口范围、IP CIDR 范围和描述。

      • 引用规则-不合规安全组规则违反的审计安全组规则及其详细信息。

      • 违规原因 — 对不合规调查结果的解释。

      • 补救措施-建议采取的措施。如果Firewall Manager 无法确定安全修复操作,则此字段为空。

    • AWS::EC2::Subnet— 这用于Network Firewall 策略。Firewall Manager 显示子网 ID、VPC ID 和可用区。如果适用,Firewall Manager 会包含有关违规的其他信息,例如违规发生的原因或子网应关联的路由表的 ID。违规描述组件包含对资源预期状态和当前不合规状态的描述,以及对导致差异的原因的描述(如果有)。

      例如,子网的预期状态可能是 “子网应在其可用区中包含一个Amazon Network Firewall子网”,当前状态可能是 “ID 为 subnet-1234 的子网在可用区 us-east-1e 中缺少Network Firewall 子网”,描述可能是 “由于没有可用的 CIDR 块,Firewall Manager 无法在该可用区中创建子网”。

      • 路由管理违规-对于使用监控模式的Network Firewall 策略,Firewall Manager 会显示基本子网信息,以及子网、Internet 网关和Network Firewall 子网路由表中的预期和实际路由。Firewall Manager 会提醒您,如果实际路由与路由表中的预期路由不匹配,则存在违规行为。

      • 路由管理违规的补救措施-对于使用监控模式的Network Firewall 策略,Firewall Manager 建议对存在违规的路由配置采取可能的补救措施。

      例 — 路线管理违规和补救建议

      子网应通过防火墙端点发送流量,但当前子网将流量直接发送到互联网网关。这是违反路线管理的行为。在这种情况下,建议的补救措施可能是有序操作列表。第一项建议是向Network Firewall 子网的路由表中添加所需的路由,以将传出流量定向到互联网网关,并将来自 VPC 内目的地的传入流量定向到`local`。第二个建议是替换子网路由表中的互联网网关路由或无效的Network Firewall 路由,将传出流量定向到防火墙端点。第三项建议是向互联网网关的路由表中添加所需的路由,以将传入流量定向到防火墙端点。

    • AWS::EC2:InternetGateway— 这用于启用了监控模式的Network Firewall 策略。

      • 路由管理违规-如果互联网网关未与路由表关联,或者互联网网关路由表中存在无效的路由,则互联网网关不合规。

      • 路由管理违规的补救措施 — Firewall Manager 建议可能的补救措施,以纠正路径管理违规行为。

      例 1 — 路线管理违规和补救建议

      互联网网关与路由表无关。建议的补救措施可能是有序操作的列表。第一个操作是创建网关路由表 第二个操作是将网关路由表与互联网网关联。第三个操作是将所需的路由添加到互联网网关路由表中。

      例 2 — 路线管理违规和补救建议

      Internet 网关与有效的路由表相关联,但路由配置不正确。建议的补救措施可能是有序操作列表。第一个建议是删除无效路由。第二个是将所需的路由添加到互联网网关路由表中。

    • AWS::NetworkFirewall::FirewallPolicy— 这用于Network Firewall 策略。Firewall Manager 显示有关Network Firewall 策略的信息,该策略已被修改使其不合规。该信息提供了预期的防火墙策略及其在客户账户中找到的策略,因此您可以比较无状态和有状态的规则组名称和优先级设置、自定义操作名称和默认无状态操作设置。违规描述组件包含对资源预期状态和当前不合规状态的描述,以及对导致差异的原因的描述(如果有)。

    • AWS::EC2::VPC— 这用于 DNS 防火墙策略。Firewall Manager 显示有关在Firewall Manager DNS 防火墙策略范围内且不符合该策略的 VPC 的信息。提供的信息包括预计与 VPC 关联的预期规则组和实际规则组。违规描述组件包含对资源预期状态和当前不合规状态的描述,以及对导致差异的原因的描述(如果有)。