Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Dieser Abschnitt enthält Anleitungen zur Anzeige des Konformitätsstatus von Konten und Ressourcen, die in den Geltungsbereich einer AWS Firewall Manager Richtlinie fallen. Informationen zu den Kontrollen, die unter AWS zur Aufrechterhaltung der Sicherheit und Einhaltung von Vorschriften in der Cloud eingerichtet wurden, finden Sie unterKonformitätsprüfung für Firewall Manager.

Anmerkung

Damit Firewall Manager die Einhaltung der Richtlinien überwachen kann, AWS Config müssen die Konfigurationsänderungen für geschützte Ressourcen kontinuierlich aufgezeichnet werden. In Ihrer AWS Config Konfiguration muss die Aufzeichnungsfrequenz auf Kontinuierlich eingestellt sein, was die Standardeinstellung ist.

Anmerkung

Um den ordnungsgemäßen Compliance-Status Ihrer geschützten Ressourcen aufrechtzuerhalten, sollten Sie es vermeiden, den Status der Firewall Manager Manager-Schutzmaßnahmen wiederholt zu ändern, entweder automatisch oder manuell. Firewall Manager verwendet Informationen von AWS Config , um Änderungen an Ressourcenkonfigurationen zu erkennen. Wenn Änderungen schnell genug angewendet werden, AWS Config kann der Überblick über einige Änderungen verloren gehen, was zum Verlust von Informationen über den Konformitäts- oder Behebungsstatus in Firewall Manager führen kann.

Wenn Sie feststellen, dass eine Ressource, die Sie mit Firewall Manager schützen, einen falschen Konformitäts- oder Behebungsstatus hat, stellen Sie zunächst sicher, dass Sie keinen Prozess ausführen, der Ihren Firewall Manager Manager-Schutz ändert oder zurücksetzt, und aktualisieren Sie dann das AWS Config Tracking für die Ressource, indem Sie die zugehörigen Konfigurationsregeln unter neu bewerten. AWS Config

Für alle AWS Firewall Manager Richtlinien können Sie den Konformitätsstatus der Konten und Ressourcen einsehen, die in den Geltungsbereich der Richtlinie fallen. Ein Konto oder eine Ressource entspricht einer Firewall Manager Manager-Richtlinie, wenn sich die Einstellungen in der Richtlinie in den Einstellungen für das Konto oder die Ressource widerspiegeln. Jeder Richtlinientyp hat seine eigenen Compliance-Anforderungen, die Sie bei der Definition der Richtlinie anpassen können. Bei einigen Richtlinien können Sie auch detaillierte Informationen zu Verstößen für in den jeweiligen Anwendungsbereich fallende Ressourcen einsehen, damit Sie Ihr Sicherheitsrisiko besser verstehen und steuern können.

Um die Compliance-Informationen für eine Richtlinie einzusehen

  1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

    Anmerkung

    Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

  2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

  3. Wählen Sie eine Richtlinie aus. Auf der Registerkarte Konten und Ressourcen der Richtlinienseite listet Firewall Manager die Konten in Ihrer Organisation auf, gruppiert nach Konten, die innerhalb des Geltungsbereichs der Richtlinie liegen, und Konten, die außerhalb des Geltungsbereichs liegen.

    Im Bereich Konten im Geltungsbereich der Richtlinie wird der Konformitätsstatus für jedes Konto aufgeführt. Der Status „Konform“ gibt an, dass die Richtlinie erfolgreich auf alle Ressourcen des Kontos angewendet wurde, die in den Geltungsbereich fallen. Der Status Nicht konform bedeutet, dass die Richtlinie nicht auf eine oder mehrere Ressourcen angewendet wurde, die in den Geltungsbereich des Kontos fallen.

  4. Wählen Sie ein Konto aus, das nicht konform ist. Auf der Kontoseite listet Firewall Manager die ID und den Typ für jede nicht konforme Ressource sowie den Grund für den Verstoß der Ressource gegen die Richtlinie auf.

    Anmerkung

    Für die Ressourcentypen AWS::EC2::NetworkInterface (ENI) und AWS::EC2::Instance zeigt Firewall Manager möglicherweise eine begrenzte Anzahl nicht konformer Ressourcen an. Um weitere nicht konforme Ressourcen aufzulisten, korrigieren Sie die Ressourcen, die ursprünglich für das Konto angezeigt wurden.

  5. Wenn der Firewall Manager Manager-Richtlinientyp eine Inhaltsüberwachungs-Sicherheitsgruppenrichtlinie ist, können Sie auf detaillierte Informationen zu Verstößen für eine Ressource zugreifen.

    Um Details zum Verstoß anzuzeigen, wählen Sie die Ressource aus.

    Anmerkung

    Ressourcen, die Firewall Manager vor dem Hinzufügen der detaillierten Seite mit den Ressourcenverstößen für nicht konform befunden hat, enthalten möglicherweise keine Verstoßdetails.

    Auf der Ressourcenseite listet Firewall Manager je nach Ressourcentyp spezifische Details zu der Verletzung auf.

    • AWS::EC2::NetworkInterface(ENI) — Firewall Manager zeigt Informationen über die Sicherheitsgruppe an, der die Ressource nicht entspricht. Wählen Sie die Sicherheitsgruppe aus, um weitere Informationen zu dieser Gruppe zu erhalten.

    • AWS::EC2::Instance— Firewall Manager zeigt die ENI an, die an die EC2-Instance angehängt ist und die nicht konform ist. Außerdem werden Informationen über die Sicherheitsgruppe angezeigt, der die Ressourcen nicht entsprechen. Wählen Sie die Sicherheitsgruppe aus, um weitere Informationen zu dieser Gruppe zu erhalten.

    • AWS::EC2::SecurityGroup— Firewall Manager zeigt die folgenden Verstoßdetails an:

      • Nichtkonforme Sicherheitsgruppenregel — Die Regel, gegen die verstoßen wurde, einschließlich Protokoll, Portbereich, IP-CIDR-Bereich und Beschreibung.

      • Referenzierte Regel — Die Audit-Sicherheitsgruppenregel, gegen die die nichtkonforme Sicherheitsgruppenregel verstößt, mit ihren Einzelheiten.

      • Gründe für den Verstoß — Erläuterung des festgestellten Verstoßes.

      • Abhilfemaßnahme — Vorgeschlagene Maßnahme. Wenn Firewall Manager keine sichere Behebungsaktion ermitteln kann, ist dieses Feld leer.

    • AWS::EC2::Subnet— Dies wird für Netzwerk-ACL- und Netzwerk-Firewall-Richtlinien verwendet.

      Firewall Manager zeigt die Subnetz-ID, VPC-ID und Availability Zone an. Falls zutreffend, enthält Firewall Manager zusätzliche Informationen zu dem Verstoß. Die Komponente zur Beschreibung des Verstoßes enthält eine Beschreibung des erwarteten Zustands der Ressource, des aktuellen Status, der nicht konform ist, und, falls verfügbar, eine Beschreibung der Ursache der Diskrepanz.

      Verstöße gegen die Network Firewall

      • Verstöße gegen die Routenverwaltung — Für Netzwerk-Firewall-Richtlinien, die den Überwachungsmodus verwenden, zeigt Firewall Manager grundlegende Subnetzinformationen sowie erwartete und tatsächliche Routen in der Subnetz-, Internet-Gateway- und Netzwerkfirewall-Subnetz-Routentabelle an. Firewall Manager warnt Sie, dass ein Verstoß vorliegt, wenn die tatsächlichen Routen nicht mit den erwarteten Routen in der Routentabelle übereinstimmen.

      • Behebungsmaßnahmen bei Verstößen gegen die Routenverwaltung — Für Netzwerk-Firewall-Richtlinien, die den Überwachungsmodus verwenden, schlägt Firewall Manager mögliche Behebungsmaßnahmen für Routenkonfigurationen vor, die Verstöße aufweisen.

      Angenommen, von einem Subnetz wird erwartet, dass es Datenverkehr über die Firewall-Endpunkte sendet, aber das aktuelle Subnetz sendet den Verkehr direkt an das Internet-Gateway. Dies ist ein Verstoß gegen die Routenverwaltung. Die vorgeschlagene Abhilfe könnte in diesem Fall eine Liste angeordneter Aktionen sein. Die erste ist eine Empfehlung, die erforderlichen Routen zur Routentabelle des Netzwerkfirewall-Subnetzes hinzuzufügen, um ausgehenden Verkehr an das Internet-Gateway und um eingehenden Verkehr für Ziele innerhalb der VPC weiterzuleiten. `local` Die zweite Empfehlung besteht darin, die Internet-Gateway-Route oder die ungültige Netzwerk-Firewall-Route in der Routing-Tabelle des Subnetzes zu ersetzen, um ausgehenden Verkehr an die Firewall-Endpunkte weiterzuleiten. Die dritte Empfehlung besteht darin, die erforderlichen Routen zur Routing-Tabelle des Internet-Gateways hinzuzufügen, um eingehenden Verkehr an die Firewall-Endpunkte weiterzuleiten.

    • AWS::EC2:InternetGateway— Dies wird für Netzwerk-Firewall-Richtlinien verwendet, für die der Überwachungsmodus aktiviert ist.

      • Verstöße gegen die Routenverwaltung — Das Internet-Gateway ist nicht konform, wenn das Internet-Gateway keiner Routing-Tabelle zugeordnet ist oder wenn die Internet-Gateway-Routentabelle eine ungültige Route enthält.

      • Behebungsmaßnahmen bei Verstößen gegen die Routenverwaltung — Firewall Manager schlägt mögliche Behebungsmaßnahmen vor, um Verstöße gegen die Routenverwaltung zu beheben.

      Beispiel 1 — Verstöße gegen die Routenverwaltung und Vorschläge zur Behebung

      Ein Internet-Gateway ist keiner Routing-Tabelle zugeordnet. Bei den vorgeschlagenen Behebungsmaßnahmen kann es sich um eine Liste geordneter Aktionen handeln. Die erste Aktion besteht darin, eine Routentabelle zu erstellen. Die zweite Aktion besteht darin, die Routing-Tabelle dem Internet-Gateway zuzuordnen. Die dritte Aktion besteht darin, die erforderliche Route zur Internet-Gateway-Routentabelle hinzuzufügen.

      Beispiel 2 — Verstöße gegen die Routenverwaltung und Vorschläge zur Behebung

      Das Internet-Gateway ist mit einer gültigen Routing-Tabelle verknüpft, aber die Route ist falsch konfiguriert. Bei der vorgeschlagenen Abhilfemaßnahme könnte es sich um eine Liste angeordneter Aktionen handeln. Der erste Vorschlag besteht darin, die ungültige Route zu entfernen. Die zweite Möglichkeit besteht darin, die erforderliche Route zur Internet-Gateway-Routentabelle hinzuzufügen.

    • AWS::NetworkFirewall::FirewallPolicy— Dies wird für Netzwerk-Firewall-Richtlinien verwendet. Firewall Manager zeigt Informationen über eine Netzwerk-Firewall-Richtlinie an, die so geändert wurde, dass sie nicht mehr konform ist. Die Informationen enthalten die erwartete Firewall-Richtlinie und die Richtlinie, die sie im Kundenkonto gefunden hat, sodass Sie die Namen und Prioritätseinstellungen für statusfreie und statusbehaftete Regelgruppen, benutzerdefinierte Aktionsnamen und Standardeinstellungen für statusfreie Aktionen vergleichen können. Die Komponente zur Beschreibung des Verstoßes enthält eine Beschreibung des erwarteten Zustands der Ressource, des aktuellen Status, der nicht konform ist, und, falls verfügbar, eine Beschreibung der Ursache der Diskrepanz.

    • AWS::EC2::VPC— Dies wird für DNS-Firewall-Richtlinien verwendet. Firewall Manager zeigt Informationen über eine VPC an, die in den Geltungsbereich einer Firewall Manager Manager-DNS-Firewall-Richtlinie fällt und die nicht mit der Richtlinie konform ist. Die bereitgestellten Informationen umfassen die erwarteten Regelgruppen, die voraussichtlich der VPC zugeordnet werden, und die tatsächlichen Regelgruppen. Die Komponente zur Beschreibung des Verstoßes enthält eine Beschreibung des erwarteten Zustands der Ressource, des aktuellen Status, der nicht konform ist, und, falls verfügbar, eine Beschreibung der Ursache der Diskrepanz.