Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Network Firewall controles
Estos controles están relacionados con los recursos de Network Firewall.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config : netfw-multi-az-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control evalúa si un firewall gestionado a través de él AWS Network Firewall se implementa en varias zonas de disponibilidad (AZ). Se produce un error en el control si un firewall se implementa en una sola AZ.
AWS la infraestructura global incluye múltiples Regiones de AWS. Las AZ son ubicaciones físicamente independientes y aisladas de cada región que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Al implementar un firewall de Network Firewall en varias AZ, puede equilibrar y desviar el tráfico entre las AZ, lo que ayuda a diseñar soluciones de alta disponibilidad.
Corrección
Implementación de un firewall de Network Firewall en varias zonas de disponibilidad
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. En el panel de navegación, en Firewall de red, elija Firewalls.
En la página Firewalls, seleccione el nombre del firewall que quiere editar.
En la página de detalles del firewall, elija la pestaña Detalles del firewall.
En la sección Política asociada y VPC, elija Editar
Para agregar una nueva AZ, elija Agregar nueva subred. Seleccione la AZ y la subred que quiere utilizar. Seleccione al menos dos AZ.
Seleccione Guardar.
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::LoggingConfiguration
Regla de AWS Config : netfw-logging-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el registro está activado en un AWS Network Firewall firewall. Se produce un error en el control si el registro no está habilitado para al menos un tipo de registro o si el destino del registro no existe.
El registro ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de los firewalls. En Network Firewall, el registro proporciona información detallada sobre el tráfico de red, incluida la hora en la que el motor con estado recibió un flujo de paquetes, información detallada acerca del flujo de paquetes y las medidas de regla de estado adoptadas respecto del flujo de paquetes.
Corrección
Para habilitar el registro en un firewall, consulte Updating a firewall's logging configuration en la Guía para desarrolladores de AWS Network Firewall .
[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config : netfw-policy-rule-group-associated
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una política de Network Firewall tiene asociados grupos de reglas con estado o sin estado. El control falla si no se asignan grupos de reglas sin estado o con estado.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon Virtual Private Cloud (Amazon VPC). La configuración de grupos de reglas con estado y sin estado ayuda a filtrar los paquetes y los flujos de tráfico, y define el manejo del tráfico predeterminado.
Corrección
Para añadir un grupo de reglas a una política de Network Firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall . Para obtener información sobre cómo crear y administrar grupos de reglas, consulte Grupos de reglas en AWS Network Firewall.
[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config : netfw-policy-default-action-full-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessDefaultActions: aws:drop,aws:forward_to_sfe
(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes completos de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop
o Forward
, y da error si se selecciona Pass
.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass
se puede permitir el tráfico no deseado.
Corrección
Para cambiar la política de firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall . Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config : netfw-policy-default-action-fragment-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe
(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes fragmentados de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop
o Forward
, y da error si se selecciona Pass
.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass
se puede permitir el tráfico no deseado.
Corrección
Para cambiar la política de firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall . Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(5)
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::RuleGroup
Regla de AWS Config : netfw-stateless-rule-group-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de reglas sin estado contiene reglas. AWS Network Firewall El control falla si no hay reglas en el grupo de reglas.
Un grupo de reglas contiene reglas que definen cómo el firewall procesa el tráfico en la VPC. Un grupo de reglas sin estado vacío, cuando está presente en una política de cortafuegos, puede dar la impresión de que el grupo de reglas procesará tráfico. Sin embargo, cuando el grupo de reglas sin estado está vacío, no procesa el tráfico.
Corrección
Para agregar reglas a su grupo de reglas de Network Firewall, consulte Actualización de un grupo de reglas con estado en la Guía para desarrolladores de AWS Network Firewall . En la página de detalles del firewall, en el Grupo de reglas sin estado, seleccione Editar para añadir reglas.
[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
Categoría: Proteger > Seguridad de la red > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config : netfw-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS Network Firewall firewall tiene habilitada la protección contra la eliminación. El control falla si la protección contra la eliminación no está habilitada en un firewall.
AWS Network Firewall es un servicio de detección de intrusiones y firewall de red gestionado y con estado que le permite inspeccionar y filtrar el tráfico hacia, desde o entre sus nubes privadas virtuales (VPC). La configuración de protección contra la eliminación protege contra la eliminación accidental del firewall.
Corrección
Para habilitar la protección contra eliminación en un firewall de Network Firewall existente, consulte Actualización de un firewall en la Guía para desarrolladores de AWS Network Firewall . Para Cambiar las protecciones, seleccione Habilitar. También puede activar la protección contra la eliminación invocando la UpdateFirewallDeleteProtectionAPI y configurando el campo en. DeleteProtection
true