Visualización de la información de cumplimiento de una AWS Firewall Manager política - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de la información de cumplimiento de una AWS Firewall Manager política

En esta sección se proporciona una guía para ver el estado de conformidad de las cuentas y los recursos que entran en el ámbito de aplicación de una AWS Firewall Manager política. Para obtener información sobre los controles implementados AWS para mantener la seguridad y el cumplimiento de la nube, consulteValidación de la conformidad en Firewall Manager.

nota

Para que Firewall Manager supervise el cumplimiento de las políticas, AWS Config debe registrar continuamente los cambios de configuración de los recursos protegidos. En su AWS Config configuración, la frecuencia de grabación debe estar establecida en Continua, que es la configuración predeterminada.

nota

Para mantener un estado de conformidad adecuado en sus recursos protegidos, evite cambiar repetidamente el estado de las protecciones del Firewall Manager, ya sea automática o manualmente. Firewall Manager utiliza la información de AWS Config para detectar cambios en las configuraciones de los recursos. Si los cambios se aplican con la suficiente rapidez, se AWS Config puede perder la pista de algunos de ellos, lo que puede provocar la pérdida de información sobre el cumplimiento o el estado de corrección en Firewall Manager.

Si ve que un recurso que está protegiendo con Firewall Manager tiene un estado de conformidad o corrección incorrecto, primero asegúrese de que no está ejecutando ningún proceso que altere o restablezca las protecciones de Firewall Manager y, a continuación, actualice el AWS Config seguimiento del recurso reevaluando las reglas de configuración asociadas en. AWS Config

Para todas AWS Firewall Manager las políticas, puede ver el estado de conformidad de las cuentas y los recursos que están dentro del ámbito de aplicación de la política. Una cuenta o un recurso cumple con una política de Firewall Manager si la configuración de la política se refleja en la configuración de la cuenta o el recurso. Cada tipo de política tiene sus propios requisitos de conformidad, que puede ajustar al definir la política. En el caso de algunas políticas, también puede ver información detallada sobre las infracciones en los recursos incluidos en el ámbito de aplicación, que le ayudarán a comprender y gestionar mejor los riesgos de seguridad.

Cómo visualizar la información de conformidad de una política

  1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija una política. En la pestaña Cuentas y recursos de la página de políticas, Firewall Manager muestra las cuentas de su organización, agrupadas por las que se encuentran dentro del ámbito de la política y las que se encuentran fuera de dicho ámbito.

    En el panel Cuentas dentro del ámbito de la política se muestra el estado de conformidad de cada cuenta. Un estado Conforme indica que la política se ha aplicado correctamente a todos los recursos dentro de su ámbito de la cuenta. Un estado No conforme indica que la política no se ha aplicado a uno más recursos dentro de su ámbito de la cuenta.

  4. Elija una cuenta que no sea conforme. En la página de la cuenta, Firewall Manager muestra el identificador y el tipo de cada recurso no conforme y el motivo por el que el recurso infringe la política.

    nota

    Para los tipos de recursos AWS::EC2::NetworkInterface (ENI) y AWS::EC2::Instance, Firewall Manager podría mostrar un número limitado de recursos no conformes. Para enumerar otros recursos no conformes, corrija los que se muestran inicialmente para la cuenta.

  5. Si el tipo de política de Firewall Manager es una política de grupo de seguridad de auditoría de contenido, puede acceder a la información detallada sobre las infracciones de un recurso.

    Para ver los detalles sobre la infracción, elija el recurso.

    nota

    Es posible que los recursos no conformes que Firewall Manager encuentre antes de añadir la página detallada sobre infracciones de recursos no tengan detalles sobre infracciones.

    En la página de recursos, Firewall Manager muestra detalles específicos sobre la infracción, según el tipo de recurso.

    • AWS::EC2::NetworkInterface (ENI): Firewall Manager muestra información sobre el grupo de seguridad que el recurso no cumple. Elija el grupo de seguridad para ver más detalles sobre él.

    • AWS::EC2::Instance: Firewall Manager muestra el ENI asociado a la instancia de EC2 que no es compatible. También muestra información sobre el grupo de seguridad que los recursos no cumplen. Elija el grupo de seguridad para ver más detalles sobre él.

    • AWS::EC2::SecurityGroup: Firewall Manager muestra los siguientes detalles de infracción:

      • Regla de grupo de seguridad no conforme: la regla que causa la infracción, incluidos su protocolo, rango de puertos, rango de IP CIDR y descripción.

      • Regla referenciada: la regla del grupo de seguridad de auditoría que infringe la regla del grupo de seguridad no conforme, con sus detalles.

      • Motivos de la infracción: explicación del resultado no conforme.

      • Acción correctiva: la acción que se sugiere tomar. Si Firewall Manager no puede determinar una acción correctiva segura, este campo está en blanco.

    • AWS::EC2::Subnet— Se utiliza para las políticas de ACL de red y Network Firewall.

      Firewall Manager muestra el ID de subred, el ID de VPC y la zona de disponibilidad. Si corresponde, Firewall Manager incluye información adicional sobre la infracción. El componente de descripción de la infracción contiene una descripción del estado esperado del recurso, el estado actual de no conformidad y, si está disponible, una descripción de la causa de la discrepancia.

      Violaciones de Network Firewall

      • Infracciones en la administración de rutas: en el caso de las políticas de Network Firewall que utilizan el modo Monitor, Firewall Manager muestra información básica de subred, así como las rutas esperadas y reales de la subred, la puerta de enlace de Internet y la tabla de enrutamiento de subred de Network Firewall. Firewall Manager le avisa de que existe una infracción si las rutas reales no coinciden con las rutas esperadas en la tabla de enrutamiento.

      • Acciones correctivas en caso de infracciones en la administración de rutas: en el caso de las políticas de Network Firewall que utilizan el modo Monitor, Firewall Manager sugiere posibles acciones correctivas en las configuraciones de rutas que contengan infracciones.

      Por ejemplo, supongamos que se espera que una subred envíe tráfico a través de los puntos finales del firewall, pero la subred actual envía tráfico directamente a la puerta de enlace de Internet. Se trata de una infracción de la administración de rutas. La corrección sugerida en este caso podría ser una lista de acciones ordenadas. La primera es la recomendación de agregar las rutas necesarias a la tabla de enrutamiento de la subred de Firewall Network para dirigir el tráfico saliente a la puerta de enlace de Internet y el tráfico entrante para los destinos en la VPC hacia `local`. La segunda recomendación es reemplazar la ruta de la puerta de enlace de Internet o la ruta no válida de Network Firewall en la tabla de enrutamiento de la subred para dirigir el tráfico saliente a los puntos de conexión del firewall. La tercera recomendación consiste en agregar las rutas necesarias a la tabla de enrutamiento de la puerta de enlace de Internet para dirigir el tráfico entrante a los puntos de conexión del firewall.

    • AWS::EC2:InternetGateway: se usa para las políticas de Network Firewall que tienen habilitado el modo Monitor.

      • Infracciones en la administración de rutas: la puerta de enlace de Internet no es conforme si no está asociada a una tabla de enrutamiento o si hay una ruta no válida en la tabla de enrutamiento de la puerta de enlace de Internet.

      • Acciones correctivas en caso de infracciones en la administración de rutas: Firewall Manager sugiere posibles acciones correctivas para subsanar las infracciones en la administración de rutas.

      ejemplo 1. Infracción en la administración de rutas y sugerencias de corrección

      Una puerta de enlace de Internet no está asociada a una tabla de enrutamiento. Las acciones de corrección sugeridas podrían ser una lista de acciones ordenadas. La primera acción es crear una tabla de enrutamiento. La segunda acción es asociar la tabla de enrutamiento con la puerta de enlace de Internet. La tercera acción consiste en añadir la ruta requerida a la tabla de enrutamiento de la puerta de enlace de Internet.

      ejemplo 2. Infracción en la administración de rutas y sugerencias de corrección

      La puerta de enlace de Internet está asociada a una tabla de enrutamiento válida, pero la ruta no está configurada correctamente. La corrección sugerida podría ser una lista de acciones ordenadas. La primera sugerencia es eliminar la ruta no válida. La tercera consiste en agregar la ruta requerida a la tabla de enrutamiento de la puerta de enlace de Internet.

    • AWS::NetworkFirewall::FirewallPolicy: se utiliza para las políticas de Network Firewall. Firewall Manager muestra información sobre una política de firewall de Network Firewall que se ha modificado de forma que no sea conforme. La información proporciona la política de firewall esperada y la política que encontró en la cuenta del cliente, de modo que puede comparar los nombres de los grupos de reglas sin y con estado y las configuraciones de prioridad, los nombres de las acciones personalizadas y la configuración predeterminada de las acciones sin estado. El componente de descripción de la infracción contiene una descripción del estado esperado del recurso, el estado actual de no conformidad y, si está disponible, una descripción de la causa de la discrepancia.

    • AWS::EC2::VPC: se utiliza para las políticas de DNS Firewall. Firewall Manager muestra información sobre una VPC que está dentro del ámbito de aplicación de una política de DNS Firewall de Firewall Manager y que no la cumple. La información proporcionada incluye los grupos de reglas esperadas que se espera que estén asociadas a la VPC y los propios grupos de reglas. El componente de descripción de la infracción contiene una descripción del estado esperado del recurso, el estado actual de no conformidad y, si está disponible, una descripción de la causa de la discrepancia.