Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Network Firewall commandes
Ces contrôles sont liés aux ressources du Network Firewall.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::Firewall
Règle AWS Config : netfw-multi-az-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle évalue si un pare-feu géré par le biais AWS Network Firewall est déployé dans plusieurs zones de disponibilité (AZ). Le contrôle échoue si un pare-feu est déployé dans une seule zone de disponibilité.
AWS l'infrastructure mondiale comprend plusieurs Régions AWS. Les AZ sont des sites isolés physiquement séparés au sein de chaque région, connectés par un réseau à faible latence, à haut débit et hautement redondant. En déployant un pare-feu Network Firewall sur plusieurs zones de disponibilité, vous pouvez équilibrer et transférer le trafic entre les zones de disponibilité, ce qui vous permet de concevoir des solutions à haute disponibilité.
Correction
Déploiement d'un pare-feu Network Firewall sur plusieurs zones de disponibilité
Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/
. Dans le volet de navigation, sous Network Firewall, sélectionnez Firewalls.
Sur la page Pare-feu, sélectionnez le pare-feu que vous souhaitez modifier.
Sur la page des détails du pare-feu, choisissez l'onglet Détails du pare-feu.
Dans la section Politique associée et VPC, choisissez Modifier
Pour ajouter un nouvel AZ, choisissez Ajouter un nouveau sous-réseau. Sélectionnez l'AZ et le sous-réseau que vous souhaitez utiliser. Assurez-vous de sélectionner au moins deux AZ.
Choisissez Enregistrer.
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
Exigences connexes : NIST.800-53.R5 AC-2 (12), NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 AU-9 (7), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-4, NIST.800-53.R5 (20), NIST.800-53.R5 SI-7 (8)
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::LoggingConfiguration
Règle AWS Config : netfw-logging-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la journalisation n'est pas activée pour au moins un type de journal ou si la destination de journalisation n'existe pas.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances de vos pare-feux. Dans Network Firewall, la journalisation fournit des informations détaillées sur le trafic réseau, notamment l'heure à laquelle le moteur dynamique a reçu un flux de paquets, des informations détaillées sur le flux de paquets et toute action de règle dynamique prise à l'encontre du flux de paquets.
Correction
Pour activer la journalisation pour un pare-feu, consultez la section Mise à jour de la configuration de journalisation d'un pare-feu dans le Guide du AWS Network Firewall développeur.
[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
Règle AWS Config : netfw-policy-rule-group-associated
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une politique Network Firewall est associée à des groupes de règles avec ou sans état. Le contrôle échoue si aucun groupe de règles apatride ou dynamique n'est attribué.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon Virtual Private Cloud (Amazon VPC). La configuration de groupes de règles apatrides et dynamiques permet de filtrer les paquets et les flux de trafic et de définir la gestion du trafic par défaut.
Correction
Pour ajouter un groupe de règles à une politique de Network Firewall, consultez la section Mise à jour d'une politique de pare-feu dans le Guide du AWS Network Firewall développeur. Pour plus d'informations sur la création et la gestion de groupes de règles, consultez la section Groupes de règles dans AWS Network Firewall.
[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
Règle AWS Config : netfw-policy-default-action-full-packets
Type de calendrier : changement déclenché
Paramètres :
statelessDefaultActions: aws:drop,aws:forward_to_sfe
(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets complets dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si Drop
ou Forward
est sélectionné, et échoue s'il Pass
est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut Pass
peut autoriser le trafic involontaire.
Correction
Pour modifier votre politique de pare-feu, consultez la section Mise à jour d'une politique de pare-feu dans le Guide du AWS Network Firewall développeur. Pour les actions par défaut sans état, choisissez Modifier. Choisissez ensuite Supprimer ou Transférer vers des groupes de règles dynamiques en tant qu'action.
[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
Règle AWS Config : netfw-policy-default-action-fragment-packets
Type de calendrier : changement déclenché
Paramètres :
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe
(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets fragmentés dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si Drop
ou Forward
est sélectionné, et échoue s'il Pass
est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut Pass
peut autoriser le trafic involontaire.
Correction
Pour modifier votre politique de pare-feu, consultez la section Mise à jour d'une politique de pare-feu dans le Guide du AWS Network Firewall développeur. Pour les actions par défaut sans état, choisissez Modifier. Choisissez ensuite Supprimer ou Transférer vers des groupes de règles dynamiques en tant qu'action.
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
Exigences connexes : NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (5)
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::RuleGroup
Règle AWS Config : netfw-stateless-rule-group-not-empty
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe de règles AWS Network Firewall apatrides contient des règles. Le contrôle échoue s'il n'existe aucune règle dans le groupe de règles.
Un groupe de règles contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles apatrides vide, lorsqu'il est présent dans une politique de pare-feu, peut donner l'impression que le groupe de règles traitera le trafic. Toutefois, lorsque le groupe de règles apatrides est vide, il ne traite pas le trafic.
Correction
Pour ajouter des règles à votre groupe de règles Network Firewall, consultez la section Mise à jour d'un groupe de règles dynamique dans le Guide du AWS Network Firewall développeur. Sur la page des détails du pare-feu, pour le groupe de règles Stateless, choisissez Modifier pour ajouter des règles.
[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-3, NIST.800-53.R5 SC-5 (2)
Catégorie : Protection > Sécurité réseau > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::Firewall
Règle AWS Config : netfw-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre la suppression n'est pas activée pour un pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique et un service de détection des intrusions qui vous permet d'inspecter et de filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPC). Le paramètre de protection contre la suppression protège contre la suppression accidentelle du pare-feu.
Correction
Pour activer la protection contre la suppression sur un pare-feu Network Firewall existant, consultez la section Mise à jour d'un pare-feu dans le manuel du AWS Network Firewall développeur. Pour les protections contre les modifications, sélectionnez Activer. Vous pouvez également activer la protection contre la suppression en appelant l' UpdateFirewallDeleteProtectionAPI et en définissant le DeleteProtection
champ sur. true