Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan

Bagian ini memberikan panduan untuk melihat status kepatuhan akun dan sumber daya yang berada dalam cakupan AWS Firewall Manager kebijakan. Untuk informasi tentang kontrol yang diterapkan AWS untuk menjaga keamanan dan kepatuhan cloud, lihatValidasi kepatuhan untuk Firewall Manager.

catatan

Agar Firewall Manager memantau kepatuhan kebijakan, AWS Config harus terus mencatat perubahan konfigurasi untuk sumber daya yang dilindungi. Dalam AWS Config konfigurasi Anda, frekuensi perekaman harus diatur ke Continuous, yang merupakan pengaturan default.

catatan

Untuk mempertahankan status kepatuhan yang tepat dalam sumber daya yang dilindungi, hindari berulang kali mengubah status perlindungan Firewall Manager, baik secara otomatis maupun manual. Firewall Manager menggunakan informasi dari AWS Config untuk mendeteksi perubahan konfigurasi sumber daya. Jika perubahan diterapkan cukup cepat, AWS Config dapat kehilangan jejak beberapa dari mereka, yang dapat mengakibatkan hilangnya informasi tentang kepatuhan atau remediasi status di Firewall Manager.

Jika Anda melihat bahwa sumber daya yang Anda lindungi dengan Firewall Manager memiliki status kepatuhan atau remediasi yang salah, pertama-tama pastikan Anda tidak menjalankan proses apa pun yang mengubah atau mengatur ulang perlindungan Firewall Manager Anda, lalu segarkan AWS Config pelacakan untuk sumber daya dengan mengevaluasi kembali aturan konfigurasi terkait di. AWS Config

Untuk semua AWS Firewall Manager kebijakan, Anda dapat melihat status kepatuhan untuk akun dan sumber daya yang berada dalam cakupan kebijakan. Akun atau sumber daya sesuai dengan kebijakan Firewall Manager jika pengaturan dalam kebijakan tercermin dalam pengaturan untuk akun atau sumber daya. Setiap jenis kebijakan memiliki persyaratan kepatuhannya sendiri, yang dapat Anda sesuaikan saat menentukan kebijakan. Untuk beberapa kebijakan, Anda juga dapat melihat informasi pelanggaran terperinci untuk sumber daya dalam lingkup, untuk membantu Anda memahami dan mengelola risiko keamanan dengan lebih baik.

Untuk melihat informasi kepatuhan untuk kebijakan

  1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    catatan

    Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

  2. Di panel navigasi, pilih Kebijakan keamanan.

  3. Pilih kebijakan. Di tab Akun dan sumber daya pada halaman kebijakan, Firewall Manager mencantumkan akun di organisasi Anda, dikelompokkan berdasarkan akun yang berada dalam cakupan kebijakan dan akun yang berada di luar cakupan.

    Panel Akun dalam cakupan kebijakan mencantumkan status kepatuhan untuk setiap akun. Status Compliant menunjukkan bahwa kebijakan telah berhasil diterapkan ke semua sumber daya dalam lingkup untuk akun. Status Noncompliant menunjukkan bahwa kebijakan belum diterapkan ke satu atau beberapa sumber daya dalam cakupan untuk akun tersebut.

  4. Pilih akun yang tidak patuh. Di halaman akun, Firewall Manager mencantumkan ID dan jenis untuk setiap sumber daya yang tidak sesuai dan alasan sumber daya tersebut melanggar kebijakan.

    catatan

    Untuk tipe sumber daya AWS::EC2::NetworkInterface (ENI) danAWS::EC2::Instance, Firewall Manager mungkin menampilkan sejumlah sumber daya yang tidak sesuai. Untuk mencantumkan sumber daya tambahan yang tidak sesuai, perbaiki sumber daya yang awalnya ditampilkan untuk akun.

  5. Jika jenis kebijakan Firewall Manager adalah kebijakan grup keamanan audit konten, Anda dapat mengakses informasi pelanggaran terperinci untuk sumber daya.

    Untuk melihat detail pelanggaran, pilih sumber daya.

    catatan

    Sumber daya yang menurut Firewall Manager tidak sesuai sebelum penambahan halaman pelanggaran sumber daya terperinci mungkin tidak memiliki detail pelanggaran.

    Di halaman sumber daya, Firewall Manager mencantumkan detail spesifik tentang pelanggaran, sesuai dengan jenis sumber daya.

    • AWS::EC2::NetworkInterface(ENI) — Firewall Manager menampilkan informasi tentang grup keamanan yang tidak dipatuhi oleh sumber daya. Pilih grup keamanan untuk melihat detail lebih lanjut tentangnya.

    • AWS::EC2::Instance— Firewall Manager menampilkan ENI yang terpasang pada instans EC2 yang tidak sesuai. Ini juga menampilkan informasi tentang grup keamanan yang tidak dipatuhi oleh sumber daya. Pilih grup keamanan untuk melihat detail lebih lanjut tentangnya.

    • AWS::EC2::SecurityGroup— Firewall Manager menampilkan rincian pelanggaran berikut:

      • Aturan grup keamanan yang tidak sesuai — Aturan yang melanggar, termasuk protokol, jangkauan port, rentang IP CIDR, dan deskripsi.

      • Aturan yang direferensikan — Aturan grup keamanan audit yang melanggar aturan kelompok keamanan yang tidak patuh, dengan detailnya.

      • Alasan pelanggaran — Penjelasan temuan ketidakpatuhan.

      • Tindakan remediasi — Tindakan yang disarankan untuk diambil. Jika Firewall Manager tidak dapat menentukan tindakan remediasi yang aman, bidang ini kosong.

    • AWS::EC2::Subnet— Ini digunakan untuk kebijakan Network Firewall. Firewall Manager menampilkan subnet ID, VPC ID, dan Availability Zone. Jika berlaku, Firewall Manager menyertakan informasi tambahan tentang pelanggaran, misalnya alasan pelanggaran terjadi, atau ID tabel rute yang harus dikaitkan dengan subnet. Komponen deskripsi pelanggaran berisi deskripsi tentang keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.

      Misalnya, status subnet yang diharapkan mungkin “Subnet harus berisi subnet di zona ketersediaannya”, status saat ini mungkin “ AWS Network Firewall subnet dengan id subnet-1234 tidak memiliki subnet Network Firewall di zona ketersediaan us-east-1e”, dan deskripsinya mungkin “Firewall Manager tidak dapat membuat subnet di AZ ini karena tidak ada blok CIDR yang tersedia.”

      • Pelanggaran manajemen rute — Untuk kebijakan Network Firewall yang menggunakan mode Monitor, Firewall Manager menampilkan informasi subnet dasar, serta rute yang diharapkan dan aktual di subnet, gateway internet, dan tabel rute subnet Network Firewall. Firewall Manager memberi tahu Anda bahwa ada pelanggaran jika rute sebenarnya tidak sesuai dengan rute yang diharapkan dalam tabel rute.

      • Tindakan remediasi untuk pelanggaran manajemen rute — Untuk kebijakan Network Firewall yang menggunakan mode Monitor, Firewall Manager menyarankan kemungkinan tindakan remediasi pada konfigurasi rute yang memiliki pelanggaran.

      contoh — Pelanggaran manajemen rute dan saran remediasi

      Subnet diharapkan mengirim lalu lintas melalui titik akhir firewall, tetapi subnet saat ini mengirimkan lalu lintas langsung ke gateway internet. Ini adalah pelanggaran manajemen rute. Remediasi yang disarankan dalam kasus ini mungkin merupakan daftar tindakan yang diperintahkan. Yang pertama adalah rekomendasi untuk menambahkan rute yang diperlukan ke tabel rute subnet Network Firewall untuk mengarahkan lalu lintas keluar ke gateway internet dan mengarahkan lalu lintas masuk untuk tujuan di dalam VPC ke. `local` Rekomendasi kedua adalah mengganti rute gateway internet atau rute Network Firewall yang tidak valid di tabel rute subnet untuk mengarahkan lalu lintas keluar ke titik akhir firewall. Rekomendasi ketiga adalah menambahkan rute yang diperlukan ke tabel rute gateway internet untuk mengarahkan lalu lintas masuk ke titik akhir firewall.

    • AWS::EC2:InternetGateway— Ini digunakan untuk kebijakan Network Firewall yang mengaktifkan mode Monitor.

      • Pelanggaran manajemen rute — Gateway internet tidak sesuai jika gateway internet tidak terkait dengan tabel rute, atau jika ada rute yang tidak valid di tabel rute gateway internet.

      • Tindakan remediasi untuk pelanggaran manajemen rute — Firewall Manager menyarankan kemungkinan tindakan remediasi untuk memperbaiki pelanggaran manajemen rute.

      contoh 1 — Pelanggaran manajemen rute dan saran remediasi

      Gateway internet tidak terkait dengan tabel rute. Tindakan remediasi yang disarankan mungkin merupakan daftar tindakan yang diperintahkan. Tindakan pertama adalah membuat tabel rute. Tindakan kedua adalah mengaitkan tabel rute dengan gateway internet. Tindakan ketiga adalah menambahkan rute yang diperlukan ke tabel rute gateway internet.

      contoh 2 — Pelanggaran manajemen rute dan saran remediasi

      Gateway internet dikaitkan dengan tabel rute yang valid, tetapi rute dikonfigurasi dengan tidak benar. Remediasi yang disarankan mungkin merupakan daftar tindakan yang diperintahkan. Saran pertama adalah menghapus rute yang tidak valid. Yang kedua adalah menambahkan rute yang diperlukan ke tabel rute gateway internet.

    • AWS::NetworkFirewall::FirewallPolicy— Ini digunakan untuk kebijakan Network Firewall. Firewall Manager menampilkan informasi tentang kebijakan firewall Network Firewall yang telah dimodifikasi dengan cara yang membuatnya tidak patuh. Informasi tersebut menyediakan kebijakan firewall yang diharapkan dan kebijakan yang ditemukan di akun pelanggan, sehingga Anda dapat membandingkan nama grup aturan stateless dan stateful dan pengaturan prioritas, nama tindakan kustom, dan pengaturan tindakan stateless default. Komponen deskripsi pelanggaran berisi deskripsi tentang keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.

    • AWS::EC2::VPC— Ini digunakan untuk kebijakan DNS Firewall. Firewall Manager menampilkan informasi tentang VPC yang berada dalam lingkup kebijakan Firewall Manager DNS Firewall, dan itu tidak sesuai dengan kebijakan tersebut. Informasi yang diberikan mencakup kelompok aturan yang diharapkan yang diharapkan terkait dengan VPC dan kelompok aturan yang sebenarnya. Komponen deskripsi pelanggaran berisi deskripsi tentang keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.