Menampilkan informasi kepatuhan untukAWS Firewall Managerkebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menampilkan informasi kepatuhan untukAWS Firewall Managerkebijakan

Auditor pihak ketiga menilai keamanan dan kepatuhan Layanan AWS sebagai bagian dari beberapa program kepatuhan AWS, seperti SOC, PCI, FedRAMP, dan HIPAA.

Untuk mempelajari apakah atau lainnyaLayanan AWSberada dalam lingkup program kepatuhan tertentu, lihatAWSLayanan dalam Lingkup oleh Program Kepatuhan. Untuk informasi umum, lihat Program Kepatuhan AWS.

Anda bisa mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat Mengunduh Laporan di AWS Artifact.

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, serta hukum dan peraturan yang berlaku. AWS menyediakan sumber daya berikut untuk membantu kepatuhan:

  • Panduan Quick Start Keamanan dan Kepatuhan – Panduan deployment ini membahas pertimbangan arsitektur dan menyediakan langkah-langkah untuk melakukan deployment terhadap lingkungan dasar di AWS yang menjadi fokus keamanan dan kepatuhan.

  • Merancang untuk Keamanan dan Kepatuhan HIPAA pada Amazon Web Services— Whitepaper ini menjelaskan bagaimana perusahaan dapat menggunakanAWSuntuk membuat aplikasi yang memenuhi syarat HIPAA.

    catatan

    Tidak semua Layanan AWS memenuhi syarat HIPAA. Untuk informasi selengkapnya, lihat Referensi Layanan yang Memenuhi Syarat HIPAA.

  • Sumber Daya Kepatuhan AWS – Kumpulan buku kerja dan panduan ini mungkin berlaku untuk industri dan lokasi Anda.

  • Mengevaluasi Sumber Daya dengan Aturan di Panduan Developer AWS Config – Layanan AWS Config menilai seberapa baik konfigurasi sumber daya Anda dalam mematuhi praktik-praktik internal, pedoman industri, dan regulasi internal.

  • AWS Security Hub – Layanan AWS ini menyediakan pandangan yang komprehensif tentang status keamanan Anda dalam AWS yang membantu Anda memeriksa kepatuhan Anda terhadap standar industri dan praktik terbaik untuk keamanan.

  • AWS Audit Manager – Layanan AWS ini akan membantu Anda untuk terus-menerus mengaudit penggunaan AWS untuk menyederhanakan bagaimana Anda mengelola risiko dan kepatuhan terhadap regulasi dan standar industri.

Untuk semuaAWS Firewall Managerkebijakan, Anda dapat melihat status kepatuhan untuk akun dan sumber daya yang berada dalam lingkup kebijakan. Akun atau sumber daya sesuai dengan kebijakan Firewall Manager jika pengaturan dalam kebijakan tercermin dalam pengaturan untuk akun atau sumber daya. Setiap jenis kebijakan memiliki persyaratan kepatuhan sendiri, yang dapat Anda tune ketika Anda menentukan kebijakan. Untuk beberapa kebijakan, Anda juga dapat melihat informasi pelanggaran terperinci untuk sumber daya lingkup, untuk membantu Anda memahami dan mengelola risiko keamanan dengan lebih baik.

Menampilkan informasi kepatuhan untuk kebijakan

  1. Masuk keAWS Management Consolemenggunakan akun administrator Firewall Manager Anda, dan kemudian buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilihKebijakan keamanan.

  3. Pilih kebijakan. DiAkun dan sumber dayatab dari halaman kebijakan, Firewall Manager mencantumkan akun di organisasi Anda, dikelompokkan menurut mereka yang berada dalam lingkup kebijakan dan orang-orang yang berada di luar ruang lingkup.

    ParameterAkun dalam lingkup kebijakanpane mencantumkan status kepatuhan untuk setiap akun. SEBUAHPatuhstatus menunjukkan bahwa kebijakan telah berhasil diterapkan ke semua sumber daya dalam lingkup untuk akun. SEBUAHTidak patuhstatus menunjukkan bahwa kebijakan tersebut belum diterapkan ke satu atau lebih sumber daya dalam lingkup untuk akun tersebut.

  4. Pilih akun yang tidak patuh. Di halaman akun, Firewall Manager mencantumkan ID dan jenis untuk setiap sumber daya yang tidak sesuai dan alasan bahwa sumber daya tersebut melanggar kebijakan.

    catatan

    Untuk jenis sumber dayaAWS::EC2::NetworkInterface(ENI) danAWS::EC2::Instance, Firewall Manager mungkin menunjukkan sejumlah sumber daya yang tidak sesuai. Untuk mencantumkan sumber daya tambahan yang tidak sesuai, perbaiki sumber daya yang awalnya ditampilkan untuk akun tersebut.

  5. Jika jenis kebijakan Firewall Manager adalah kebijakan grup keamanan audit konten, Anda dapat mengakses informasi pelanggaran terperinci untuk sumber daya.

    Untuk melihat detail pelanggaran, pilih sumber daya.

    catatan

    Sumber daya yang menurut Firewall Manager tidak patuh sebelum penambahan halaman pelanggaran sumber daya yang terperinci mungkin tidak memiliki rincian pelanggaran.

    Di halaman sumber daya, Firewall Manager mencantumkan rincian spesifik tentang pelanggaran tersebut, sesuai dengan jenis sumber daya.

    • AWS::EC2::NetworkInterface(EI)— Firewall Manager menampilkan informasi tentang grup keamanan yang tidak mematuhi sumber daya. Pilih grup keamanan untuk melihat detail lebih lanjut tentang hal itu.

    • AWS::EC2::Instance— Firewall Manager menampilkan ENI yang melekat pada instans EC2 yang tidak sesuai. Ini juga menampilkan informasi tentang grup keamanan yang tidak mematuhi sumber daya. Pilih grup keamanan untuk melihat detail lebih lanjut tentang hal itu.

    • AWS::EC2::SecurityGroup— Firewall Manager menampilkan rincian pelanggaran berikut:

      • Aturan grup keamanan yang tidak sesuai— Aturan yang melanggar, termasuk protokol, rentang port, kisaran IP CIDR, dan deskripsi.

      • Aturan yang direferensikan— Aturan grup keamanan audit yang melanggar peraturan grup keamanan yang tidak patuh, dengan rinciannya.

      • Alasan pelanggaran— Penjelasan temuan ketidakpatuhan.

      • Tindakan perbaikan— Tindakan yang disarankan untuk diambil. Jika Firewall Manager tidak dapat menentukan tindakan remediasi yang aman, bidang ini kosong.

    • AWS::EC2::Subnet— Ini digunakan untuk kebijakan Network Firewall. Firewall Manager menampilkan ID subnet, ID VPC, dan Availability Zone. Jika berlaku, Firewall Manager menyertakan informasi tambahan tentang pelanggaran, misalnya alasan pelanggaran terjadi, atau ID tabel rute subnet harus dikaitkan dengan. Komponen deskripsi pelanggaran berisi deskripsi keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.

      Sebagai contoh, keadaan yang diharapkan dari subnet mungkin “Subnet harus berisiAWS Network Firewallsubnet di zona ketersediaannya”, keadaan saat ini mungkin “subnet dengan id subnet-1234 hilang subnet Network Firewall di zona ketersediaan us-east-1e”, dan deskripsi mungkin “Firewall Manager tidak dapat membuat subnet di AZ ini karena tidak ada blok CIDR yang tersedia.”

      • Pelanggaran manajemen rute— Untuk kebijakan Network Firewall yang menggunakan mode Monitor, Firewall Manager menampilkan informasi subnet dasar, serta rute yang diharapkan dan aktual di subnet, gateway internet, dan tabel rute subnet Network Firewall. Firewall Manager memberi tahu Anda bahwa ada pelanggaran jika rute sebenarnya tidak sesuai dengan rute yang diharapkan dalam tabel rute.

      • Tindakan remediasi untuk pelanggaran manajemen rute— Untuk kebijakan Network Firewall yang menggunakan mode Monitor, Firewall Manager menyarankan kemungkinan tindakan remediasi pada konfigurasi rute yang memiliki pelanggaran.

      contoh — Pelanggaran manajemen rute dan saran remediasi

      Subnet diharapkan untuk mengirim lalu lintas melalui endpoint firewall, tetapi subnet saat ini mengirimkan lalu lintas langsung ke gateway internet. Ini adalah pelanggaran manajemen rute. Remediasi yang disarankan dalam kasus ini mungkin merupakan daftar tindakan yang dipesan. Yang pertama menjadi rekomendasi untuk menambahkan rute yang diperlukan ke tabel rute subnet Network Firewall untuk mengarahkan lalu lintas keluar ke gateway internet dan mengarahkan lalu lintas masuk untuk tujuan di dalam VPC ke`local`. Rekomendasi kedua adalah mengganti rute gateway internet atau rute Network Firewall yang tidak valid di tabel rute subnet untuk mengarahkan lalu lintas keluar ke titik akhir firewall. Rekomendasi ketiga adalah menambahkan rute yang diperlukan ke tabel rute gateway internet untuk mengarahkan lalu lintas masuk ke titik akhir firewall.

    • AWS::EC2:InternetGateway— Ini digunakan untuk kebijakan Network Firewall yang mengaktifkan mode Monitor.

      • Pelanggaran manajemen rute— Gateway internet tidak sesuai jika gateway internet tidak terkait dengan tabel rute, atau jika ada rute yang tidak valid di tabel rute gateway internet.

      • Tindakan remediasi untuk pelanggaran manajemen rute— Firewall Manager menyarankan kemungkinan tindakan remediasi untuk memperbaiki pelanggaran manajemen rute.

      contoh 1 — Pelanggaran manajemen rute dan saran remediasi

      Gateway internet tidak terkait dengan tabel rute. Tindakan remediasi yang disarankan mungkin merupakan daftar tindakan yang dipesan. Tindakan pertama adalah membuat tabel rute. Tindakan kedua adalah mengasosiasikan tabel rute dengan gateway internet. Tindakan ketiga adalah menambahkan rute yang diperlukan ke tabel rute gateway internet.

      contoh 2 — Pelanggaran manajemen rute dan saran remediasi

      Gateway internet dikaitkan dengan tabel rute yang valid, tetapi rute dikonfigurasi dengan tidak benar. Remediasi yang disarankan mungkin merupakan daftar tindakan yang dipesan. Saran pertama adalah menghapus rute yang tidak valid. Yang kedua adalah menambahkan rute yang diperlukan ke tabel rute gateway internet.

    • AWS::NetworkFirewall::FirewallPolicy— Ini digunakan untuk kebijakan Network Firewall. Firewall Manager menampilkan informasi tentang kebijakan firewall Network Firewall yang telah dimodifikasi dengan cara yang membuatnya tidak patuh. Informasi ini menyediakan kebijakan firewall yang diharapkan dan kebijakan yang ditemukan di akun pelanggan, sehingga Anda dapat membandingkan nama grup aturan stateless dan stateful dan pengaturan prioritas, nama tindakan khusus, dan pengaturan tindakan stateless default. Komponen deskripsi pelanggaran berisi deskripsi keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.

    • AWS::EC2::VPC— Ini digunakan untuk kebijakan DNS Firewall. Firewall Manager menampilkan informasi tentang VPC yang berada dalam lingkup kebijakan Firewall Manager DNS Firewall, dan itu tidak sesuai dengan kebijakan tersebut. Informasi yang diberikan mencakup kelompok aturan yang diharapkan yang diharapkan terkait dengan VPC dan kelompok aturan aktual. Komponen deskripsi pelanggaran berisi deskripsi keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.