Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica

Questa sezione fornisce indicazioni per la visualizzazione dello stato di conformità degli account e delle risorse che rientrano nell'ambito di una AWS Firewall Manager politica. Per informazioni sui controlli in atto AWS per mantenere la sicurezza e la conformità del cloud, consultaConvalida della conformità per Firewall Manager.

Nota

Affinché Firewall Manager possa monitorare la conformità delle policy, AWS Config deve registrare continuamente le modifiche alla configurazione per le risorse protette. Nella AWS Config configurazione, la frequenza di registrazione deve essere impostata su Continuo, che è l'impostazione predefinita.

Nota

Per mantenere uno stato di conformità adeguato nelle risorse protette, evita di modificare ripetutamente lo stato delle protezioni di Firewall Manager, automaticamente o manualmente. Firewall Manager utilizza le informazioni di AWS Config per rilevare le modifiche alle configurazioni delle risorse. Se le modifiche vengono applicate abbastanza rapidamente, si AWS Config può perdere di vista alcune di esse, con conseguente perdita di informazioni sulla conformità o sullo stato di riparazione in Firewall Manager.

Se noti che uno stato di conformità o riparazione di una risorsa che stai proteggendo con Firewall Manager non è corretto, assicurati innanzitutto di non eseguire alcun processo che alteri o ripristini le protezioni di Firewall Manager, quindi aggiorna il AWS Config tracciamento della risorsa rivalutando le regole di configurazione associate in. AWS Config

Per tutte le AWS Firewall Manager politiche, puoi visualizzare lo stato di conformità degli account e delle risorse che rientrano nell'ambito della politica. Un account o una risorsa è conforme a una politica di Firewall Manager se le impostazioni della politica si riflettono nelle impostazioni dell'account o della risorsa. Ogni tipo di policy ha i propri requisiti di conformità, che è possibile regolare al momento della definizione della policy. Per alcune politiche, puoi anche visualizzare informazioni dettagliate sulle violazioni relative alle risorse pertinenti, per aiutarti a comprendere e gestire meglio i rischi per la sicurezza.

Per visualizzare le informazioni sulla conformità di una politica

  1. Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

    Nota

    Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

  2. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

  3. Scegliere una policy. Nella scheda Account e risorse della pagina dei criteri, Firewall Manager elenca gli account dell'organizzazione, raggruppati in base a quelli che rientrano nell'ambito della politica e quelli che non rientrano nell'ambito della politica.

    Il riquadro Account rientranti nell'ambito della policy elenca lo stato di conformità di ogni account. Lo stato Conforme indica che la politica è stata applicata correttamente a tutte le risorse relative all'account. Lo stato Non conforme indica che la politica non è stata applicata a una o più risorse relative all'account.

  4. Scegli un account non conforme. Nella pagina dell'account, Firewall Manager elenca l'ID e il tipo di ogni risorsa non conforme e il motivo per cui la risorsa viola la politica.

    Nota

    Per i tipi di risorse AWS::EC2::NetworkInterface (ENI) eAWS::EC2::Instance, Firewall Manager potrebbe mostrare un numero limitato di risorse non conformi. Per elencare altre risorse non conformi, correggi quelle inizialmente visualizzate per l'account.

  5. Se il tipo di policy di Firewall Manager è un criterio di gruppo di sicurezza per il controllo dei contenuti, è possibile accedere a informazioni dettagliate sulle violazioni relative a una risorsa.

    Per visualizzare i dettagli della violazione, scegli la risorsa.

    Nota

    Le risorse che Firewall Manager ha ritenuto non conformi prima dell'aggiunta della pagina dettagliata sulla violazione delle risorse potrebbero non avere dettagli sulla violazione.

    Nella pagina delle risorse, Firewall Manager elenca dettagli specifici sulla violazione, in base al tipo di risorsa.

    • AWS::EC2::NetworkInterface(ENI): Firewall Manager visualizza informazioni sul gruppo di sicurezza a cui la risorsa non è conforme. Scegli il gruppo di sicurezza per visualizzarne maggiori dettagli.

    • AWS::EC2::Instance— Firewall Manager visualizza l'ENI collegato all'istanza EC2 che non è conforme. Visualizza anche informazioni sul gruppo di sicurezza a cui le risorse non sono conformi. Scegli il gruppo di sicurezza per visualizzarne maggiori dettagli.

    • AWS::EC2::SecurityGroup— Firewall Manager visualizza i seguenti dettagli sulla violazione:

      • Regola del gruppo di sicurezza non conforme: la regola violata, inclusi il protocollo, l'intervallo di porte, l'intervallo IP CIDR e la descrizione.

      • Regola di riferimento: la regola del gruppo di sicurezza di controllo violata dalla regola del gruppo di sicurezza non conforme, con i relativi dettagli.

      • Motivi della violazione: spiegazione dell'accertamento di non conformità.

      • Azione correttiva: azione suggerita da intraprendere. Se Firewall Manager non è in grado di determinare un'azione di riparazione sicura, questo campo è vuoto.

    • AWS::EC2::Subnet— Viene utilizzato per le politiche di rete ACL e Network Firewall.

      Firewall Manager visualizza l'ID di sottorete, l'ID VPC e la zona di disponibilità. Se applicabile, Firewall Manager include informazioni aggiuntive sulla violazione. Il componente di descrizione della violazione contiene una descrizione dello stato previsto della risorsa, dello stato attuale di non conformità e, se disponibile, una descrizione della causa della discrepanza.

      Violazioni del Network Firewall

      • Violazioni della gestione delle rotte: per le politiche del firewall di rete che utilizzano la modalità Monitor, Firewall Manager visualizza le informazioni di base sulla sottorete, nonché le route previste ed effettive nella sottorete, nel gateway Internet e nella tabella di routing della sottorete Network Firewall. Firewall Manager avvisa l'utente che c'è una violazione se le route effettive non corrispondono alle route previste nella tabella delle rotte.

      • Azioni di riparazione per le violazioni della gestione delle rotte: per le politiche del Network Firewall che utilizzano la modalità Monitor, Firewall Manager suggerisce possibili azioni di riparazione sulle configurazioni di routing che presentano violazioni.

      Ad esempio, si supponga che una sottorete invii il traffico attraverso gli endpoint del firewall, mentre la sottorete corrente invia il traffico direttamente al gateway Internet. Si tratta di una violazione della gestione del percorso. La soluzione suggerita in questo caso potrebbe essere un elenco di azioni ordinate. La prima è una raccomandazione di aggiungere le route richieste alla tabella di routing della sottorete Network Firewall per indirizzare il traffico in uscita verso il gateway Internet e per indirizzare il traffico in entrata verso le destinazioni all'interno del VPC. `local` La seconda raccomandazione consiste nel sostituire la route del gateway Internet o la route Network Firewall non valida nella tabella di routing della sottorete per indirizzare il traffico in uscita verso gli endpoint del firewall. La terza raccomandazione consiste nell'aggiungere i percorsi richiesti alla tabella di routing del gateway Internet per indirizzare il traffico in entrata verso gli endpoint del firewall.

    • AWS::EC2:InternetGateway— Viene utilizzato per le politiche Network Firewall che hanno la modalità Monitor abilitata.

      • Violazioni della gestione delle rotte: il gateway Internet non è conforme se il gateway Internet non è associato a una tabella di routing o se nella tabella di routing del gateway Internet è presente una route non valida.

      • Azioni di riparazione per le violazioni della gestione delle rotte: Firewall Manager suggerisce possibili azioni di riparazione per porre rimedio alle violazioni della gestione delle rotte.

      Esempio 1 — Violazione della gestione del percorso e suggerimenti per la correzione

      Un gateway Internet non è associato a una tabella di routing. Le azioni correttive suggerite potrebbero essere un elenco di azioni ordinate. La prima azione consiste nel creare una tabella di rotte. La seconda azione consiste nell'associare la tabella delle rotte al gateway Internet. La terza azione consiste nell'aggiungere la route richiesta alla tabella di routing del gateway Internet.

      Esempio 2 — Violazione della gestione del percorso e suggerimenti per la riparazione

      Il gateway Internet è associato a una tabella di routing valida, ma la route è configurata in modo errato. La correzione suggerita potrebbe consistere in un elenco di azioni ordinate. Il primo suggerimento è quello di rimuovere la rotta non valida. Il secondo consiste nell'aggiungere la route richiesta alla tabella delle rotte del gateway Internet.

    • AWS::NetworkFirewall::FirewallPolicy— Viene utilizzato per le politiche del Network Firewall. Firewall Manager visualizza informazioni su una politica firewall di Network Firewall che è stata modificata in modo da renderla non conforme. Le informazioni forniscono la politica firewall prevista e la politica trovata nell'account cliente, in modo da poter confrontare i nomi e le impostazioni di priorità dei gruppi di regole stateless e stateful, i nomi delle azioni personalizzate e le impostazioni predefinite delle azioni senza stato. Il componente di descrizione della violazione contiene una descrizione dello stato previsto della risorsa, dello stato attuale non conforme e, se disponibile, una descrizione della causa della discrepanza.

    • AWS::EC2::VPC— Viene utilizzato per le politiche del firewall DNS. Firewall Manager visualizza informazioni su un VPC che rientra nell'ambito di una policy Firewall DNS Firewall di Firewall Manager e che non è conforme alla policy. Le informazioni fornite includono i gruppi di regole previsti che dovrebbero essere associati al VPC e i gruppi di regole effettivi. Il componente di descrizione della violazione contiene una descrizione dello stato previsto della risorsa, dello stato attuale non conforme e, se disponibile, una descrizione della causa della discrepanza.