AWS Network Firewall コントロールします。 - AWS Security Hub
[NetworkFirewall.1] Network Firewall は複数のアベイラビリティーゾーンにデプロイする必要があります[NetworkFirewall.2] Network Firewall ロギングを有効にする必要があります[NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットの場合はドロップまたはフォワードである必要があります[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットのドロップまたはフォワードである必要があります[NetworkFirewall.6] ステートレスNetwork Firewall ルールグループは空にしないでください[NetworkFirewall.9] Network Firewall では、削除保護を有効にする必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Network Firewall コントロールします。

これらのコントロールは Network Firewall リソースに関連しています。

これらのコントロールは、一部では使用できない場合があります AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[NetworkFirewall.1] Network Firewall は複数のアベイラビリティーゾーンにデプロイする必要があります

関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)

カテゴリ: リカバリ > 耐障害性 > 高可用性

重要度:

リソースタイプ: AWS::NetworkFirewall::Firewall

AWS Config ルール : netfw-multi-az-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールでは、管理されているファイアウォールが複数のアベイラビリティーゾーン (AZ) AWS Network Firewall にデプロイされているかどうかを評価します。ファイアウォールが 1 つの AZ にのみデプロイされている場合、コントロールは失敗します。

AWS グローバルインフラストラクチャには複数のインフラストラクチャが含まれます。 AWS リージョン AZ は、低レイテンシー、高スループット、高冗長性のネットワークで接続されている、各リージョン内の物理的に独立し隔離されたロケーションです。Network Firewall ファイアウォールを複数の AZ にデプロイすることで、AZ 間でトラフィックを分散およびシフトできるため、可用性の高いソリューションを設計できるようになります。

修正

Network Firewall ファイアウォールを複数の AZ にデプロイする

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、ネットワークファイアウォールの下にあるファイアウォールを選択します。

  3. [ファイアウォール] ページで、編集するファイアウォールを選択します。

  4. ファイアウォールの詳細ページで、[ファイアウォールの詳細] タブを選択します。

  5. [関連付けられたポリシーと VPC] セクションで、[編集] を選択します。

  6. 新しい AZ を追加するには、[新しいサブネットを追加] を選択します。使用する AZ とサブネットを選択します。少なくとも 2 つの AZ を選択するようにします。

  7. [保存] を選択します。

[NetworkFirewall.2] Network Firewall ロギングを有効にする必要があります

関連する要件: NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ: AWS::NetworkFirewall::LoggingConfiguration

AWS Config ルール: netfw-logging-enabled

スケジュールタイプ: 定期的

パラメータ: なし

このコントロールは、 AWS Network Firewall ファイアウォールでロギングが有効になっているかどうかをチェックします。少なくとも 1 つのログタイプでログ記録が有効になっていない場合、またはログ記録先が存在しない場合、コントロールは失敗します。

ログ記録はファイアウォールの信頼性、可用性、パフォーマンスの維持に有益です。Network Firewall でログを記録すると、ステートフルエンジンがパケットフローを受信した時間、パケットフローに関する詳細情報、パケットフローに対して実行されたステートフルルールアクションなど、ネットワークトラフィックに関する詳細情報が得られます。

修正

ファイアウォールのログ記録を有効にするには、「AWS Network Firewall 開発者ガイド」の「Updating a firewall's logging configuration」を参照してください。

[NetworkFirewall.3] Network Firewall ポリシーには、少なくとも 1 つのルールグループが関連付けられている必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::NetworkFirewall::FirewallPolicy

AWS Config ルール : netfw-policy-rule-group-associated

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Network Firewall ポリシーに、ステートフルなルールグループかステートレスなルールグループのいずれかが関連付けられているかどうかをチェックします。ステートレスまたはステートフルなルールグループが割り当てられていない場合、このコントロールは失敗します。

ファイアウォールポリシーは、ファイアウォールが Amazon Virtual Private Cloud (Amazon VPC) のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループの設定は、パケットとトラフィックフローのフィルタリングに役立ち、デフォルトのトラフィック処理を定義します。

修正

Network Firewall ポリシーにルールグループを追加する方法については、「AWS Network Firewall デベロッパーガイド」の「Updating a firewall policy」(ファイアウォールポリシーの更新) を参照してください。ルールグループの作成および管理方法については、「AWS Network Firewallのルールグループ」を参照してください。

[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、フルパケットの場合はドロップまたはフォワードである必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::NetworkFirewall::FirewallPolicy

AWS Config ルール : netfw-policy-default-action-full-packets

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

  • statelessDefaultActions: aws:drop,aws:forward_to_sfe (カスタマイズ不可)

このコントロールは、Network Firewall ポリシーの完全なパケットに対するデフォルトのステートレスアクションが、ドロップまたは転送かどうかをチェックします。Drop または Forward が選択されている場合、コントロールはパスします。Pass が選択されている場合、このコントロールは失敗します。

ファイアウォールポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定し、パケットとトラフィックフローをフィルタリングします。Pass をデフォルトに設定すると、意図しないトラフィックが許可される可能性があります。

修正

ファイアウォール ポリシーを変更する方法については、「AWS Network Firewall デベロッパーガイド」の「ファイアウォールポリシーの更新」 を参照してください。[ステートレスデフォルトアクション] で、[編集] を選択します。続いて、[アクション] として、[ドロップ] または [ステートフルルールグループに転送] を選択します。

[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、フラグメント化されたパケットのドロップまたはフォワードである必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::NetworkFirewall::FirewallPolicy

AWS Config ルール : netfw-policy-default-action-fragment-packets

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

  • statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe (カスタマイズ不可)

このコントロールは、Network Firewall ポリシーの断片化されたパケットに対するデフォルトのステートレスアクションが、ドロップまたは転送かどうかをチェックします。Drop または Forward が選択されている場合、コントロールはパスします。Pass が選択されている場合、このコントロールは失敗します。

ファイアウォールポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定し、パケットとトラフィックフローをフィルタリングします。Pass をデフォルトに設定すると、意図しないトラフィックが許可される可能性があります。

修正

ファイアウォール ポリシーを変更する方法については、「AWS Network Firewall デベロッパーガイド」の「ファイアウォールポリシーの更新」 を参照してください。[ステートレスデフォルトアクション] で、[編集] を選択します。続いて、[アクション] として、[ドロップ] または [ステートフルルールグループに転送] を選択します。

[NetworkFirewall.6] ステートレスNetwork Firewall ルールグループは空にしないでください

関連する要件: NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)

カテゴリ: 保護 > セキュアなネットワーク設定

重要度:

リソースタイプ: AWS::NetworkFirewall::RuleGroup

AWS Config ルール : netfw-stateless-rule-group-not-empty

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、 AWS Network Firewall 内のステートレスルールグループにルールが含まれているかどうかをチェックします。ルールグループにルールが含まれない場合、コントロールは失敗します。

ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、ルールグループがトラフィックを処理するという印象を与える可能性があります。ただし、ステートレスルールグループが空の場合、トラフィックは処理されません。

修正

ネットワークファイアウォールのルールグループにルールを追加するには、「AWS Network Firewall  デベロッパーガイド」の「ステートフルルールグループの更新」を参照してください。ファイアウォールの詳細ページの [ステートレスルールグループ] で、[編集] を選択してルールを追加します。

[NetworkFirewall.9] Network Firewall では、削除保護を有効にする必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)

カテゴリ: 保護 > ネットワークセキュリティ > 高可用性

重要度:

リソースタイプ: AWS::NetworkFirewall::Firewall

AWS Config ルール : netfw-deletion-protection-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、 AWS Network Firewall ファイアウォールで削除保護が有効になっているかどうかを確認します。ファイアウォールで削除保護が有効になっていないと、コントロールは失敗します。

AWS Network Firewall は、ステートフルでマネージド型のネットワークファイアウォールと侵入検知サービスであり、仮想プライベートクラウド (VPC) へのトラフィック、VPC (VPC) からのトラフィック、または仮想プライベートクラウド (VPC) 間のトラフィックの検査とフィルタリングを可能にします。削除防止設定は、ファイアウォールが誤って削除されないように保護するものです。

修正

既存の Network Firewall ファイアウォールで削除保護を有効にするには、「AWS Network Firewall デベロッパーガイド」の「ファイアウォールの更新」を参照してください。[変更保護][有効化] を選択します。 UpdateFirewallDeleteProtectionAPI を呼び出してフィールドをに設定することで、削除保護を有効にすることもできます。DeleteProtection true