AWS Firewall Manager ポリシーのコンプライアンス情報の表示 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall Manager ポリシーのコンプライアンス情報の表示

このセクションでは、 AWS Firewall Manager ポリシーの対象となるアカウントとリソースのコンプライアンスステータスを確認するためのガイダンスを提供します。 AWS クラウドのセキュリティとコンプライアンスを維持するために実施されている統制については、を参照してくださいFirewall Manager のコンプライアンス検証

注記

Firewall Manager がポリシーコンプライアンスを監視するには、 AWS Config 保護対象リソースの設定変更を継続的に記録する必要があります。 AWS Config 構成では、記録頻度をデフォルト設定の Continuous に設定する必要があります。

注記

保護対象リソースの適切なコンプライアンス状態を維持するために、Firewall Manager の保護状態を自動または手動で繰り返し変更することは避けてください。Firewall Manager は AWS Config 、からの情報を使用してリソース構成の変更を検出します。変更がすぐに適用されると、 AWS Config 変更の一部を見失う可能性があり、その結果、Firewall Manager のコンプライアンスまたは修復状態に関する情報が失われる可能性があります。

Firewall Manager で保護しているリソースのコンプライアンスまたは修復ステータスが正しくない場合は、まずFireFirewall Manager の保護を変更またはリセットするプロセスを実行していないことを確認してから、 AWS Config 関連する構成ルールを再評価してリソースの追跡を更新してください。 AWS Config

AWS Firewall Manager すべてのポリシーについて、ポリシーの対象となるアカウントとリソースのコンプライアンスステータスを表示できます。ポリシーの設定がアカウントまたはリソースの設定で反映されている場合、そのアカウントまたはリソースは、Firewall Manager ポリシーに準拠しています。各ポリシータイプには独自のコンプライアンス要件があります。これは、ポリシーを定義するときにチューニングできます。一部のポリシーでは、セキュリティリスクをより良く理解および管理するのに役立てるために、範囲内のリソースの詳細な違反情報を表示することもできます。

ポリシーのコンプライアンス情報を表示するには

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. ポリシーを選択します。ポリシーページの [Accounts and resources] (アカウントとリソース) タブで、Firewall Manager は、ポリシーの範囲内にあるアカウントと範囲外にあるアカウントでグループ化された、組織内のアカウントを一覧表示します。

    [Accounts within policy scope] (ポリシーの範囲内のアカウント) ペインには、各アカウントのコンプライアンスステータスが一覧表示されます。[Compliant] (準拠) ステータスは、ポリシーがアカウントのすべての範囲内のリソースに正常に適用されたことを示します。[Noncompliant] (非準拠) ステータスは、ポリシーがアカウントの 1 つ以上の範囲内のリソースに適用されていないことを示します。

  4. 非準拠のアカウントを選択します。アカウントページで、Firewall Manager は、準拠していない各リソースの ID と種類、およびリソースがポリシーに違反している理由の一覧を表示します。

    注記

    リソースタイプ AWS::EC2::NetworkInterface (ENI) および AWS::EC2::Instance の場合、Firewall Manager は限られた数の非準拠リソースを表示する場合があります。その他の非準拠のリソースを一覧表示するには、対象のアカウントについて最初に表示されるリソースを修正します。

  5. Firewall Manager ポリシータイプがコンテンツ監査セキュリティグループポリシーである場合、リソースの詳細な違反情報にアクセスできます。

    違反の詳細を表示するには、リソースを選択します。

    注記

    詳細なリソース違反ページが追加される前に、Firewall Manager が非準拠であると判断したリソースには、違反の詳細がない場合があります。

    リソースページに、Firewall Manager は、リソースタイプに応じて、違反に関する具体的な詳細を一覧表示します。

    • AWS::EC2::NetworkInterface (ENI) – Firewall Manager は、リソースが準拠していないセキュリティグループに関する情報を表示します。セキュリティグループを選択すると、その詳細が表示されます。

    • AWS::EC2::Instance - Firewall Manager は、非準拠の EC2 インスタンスにアタッチされている ENI を表示します。また、リソースが準拠していないセキュリティグループに関する情報を表示します。セキュリティグループを選択すると、その詳細が表示されます。

    • AWS::EC2::SecurityGroup - Firewall Manager は、次の違反の詳細を表示します。

      • [Noncompliant security group rule] (非準拠のセキュリティグループルール) – 違反しているルール (プロトコル、ポート範囲、IP CIDR 範囲、説明など)。

      • [Referenced rule] (参照されるルール) – 非準拠のセキュリティグループのルールが違反する監査セキュリティグループのルールとその詳細。

      • [Violation reasons] (違反の理由) – 違反の検出結果の説明。

      • [Remediation action] (修復アクション) – 実行する推奨アクション。Firewall Manager が安全な修復アクションを決定できない場合、このフィールドは空白です。

    • AWS::EC2::Subnet - これは、Network Firewall ポリシーに使用されます。Firewall Manager は、サブネット ID、VPC ID、アベイラビリティーゾーンを表示します。該当する場合、Firewall Manager には、違反が発生した理由やサブネットが関連付けられるべきルートテーブルの ID など、違反に関する追加情報が含まれます。違反の説明のコンポーネントには、リソースの予想される状態の説明、現在の非準拠状態、および使用可能な場合は、不一致の原因の説明が含まれます。

      たとえば、サブネットの予想される状態は「 AWS Network Firewall サブネットにはアベイラビリティーゾーンにサブネットが含まれている必要があります」、現在の状態は「id subnet-1234 のサブネットにはアベイラビリティーゾーン us-east-1e にNetwork Firewall サブネットがありません」、説明は「使用可能な CIDR ブロックがないため、Firewall Manager はこの AZ にサブネットを作成できませんでした」の場合があります。

      • [ management violations] (ルート管理違反) – モニタリングモードを使用する Network Firewall ポリシーの場合、Firewall Manager は、基本的なサブネット情報に加えて、サブネット、インターネットゲートウェイ、および Network Firewall のサブネットルートテーブルの想定ルートと実際のルートを表示します。Firewall Manager は、実際のルートがルートテーブルの想定されるルートと一致しない場合、違反がある旨のアラートを発信します。

      • [Remediation actions for route management violations] (ルート管理違反の修正アクション) – モニタリングモードを使用する Network Firewall ポリシーの場合、Firewall Manager は、違反のあるルート設定に対して可能な修正アクションを提案します。

      例 — ルート管理違反と修復の提案

      サブネットはファイアウォールエンドポイントを介してトラフィックを送信することが想定されていますが、現在のサブネットはインターネットゲートウェイに直接トラフィックを送信しています。これは、ルート管理違反です。この場合の推奨される修復は、順序付けられたアクションのリストである場合があります。1 つ目の推奨事項は、必要なルートを Network Firewall サブネットのルートテーブルに追加して、発信トラフィックをインターネットゲートウェイに転送し、VPC 内の宛先の着信トラフィックを `local` に転送することです。2 つ目の推奨事項は、サブネットのルートテーブル内のインターネットゲートウェイルートまたは無効な Network Firewall ルートを置き換えて、発信トラフィックをファイアウォールエンドポイントに送信することです。3 つ目の推奨事項は、受信トラフィックをファイアウォールエンドポイントに転送するために、インターネットゲートウェイのルートテーブルに必要なルートを追加することです。

    • AWS::EC2:InternetGateway - これは、モニターモードが有効になっている Network Firewall ポリシーに使用されます。

      • [Route management violations] (ルート管理違反) – インターネットゲートウェイがルートテーブルに関連付けられていない場合、またはインターネットゲートウェイのルートテーブルに無効なルートがある場合、インターネットゲートウェイは非準拠です。

      • [Remediation actions for route management violations] (ルート管理違反の修正アクション) – Firewall Manager は、ルート管理違反を修正するための可能な修正アクションを提案します。

      例 1 — ルート管理違反と修復の提案

      インターネットゲートウェイはルートテーブルに関連付けられていません。推奨される修復アクションは、順序付けられたアクションのリストである場合があります。最初のアクションは、ルートテーブルを作成することです。2 つ目のアクションは、ルートテーブルをインターネットゲートウェイに関連付けることです。3 つ目のアクションは、必要なルートをインターネットゲートウェイルートテーブルに追加することです。

      例 2 — ルート管理違反と修復の提案

      インターネットゲートウェイは有効なルートテーブルに関連付けられていますが、ルートが正しく設定されていません。推奨される修復は、順序付けられたアクションのリストである場合があります。最初の提案は、無効なルートを削除することです。2 つ目は、必要なルートをインターネットゲートウェイルートテーブルに追加することです。

    • AWS::NetworkFirewall::FirewallPolicy - これは、Network Firewall ポリシーに使用されます。Firewall Manager は、非準拠になるように変更された Network Firewall のファイアウォールポリシーに関する情報を表示します。この情報は、予想されるファイアウォールポリシーと、カスタマーアカウントで見つかったポリシーを提供するものであるため、ステートレスルールグループ名とステートフルルールグループ名および優先度の設定、カスタムアクション名、ならびにデフォルトのステートレスアクションの設定を比較できます。違反の説明のコンポーネントには、リソースの予想される状態の説明、現在の非準拠状態、および使用可能な場合は、不一致の原因の説明が含まれます。

    • AWS::EC2::VPC - これは DNS Firewall ポリシーに使用されます。Firewall Manager は、Firewall Manager の DNS Firewall ポリシーの範囲内にあり、ポリシーに準拠していない VPC に関する情報を表示します。提供される情報には、VPC に関連付けられることが予想されるルールグループおよび実際のルールグループが含まれます。違反の説明のコンポーネントには、リソースの予想される状態の説明、現在の非準拠状態、および使用可能な場合は、不一致の原因の説明が含まれます。