Network Firewall 的 Security Hub 控制項 - AWS 安全中樞
[NetworkFirewall.1] Network Firewall 防火牆應跨多個可用區域部署[NetworkFirewall.2] 應啟用 Network Firewall 日誌記錄[NetworkFirewall.3] Network Firewall 策略應至少有一個關聯的規則組[NetworkFirewall.4] 對於完整封包,Network Firewall 策略的預設無狀態處理行動應為捨棄或轉送[NetworkFirewall.5] 對於分散式封包,Network Firewall 策略的預設無狀態處理行動應該是捨棄或轉送[NetworkFirewall.6] 無狀態 Network Firewall 規則群組不應為空[NetworkFirewall.7] 應標記 Network Firewall 防火牆[NetworkFirewall.8] 應標記 Network Firewall 防火牆策略[NetworkFirewall.9] Network Firewall 防火牆應啟用刪除保護

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Network Firewall 的 Security Hub 控制項

這些 AWS Security Hub 控制項:評估 AWS Network Firewall 服務和資源。

這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性

[NetworkFirewall.1] Network Firewall 防火牆應跨多個可用區域部署

相關要求: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、NIST SI-13

分類:復原 > 復原能力 > 高可用性

嚴重性:

資源類型:AWS::NetworkFirewall::Firewall

AWS Config 規則:netfw-multi-az-enabled

排程類型:已觸發變更

參數:

此控制項會評估防火牆是否透過 AWS Network Firewall 跨多個可用區域 (AZs) 部署。如果防火牆僅部署在一個 AZ 中,則控制項會失敗。

AWS 全球基礎設施包括多 AWS 區域。 AZs在每個區域內實體分開、隔離的位置,透過低延遲、高輸送量和高度備援的網路連線。透過跨多個部署 Network Firewall 防火牆AZs,您可以平衡和轉移流量AZs,以協助您設計高可用性解決方案。

修補

跨多個部署 Network Firewall 防火牆 AZs

  1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 在功能窗格的 [Network Firewall] 下,選擇 [防火牆]。

  3. 在「防火牆」頁面上,選取您要編輯的防火牆。

  4. 在防火牆詳細資料頁面上,選擇防火牆詳細資料標籤。

  5. 在 [關聯的策略和] VPC 區段中,選擇 [編輯]

  6. 若要新增 AZ,請選擇 [新增子網路]。選取您要使用的 AZ 和子網路。請確定您至少選取兩個AZs。

  7. 選擇 Save (儲存)。

[NetworkFirewall.2] 應啟用 Network Firewall 日誌記錄

相關要求: NIST.800-53.r5 AC-2(12)、 NIST.800-53.r5 AC-2 (4)、(26)、 NIST.800-53.r5 AC-4 (9)、(9)、 NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、.800-53.r5 四 NIST.800-53.r5 SC-7 (20)、NIST .800-53.r5 (20)、.800-53.r5 (20)、NIST .800-53.r5 SI-7 (8) NIST NIST

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::NetworkFirewall::LoggingConfiguration

AWS Config 規則:netfw-logging-enabled

排程類型:定期

參數:

此控制項會檢查是否已啟用記錄 AWS Network Firewall 防火牆。如果未啟用至少一種記錄類型的記錄,或記錄目的地不存在,則控制項會失敗。

記錄可協助您維護防火牆的可靠性、可用性和效能。在 Network Firewall 中,記錄會提供有關網路流量的詳細資訊,包括狀態引擎接收封包流程的時間、封包流程的詳細資訊,以及針對封包流程採取的任何可設定狀態規則動作。

修補

若要啟用防火牆的記錄,請參閱更新防火牆的記錄組態 AWS Network Firewall 開發人員指南

[NetworkFirewall.3] Network Firewall 策略應至少有一個關聯的規則組

相關要求: NIST.800-53.r5 CA-9(一)、五NIST分之二

分類:保護 > 安全網絡配置

嚴重性:

資源類型:AWS::NetworkFirewall::FirewallPolicy

AWS Config 規則:netfw-policy-rule-group-associated

排程類型:已觸發變更

參數:

此控制項會檢查 Network Firewall 策略是否有任何關聯的可設定狀態或無狀態規則群組。如果未指派無狀態或可設定狀態的規則群組,則控制項會失敗。

防火牆政策定義防火牆如何監控和處理 Amazon Virtual Private Cloud (AmazonVPC) 中的流量。無狀態和可設定狀態規則群組的組態有助於篩選封包和流量流程,並定義預設流量處理。

修補

若要將規則群組新增至 Network Firewall 策略,請參閱更新中的防火牆策略 AWS Network Firewall 開發人員指南。如需建立和管理規則群組的詳細資訊,請參閱中的規則群組 AWS Network Firewall.

[NetworkFirewall.4] 對於完整封包,Network Firewall 策略的預設無狀態處理行動應為捨棄或轉送

相關要求: NIST.800-53.r5 CA-9(一)、五NIST分之二

分類:保護 > 安全網絡配置

嚴重性:

資源類型:AWS::NetworkFirewall::FirewallPolicy

AWS Config 規則:netfw-policy-default-action-full-packets

排程類型:已觸發變更

參數:

  • statelessDefaultActions: aws:drop,aws:forward_to_sfe(不可定制)

此控制項會檢查 Network Firewall 政策完整封包的預設無狀態處理行動是捨棄還是轉送。如果選取DropForward,則會通過控制項,如果選取,Pass則會失敗。

防火牆政策定義防火牆如何監控和處理 Amazon 中的流量VPC。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為Pass可允許非預期的流量。

修補

若要變更您的防火牆策略,請參閱更新防火牆策略 AWS Network Firewall 開發人員指南。針對「無狀態」預設動作,選擇 「編輯」。然後,選擇 [移] 或 [轉寄至可設定狀態規則群組] 做為 [動作]。

[NetworkFirewall.5] 對於分散式封包,Network Firewall 策略的預設無狀態處理行動應該是捨棄或轉送

相關要求: NIST.800-53.r5 CA-9(一)、五NIST分之二

分類:保護 > 安全網絡配置

嚴重性:

資源類型:AWS::NetworkFirewall::FirewallPolicy

AWS Config 規則:netfw-policy-default-action-fragment-packets

排程類型:已觸發變更

參數:

  • statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(不可定制)

此控制項會檢查「Network Firewall」原則之片段封包的預設無狀態動作是捨棄還是轉送。如果選取DropForward,則會通過控制項,如果選取,Pass則會失敗。

防火牆政策定義防火牆如何監控和處理 Amazon 中的流量VPC。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為Pass可允許非預期的流量。

修補

若要變更您的防火牆策略,請參閱更新防火牆策略 AWS Network Firewall 開發人員指南。針對「無狀態」預設動作,選擇 「編輯」。然後,選擇 [移] 或 [轉寄至可設定狀態規則群組] 做為 [動作]。

[NetworkFirewall.6] 無狀態 Network Firewall 規則群組不應為空

相關要求: NIST.800-53.r5 AC-4(二十一) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (十一)、 NIST.800-53.r5 SC-7 (十六)、 NIST.800-53.r5 SC-7 (二十一)、 NIST.800-53.r5 SC-7 (5)

分類:保護 > 安全網絡配置

嚴重性:

資源類型:AWS::NetworkFirewall::RuleGroup

AWS Config 規則:netfw-stateless-rule-group-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查是否為無狀態規則群組 AWS Network Firewall 包含規則。如果規則群組中沒有規則,控制項就會失敗。

規則群組包含定義防火牆如何處理您的VPC. 如果防火牆策略中存在空的無狀態規則群組,可能會給人以為規則群組會處理流量的印象。但是,當無狀態規則群組為空時,不會處理流量。

修補

若要將規則新增至 Network Firewall 規則群組,請參閱更新中的可設定狀態規則群組 AWS Network Firewall 開發人員指南。在防火牆詳細資料頁面上,對於無狀態規則群組,選擇編輯以新增規則。

[NetworkFirewall.7] 應標記 Network Firewall 防火牆

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::NetworkFirewall::Firewall

AWS Config 規則:tagged-networkfirewall-firewall(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合的標籤列表 AWS 要求 No default value

這個控件檢查是否 AWS Network Firewall 防火牆具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果防火牆沒有任何標籤金鑰,或者沒有在參數中指定的所有金鑰,控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果防火牆未使用任何金鑰標記,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責的資源擁有者,以取得動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記 AWS中的資源 AWS 一般參考.

修補

若要將標記新增至 Network Firewall 防火牆,請參閱標記 AWS Network Firewall中的資源 AWS Network Firewall 開發人員指南

[NetworkFirewall.8] 應標記 Network Firewall 防火牆策略

類別:識別 > 庫存 > 標籤

嚴重性:

資源類型:AWS::NetworkFirewall::FirewallPolicy

AWS Config 規則:tagged-networkfirewall-firewallpolicy(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值
requiredTagKeys 評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。 StringList 符合的標籤列表 AWS 要求 No default value

這個控件檢查是否 AWS Network Firewall 防火牆策略具有標籤,其中包含參數中定義的特定金鑰requiredTagKeys。如果防火牆政策沒有任何標籤金鑰,或者控制項沒有在參數中指定的所有金鑰,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數,控制項只會檢查標籤金鑰是否存在,如果防火牆原則未標記任何金鑰,則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是您指派給標籤 AWS 資源,它由一個鍵和一個可選值。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責的資源擁有者,以取得動作和通知。使用標記時,您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略,該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色),以及 AWS 的費用。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則,以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊,請參閱用ABAC途 AWS? 《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息(PII)或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務,包括 AWS Billing。 如需更多標記最佳做法,請參閱標記 AWS中的資源 AWS 一般參考.

修補

若要將標記新增至 Network Firewall 策略,請參閱標記 AWS Network Firewall中的資源 AWS Network Firewall 開發人員指南

[NetworkFirewall.9] Network Firewall 防火牆應啟用刪除保護

相關要求: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

分類:保護 > 網絡安全

嚴重性:

資源類型:AWS::NetworkFirewall::Firewall

AWS Config 規則:netfw-deletion-protection-enabled

排程類型:已觸發變更

參數:

這個控件檢查是否 AWS Network Firewall 防火牆已啟用刪除保護。如果未啟用防火牆的刪除保護,則控制項會失敗。

AWS Network Firewall 是一種可設定狀態的受管網路防火牆和入侵偵測服務,可讓您檢查和篩選進出虛擬私人雲端 (VPCs) 之間或之間的流量。刪除保護設定可防止意外刪除防火牆。

修補

若要在現有的 Network Firewall 防火牆上啟用刪除防護,請參閱更新中的防火牆 AWS Network Firewall 開發人員指南。對於 [變更保護],選取 [啟用]。您也可以呼叫 UpdateFirewallDeleteProtectionAPI和將DeleteProtectiontrue欄位設定為來啟用刪除保護。