檢視合規資訊AWS Firewall Manager政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視合規資訊AWS Firewall Manager政策

在多個 AWS 服務 合規計劃中,第三方稽核人員會評估 AWS 的安全與合規,例如 SOC、PCI、FedRAMP、HIPAA。

要瞭解是否或其他AWS 服務屬於特定合規性計劃的範圍內,請參閲AWS合規計劃的服務範圍。如需一般資訊,請參閱 AWS 合規計畫

您可使用 AWS Artifact 下載第三方稽核報告。如需詳細資訊,請參閱 AWS Artifact 中的下載報告

您使用 AWS 服務 時的合規責任取決於資料的敏感度、您的公司的合規目標,以及適用的法律和法規。AWS 提供以下資源協助您處理合規事宜:

  • 安全與合規 Quick Start 指南 – 這些部署指南討論架構考量並提供在 AWS 上部署以安全及合規為重心之基準環境的步驟。

  • Amazon Web Services 上的 HIPAA 安全與合規架構— 本白皮書介紹了公司如何使用AWS創建符合 HIPAA 條件的應用程序。

    注意

    並非全部的 AWS 服務 都符合 HIPAA 資格。如需詳細資訊,請參閱 HIPAA 資格服務參照

  • AWS 合規資源 – 這組手冊和指南可能適用於您的產業和位置。

  • AWS Config 開發人員指南中的使用規則評估資源:AWS Config 服務可評估資源組態對於內部實務、業界準則和法規的合規狀態。

  • AWS Security Hub – 此 AWS 服務 可供您檢視 AWS 中的安全狀態,可助您檢查是否符合安全產業標準和最佳實務。

  • AWS Audit Manager – 此 AWS 服務 可協助您持續稽核 AWS 使用情況,以簡化管理風險與法規與業界標準的法規遵循方式。

適用於所有AWS Firewall Manager政策時,您可以檢視政策範圍內帳户和資源的合規狀態。如果策略中的設置反映在帳户或資源的設置中,則帳户或資源符合 Firewall Manager 策略。每種策略類型都有自己的合規性要求,您可以在定義策略時對其進行調整。對於某些策略,您還可以查看範圍內資源的詳細違規信息,以幫助您更好地瞭解和管理您的安全風險。

檢視政策的合規資訊

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇政策。在 中賬户和資源選項卡中,Firewall Manager 將列出組織中的帳户,按策略範圍內的帳户和超出範圍的帳户進行分組。

    所以此政策範圍內的帳目窗格列出了每個帳户的合規狀態。一個合規狀態表示政策已成功地應用至帳户的範圍內資源。一個不合規狀態表示該策略尚未應用於帳户的一個或多個作用域內資源。

  4. 選擇不合規的帳户。在帳户頁面中,Firewall Manager 列出了每個不符合資源的 ID 和類型,以及資源違反策略的原因。

    注意

    對於資源類型AWS::EC2::NetworkInterface(ENI) 和AWS::EC2::Instance,Firewall Manager 員可能會顯示數量有限的不合規資源。要列出其他不合規的資源,請修復最初為帳户顯示的資源。

  5. 如果 Firewall Manager 政策類型是內容審核安全組政策,則可以訪問資源的詳細違規資源。

    要查看違規詳細信息,請選擇資源。

    注意

    在添加詳細資源違規頁面之前,Firewall Manager 發現不符合的資源可能沒有違規詳細信息。

    在資源頁面中,Firewall Manager 根據資源類型列出了有關違規的特定詳細信息。

    • AWS::EC2::NetworkInterface(ENI)— Firewall Manager 顯示資源不合規的安全組相關資源。選擇安全組以查看有關該安全組的更多詳細信息。

    • AWS::EC2::Instance— Firewall Manager 顯示附加到不合規的 EC2 實例的 ENI。此外,還會顯示資源不合規的安全組相關資源。選擇安全組以查看有關該安全組的更多詳細信息。

    • AWS::EC2::SecurityGroup— Firewall Manager 顯示以下違規詳細信息:

      • 不合規的安全組規則— 違反的規則,包括其協議、端口範圍、IP CIDR 範圍和説明。

      • 引用規則— 不符合安全組規則違反的審核安全組規則及其詳細信息。

      • 違規原因— 對不遵守情況調查結果的解釋。

      • 修補動作— 建議採取措施。如果 Firewall Manager 無法確定安全的修復操作,則此字段為空。

    • AWS::EC2::Subnet— 這用於 Network Firewall 策略。Firewall Manager 顯示子網 ID、VPC ID 和可用區域。如果適用,Firewall Manager 會包含有關違規的其他信息,例如發生違規的原因或子網應與之關聯的路由表的 ID。違規描述組件包含資源的預期狀態、當前不符合狀態的描述,以及導致差異的原因(如果可用)的説明。

      例如,子網的預期狀態可能是「子網應包含AWS Network Firewall子網」時,當前狀態可能是「ID 子網 -1234 的子網在可用區 us-east-1e 中缺少 Network Firewall 子網」,並且描述可能是「Firewall Manager 無法在此可用區創建子網,因為沒有可用的 CIDR 塊。」

      • 路由管理違規— 對於使用監視模式的 Network Firewall 策略,Firewall Manager 在子網、Internet 網關和 Network Firewall 子網路由表中顯示基本子網信息以及預期路由和實際路由。Firewall Manager 會警告您,如果實際路由與路由表中的預期路由不匹配,則存在違規情況。

      • 路由管理違規的修正操作— 對於使用監視模式的 Network Firewall 策略,Firewall Manager 建議對具有違規的路由配置採取可能的修復操作。

      範例 — 路由管理違規和修正建議

      子網預計會通過防火牆終端發送流量,但當前子網直接向 Internet 網關發送流量。這是一個路由管理違規。在這種情況下,建議的修正可能是有序操作的列表。首先是建議將所需路由添加到 Network Firewall 子網的路由表中,以便將傳出流量定向到 Internet 網關,並將 VPC 內目標的傳入流量定向到`local`。第二個建議是替換子網路由表中的 Internet 網關路由或無效的 Network Firewall 路由,以將傳出流量定向到防火牆終端節點。第三個建議是將所需的路由添加到 Internet 網關的路由表中,以便將傳入流量定向到防火牆終端節點。

    • AWS::EC2:InternetGateway— 這用於啟用了監視模式的 Network Firewall 策略。

      • 路由管理違規— 如果 Internet 網關未與路由表關聯,或者 Internet 網關路由表中存在無效路由,則 Internet 網關不符合要求。

      • 路由管理違規的修正操作— Firewall Manager 建議可能採取的補救措施,以糾正路由管理違規。

      範例 1 — 路由管理違規和修正建議

      網路閘道未與路由表建立關聯。建議的修正操作可能是有序操作的列表。首先是建立路由表。第二個動作是將路由表與網際網路閘道建立關聯。第三個操作是將所需路由添加到 Internet 網關路由表中。

      範例 2 — 路由管理違規和修正建議

      Internet 網關與有效的路由表相關聯,但路由配置不正確。建議的修正可能是有序操作的列表。第一個建議是刪除無效路由。第二種方法是將所需路由添加到 Internet 網關路由表中。

    • AWS::NetworkFirewall::FirewallPolicy— 這用於 Network Firewall 策略。Firewall Manager 顯示有關 Network Firewall 防火牆策略的信息,該策略的修改方式使其不符合要求。該信息提供了預期的防火牆策略及其在客户帳户中找到的策略,因此您可以比較無狀態和有狀態規則組名稱和優先級設置、自定義操作名稱和默認無狀態操作設置。違規描述組件包含資源的預期狀態、當前不符合狀態的描述,以及導致差異的原因(如果可用)的説明。

    • AWS::EC2::VPC— 這用於 DNS 防火牆策略。Firewall Manager 顯示有關在 Firewall Manager DNS 防火牆策略範圍內且不符合策略的 VPC 的信息。提供的信息包括預期與 VPC 和實際規則組關聯的預期規則組。違規描述組件包含資源的預期狀態、當前不符合狀態的描述,以及導致差異的原因(如果可用)的説明。