檢視符合性資訊AWS Firewall Manager政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視符合性資訊AWS Firewall Manager政策

在多個 AWS 合規計劃中,第三方稽核人員會評估 AWS 服務的安全與合規,例如 SOC、PCI、FedRAMP、HIPAA。

若要了解AWS WAF或其他AWS服務的詳細資訊在特定合規計劃範圍內,請參閱AWS合規計劃的服務範圍。如需一般資訊,請參閱 AWS 合規計劃

您可使用 AWS Artifact 下載第三方稽核報告。如需詳細資訊,請參閱 AWS Artifact 中的下載報告

您使用 AWS 服務時的合規責任,取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。AWS 會提供以下資源協助您處理合規事宜:

  • 安全與合規快速入門指南 – 這些部署指南討論架構考量並提供在 AWS 上部署以安全及合規為重心之基準環境的步驟。

  • HIPAA 安全與合規架構白皮書 – 本白皮書說明公司可如何運用 AWS 來建立 HIPAA 合規的應用程式。

    注意

    並非所有服務都符合 HIPAA 規範。

  • AWS 合規資源 – 這組手冊和指南可能適用於您的產業和位置。

  • AWS Config 開發人員指南中的使用規則評估資源 – AWS Config 服務可評估資源組態對於內部實務、業界準則和法規的合規狀態。

  • AWS Security Hub – 此 AWS 服務可供您檢視 AWS 中的安全狀態,可助您檢查是否符合安全產業標準和最佳實務。

  • AWS Audit Manager – 此 AWS 服務可協助您持續稽核 AWS 使用情況,以簡化管理風險與法規與業界標準的法規遵循方式。

對於AWS Firewall Manager政策時,您可以檢視政策範圍內帳戶和資源的合規狀態。如果策略中的設定反映在帳號或資源的設定中,則帳號或資源符合 Firewall Manager 策略。每個原則類型都有自己的符合性需求,您可以在定義原則時進行調整。對於某些策略,您也可以檢視範圍資源中的詳細違規資訊,以協助您更好地瞭解和管理您的安全性風險。

檢視政策的合規資訊

  1. 登入AWS Management Console,然後在開啟 Firewall Manager 帳戶https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇政策。在 中帳號與資源索引標籤時,Firewall Manager 會列出組織中的帳號,並依原則範圍內的帳號和超出範圍的帳號分組。

    所以此政策範圍內的帳戶窗格列出了每個帳戶的合規狀態。A合規狀態表示原則已成功套用至帳戶的範圍內資源。A不合規狀態表示該原則尚未套用至帳戶的一或多個範圍內資源。

  4. 選擇不符合規範的帳戶。在帳號頁面中,Firewall Manager 會列出每個不相容資源的識別碼和類型,以及資源違反策略的原因。

    注意

    對於資源類型AWS::EC2::NetworkInterface(ENI)AWS::EC2::Instance時,Firewall Manager 可能會顯示有限數量的不合規資源。若要列出其他不相容的資源,請修正一開始針對帳戶顯示的資源。

  5. 如果 Firewall Manager 政策類型是內容安全稽核安全群組政策,則可以存取資源的詳細違規資訊。

    若要檢視違規詳細資料,請選擇資源。

    注意

    Firewall Manager 在新增詳細資源違規頁面之前發現不相容的資源可能沒有違規詳細資料。

    在資源頁面中,Firewall Manager 會根據資源類型列出違規的特定詳細資料。

    • AWS::EC2::NetworkInterface(ENI)— Firewall Manager 顯示資源不合規的安全群組相關資訊。選擇安全性群組以查看更多詳細資訊。

    • AWS::EC2::Instance— Firewall Manager 會顯示附加至 EC2 執行個體不相容的 ENI。此外,它也會顯示資源不合規的安全群組相關資訊。選擇安全性群組以查看更多詳細資訊。

    • AWS::EC2::SecurityGroup— Firewall Manager 會顯示下列違規詳細資料:

      • 不合規的安全群組規則— 違反規則,包括其通訊協定、連接埠範圍、IP CIDR 範圍和描述。

      • 參考的規則— 不符合標準的安全性群組規則違反的稽核安全性群組規則及其詳細資料。

      • 違規原因— 不合規發現的說明。

      • 修補動作— 建議採取動作 如果 Firewall Manager 無法判斷安全的補救動作,則此欄位為空白。

    • AWS::EC2::Subnet— 這是用於 Network Firewall 策略。Firewall Manager 會顯示子網路識別碼、VPC 識別碼和可用區域。如果適用,Firewall Manager 會包含違規的其他資訊,例如發生違規的原因,或子網路應與之相關聯的路由表識別碼。違規描述元件包含預期資源狀態的描述、目前、不相容的狀態,以及導致差異的原因描述 (如果有的話)。

      例如,子網路的預期狀態可能是「子網路應該包含AWS Network Firewall子網路」,目前狀態可能是「id 為子網路 1234 的子網路遺失可用區域 us-east-1e 中的 Network Firewall 子網路」,且描述可能是「Firewall Manager 無法在此 AZ 中建立子網路,因為沒有可用的 CIDR 區塊。」

      • 路由管理— 對於使用監視器模式的 Network Firewall 原則,Firewall Manager 會顯示基本子網路資訊,以及子網路、網際網路閘道和 Network Firewall 子網路路由表格中的預期和實際路由。如果實際路由不符合路由表格中的預期路由,Firewall Manager 會警示您發生違規。

      • 路由管理違規的修正動作— 對於使用監視器模式的 Network Firewall 策略,Firewall Manager 會針對發生違規的路由組態建議可能的補救動作。

      範例 — 路由管理違規和補救建議

      子網路預期會透過防火牆端點傳送流量,但目前的子網路會直接將流量傳送至網際網路閘道。這是路由管理違規。在此情況下,建議的補救可能是已排序動作的清單。首先是建議將所需路由新增至 Network Firewall 子網路的路由表,以將傳出流量導向網際網路閘道,並將 VPC 內目的地的傳入流量導向至`local`。第二個建議是取代子網路路由表中的網際網路閘道路由或無效的 Network Firewall 路由,以將傳出流量導向防火牆端點。第三個建議是將必要的路由新增至網際網路閘道的路由表,以將傳入流量導向防火牆端點。

    • AWS::EC2:InternetGateway— 這是用於已啟用監視器模式的 Network Firewall 策略。

      • 路由管理— 如果網際網路閘道與路由表沒有關聯,或網際網路閘道路由表中有無效的路由,則網際網路閘道不相容。

      • 路由管理違規的修正動作— Firewall Manager 會建議可能的補救動作來修復路由管理違規。

      範例 1 — 路由管理違規和補救建議

      網際網路閘道未與路由表建立關聯。建議的補救動作可能是已排序動作的清單。第一個動作是建立路由表。第二個動作是將路由表與網際網路閘道建立關聯。第三個動作是將所需的路由新增至網際網路閘道路由表。

      範例 2 — 路由管理違規和補救建議

      網際網路閘道與有效的路由表相關聯,但路由設定不正確。建議的補救可能是已排序動作的清單。第一個建議是刪除無效的路由。第二個是將所需的路由新增至網際網路閘道路由表。

    • AWS::NetworkFirewall::FirewallPolicy— 這是用於 Network Firewall 策略。Firewall Manager 會顯示 Network Firewall 防火牆原則的相關資訊,這些原則已修改,使其不相容。這些資訊提供預期的防火牆原則和它在客戶帳戶中找到的原則,因此您可以比較無狀態和可設定狀態的規則群組名稱和優先順序設定、自訂動作名稱和預設無狀態動作設定。違規描述元件包含預期資源狀態的描述、目前、不相容的狀態,以及導致差異的原因描述 (如果有的話)。

    • AWS::EC2::VPC— 這是用於 DNS 防火牆策略。Firewall Manager 會顯示位於 Firewall Manager DNS 防火牆原則範圍內的 VPC 相關資訊,而且這與原則不相容。提供的資訊包括預期與 VPC 和實際規則群組相關聯的預期規則群組。違規描述元件包含預期資源狀態的描述、目前、不相容的狀態,以及導致差異的原因描述 (如果有的話)。