檢視 AWS Firewall Manager 政策的合規資訊 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視 AWS Firewall Manager 政策的合規資訊

本節提供檢視 AWS Firewall Manager 政策範圍內帳戶和資源合規狀態的指引。如需在 中設定控制項 AWS 以維護雲端安全性和合規性的相關資訊,請參閱 Firewall Manager 的合規驗證

注意

為了讓 Firewall Manager 監控政策合規性, AWS Config 必須持續記錄受保護資源的組態變更。在您的 AWS Config 組態中,錄製頻率必須設定為連續,這是預設設定。

注意

若要在受保護的資源中維持適當的合規狀態,請避免重複變更 Firewall Manager 保護的狀態,無論是自動或手動。Firewall Manager 使用來自 的資訊 AWS Config 來偵測資源組態的變更。如果快速套用變更, AWS Config 可能會失去部分變更的追蹤,這可能會導致防火牆管理員中有關合規或修復狀態的資訊遺失。

如果您發現您使用 Firewall Manager 保護的資源具有不正確的合規或修復狀態,請先確定您沒有執行任何程序來變更或重設 Firewall Manager 保護,然後重新評估其中相關聯的組態規則,以重新整理資源的 AWS Config 追蹤 AWS Config。

如果您修改政策或範圍內資源,可能需要幾分鐘的時間,才能顯示合規狀態和詳細資訊的更新。

對於所有 AWS Firewall Manager 政策,您可以檢視政策範圍內帳戶和資源的合規狀態。如果政策中的設定反映在帳戶或資源的設定中,則帳戶或資源符合 Firewall Manager 政策。每個政策類型都有自己的合規要求,您可以在定義政策時調整。對於某些政策,您也可以檢視範圍內資源的詳細違規資訊,以協助您進一步了解和管理安全風險。

檢視政策的合規資訊

  1. AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇政策。在政策頁面的帳戶和資源索引標籤中,防火牆管理員會列出組織中的帳戶,並依政策範圍內的帳戶和範圍外的帳戶分組。

    政策範圍窗格內的帳戶會列出每個帳戶的合規狀態。合規狀態表示政策已成功套用至帳戶的所有範圍內資源。不合規狀態表示政策尚未套用至帳戶的一或多個範圍內資源。

  4. 選擇不合規的帳戶。在帳戶頁面中,防火牆管理員會列出每個不合規資源的 ID 和類型,以及資源違反政策的原因。

    注意

    針對資源類型 AWS::EC2::NetworkInterface(ENI) 和 AWS::EC2::Instance,防火牆管理員可能會顯示數量有限的不合規資源。若要列出其他不合規資源,請修正最初為帳戶顯示的資源。

  5. 如果 Firewall Manager 政策類型是內容稽核安全群組政策,您可以存取資源的詳細違規資訊。

    若要檢視違規詳細資訊,請選擇 資源。

    注意

    在新增詳細資源違規頁面之前,防火牆管理員發現不合規的資源可能沒有違規詳細資訊。

    在資源頁面中,防火牆管理員會根據資源類型列出有關違規的特定詳細資訊。

    • AWS::EC2::NetworkInterface (ENI) – Firewall Manager 會顯示資源未遵循的安全群組相關資訊。選擇安全群組以查看其詳細資訊。

    • AWS::EC2::Instance – Firewall Manager 會顯示連接至 EC2 執行個體的 ENI,而該執行個體不合規。它也會顯示資源未遵守的安全群組相關資訊。選擇安全群組以查看其詳細資訊。

    • AWS::EC2::SecurityGroup – Firewall Manager 會顯示下列違規詳細資訊:

      • 不合規的安全群組規則 – 違規的規則,包括其通訊協定、連接埠範圍、IP CIDR 範圍和描述。

      • 參考規則 – 不合規安全群組規則違反的稽核安全群組規則及其詳細資訊。

      • 違規原因 – 不合規問題清單的說明。

      • 修復動作 – 建議採取的動作。如果 Firewall Manager 無法判斷安全修補動作,則此欄位為空白。

    • AWS::EC2::Subnet – 用於網路 ACL 和網路防火牆政策。

      Firewall Manager 會顯示子網路 ID、VPC ID 和可用區域。如適用, Firewall Manager 會包含有關違規的其他資訊。違規描述元件包含資源預期狀態的描述、目前、不合規狀態,以及可用時造成差異的描述。

      網路防火牆違規

      • 路由管理違規 – 對於使用監控模式的網路防火牆政策,防火牆管理員會在子網路、網際網路閘道和網路防火牆子網路路由表中顯示基本子網路資訊,以及預期和實際路由。Firewall Manager 會提醒您,如果實際路由與路由表中的預期路由不相符,則會發生違規。

      • 路由管理違規的修補動作 – 對於使用監控模式的網路防火牆政策,防火牆管理員建議對違規的路由組態採取可能的修補動作。

      例如,假設子網路預期會透過防火牆端點傳送流量,但目前的子網路會直接將流量傳送至網際網路閘道。這是路由管理違規。在這種情況下,建議的補救措施可能是排序動作的清單。首先,建議將必要的路由新增至網路防火牆子網路的路由表,以將傳出流量導向網際網路閘道,並將 VPC 內目的地的傳入流量導向 `local`。第二個建議是取代網際網路閘道路由或子網路路由表中無效的網路防火牆路由,以將傳出流量導向防火牆端點。第三個建議是將必要的路由新增至網際網路閘道的路由表,以將傳入流量導向防火牆端點。

    • AWS::EC2:InternetGateway – 用於已啟用監控模式的網路防火牆政策。

      • 路由管理違規 – 如果網際網路閘道未與路由表建立關聯,或網際網路閘道路由表中有無效的路由,表示網際網路閘道不合規。

      • 路由管理違規的修補動作 – Firewall Manager 建議可能的修補動作,以修補路由管理違規。

      範例 1 – 路由管理違規和修復建議

      網際網路閘道未與路由表建立關聯。建議的修補動作可能是排序動作的清單。第一個動作是建立路由表。第二個動作是將路由表與網際網路閘道建立關聯。第三個動作是將所需的路由新增至網際網路閘道路由表。

      範例 2 – 路由管理違規和修復建議

      網際網路閘道與有效的路由表相關聯,但路由設定不正確。建議的修補可能是排序動作的清單。第一個建議是移除無效的路由。第二個是將所需的路由新增至網際網路閘道路由表。

    • AWS::NetworkFirewall::FirewallPolicy – 用於網路防火牆政策。Firewall Manager 會顯示有關網路防火牆防火牆政策的資訊,該政策已修改,使其不合規。此資訊提供預期的防火牆政策和在客戶帳戶中找到的政策,因此您可以比較無狀態和有狀態規則群組名稱和優先順序設定、自訂動作名稱和預設無狀態動作設定。違規描述元件包含資源預期狀態的描述、目前、不合規狀態,以及可用時造成差異的描述。

    • AWS::EC2::VPC – 用於 DNS 防火牆政策。Firewall Manager 會顯示有關 VPC 的資訊,該 VPC 位於 Firewall Manager DNS 防火牆政策的範圍內,且不符合政策。提供的資訊包括預期與 VPC 相關聯的預期規則群組和實際規則群組。違規描述元件包含資源預期狀態的描述、目前、不合規狀態,以及可用時造成差異的描述。

    • AWS::WAFv2::WebACL – 用於其組態指定修改現有 Web ACLs AWS WAF 的政策。Firewall Manager 會顯示與範圍內資源相關聯的 Web ACL 相關資訊,但無法完全相容於 Firewall Manager 的改造。例如,如果 Web ACL 也與不在政策範圍內的資源建立關聯,則 Firewall Manager 無法將其修改。