本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢視 AWS Firewall Manager 原則的符合性資訊
本節提供檢視 AWS Firewall Manager 策略範圍內之帳號和資源之符合性狀態的指引。如需維護雲端安全性與合規性之控制項的相關資訊,請參閱Firewall Manager 員的合規驗證。 AWS
注意
若要讓「Firewall Manager 員」監控策略符合性, AWS Config 必須持續記錄受保護資源的組態變更。在您的 AWS Config 配置中,錄製頻率必須設置為連續,這是默認設置。
注意
若要在受保護的資源中維持適當的符合性狀態,請避免自動或手動重複變更 Firewall Manager 防護的狀態。Firewall Manager 員會使用的資訊 AWS Config 來偵測資源組態的變更。如果套用變更的速度不夠快, AWS Config 可能會遺失其中一些變更,這可能會導致 Firewall Manager 員中的符合性或修復狀態相關資訊遺失。
如果您發現使用 Firewall Manager 保護的資源具有不正確的合規性或修復狀態,請先確定您沒有執行任何會變更或重設 Firewall Manager 保護的程序,然後重新評估中的相關組態規則來重新整理資源的 AWS Config 追蹤。 AWS Config
對於所有 AWS Firewall Manager 策略,您可以檢視策略範圍內之帳號和資源的符合性狀態。如果策略中的設定反映在帳號或資源的設定中,則帳號或資源符合 Firewall Manager 員策略。每個原則類型都有自己的符合性需求,您可以在定義原則時對其進行調整。對於某些策略,您也可以檢視範圍內資源的詳細違規資訊,以協助您進一步瞭解和管理安全風險。
若要檢視原則的符合性資訊
-
AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2
。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。 注意
如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。
-
在導覽窗格中,選擇 Security policies (安全群組政策)。
-
選擇政策。在策略頁面的 [帳號和資源] 索引標籤中,Firewall Manager 會列出組織中的帳號,依策略範圍內的帳號和超出範圍的帳號進行分組。
策略範圍內的帳號」窗格會列出每個帳號的合規性狀態。[符合標準] 狀態表示策略已成功套用至帳號的所有範圍內資源。「不符合標準」狀態表示該策略尚未套用至帳號的一或多個範圍內資源。
-
選擇不符合規定的帳戶。在帳號頁面中,Firewall Manager 會列出每個不相容資源的 ID 和類型,以及資源違反策略的原因。
注意
對於資源類型
AWS::EC2::NetworkInterface(ENI) 和AWS::EC2::InstanceFirewall Manager 員可能會顯示有限數量的不相容資源。若要列出其他不符合標準的資源,請修正帳號最初顯示的資源。 -
如果 Firewall Manager 員策略類型是內容稽核安全性群組策略,您可以存取資源的詳細違規資訊。
若要檢視違規詳細資訊,請選擇資源。
注意
Firewall Manager 在新增詳細資源違規頁面之前發現不相容的資源可能沒有違規詳細資料。
在資源頁面中,Firewall Manager 員會根據資源類型列出有關違規的特定詳細資料。
-
AWS::EC2::NetworkInterface(ENI) — Firewall Manager 員會顯示資源不符合之安全群組的相關資訊。選擇安全性群組以查看更多詳細資訊。 -
AWS::EC2::Instance— Firewall Manager 器顯示連接到不合規 EC2 實例的 ENI。它也會顯示資源不符合之安全性群組的相關資訊。選擇安全性群組以查看更多詳細資訊。 -
AWS::EC2::SecurityGroup— Firewall Manager 員會顯示下列違規詳細資訊:-
不相容的安全性群組規則 — 違反的規則,包括其通訊協定、連接埠範圍、IP CIDR 範圍和說明。
-
參照的規則 — 不符合安全性群組規則違反的稽核安全性群組規則及其詳細資訊。
-
違規原因 — 不符合性發現項目的說明。
-
修正動作 — 建議採取的動作。如果「Firewall Manager 員」無法判斷安全修復動作,則此欄位為空白。
-
-
AWS::EC2::Subnet— 這是用於 Network Firewall 策略。「Firewall Manager 員」會顯示子網路識別碼、VPC ID 和可用區域。如果適用,Firewall Manager 會包含有關違規的其他資訊,例如發生違規的原因,或子網路應與之相關聯之路由表的識別碼。違規描述元件包含資源的預期狀態、目前不符合標準狀態的描述,以及造成差異之原因的描述 (如果有的話)。例如,子網路的預期狀態可能是「子網路應包含其可用區域中的子網 AWS Network Firewall 路」,目前的狀態可能是「具有 subnet-1234 的子網路缺少可用區域 us-east-1e 中的 Network Firewall 子網路」,而說明可能是「Firewall Manager 員無法在此 AZ 中建立子網路,因為沒有可用的 CIDR 區塊。」
路由管理違規 — 對於使用監控模式的 Network Firewall 策略,Firewall Manager 會顯示基本子網路資訊,以及子網路、網際網路閘道和 Network Firewall 子網路路由表中的預期和實際路由。如果實際路由與路由表中的預期路由不符,則 Firewall Manager 員會警告您發生違規行為。
路由管理違規的補救動作 — 對於使用監控模式的 Network Firewall 策略,Firewall Manager 會針對具有違規的路由組態建議可能的補救動作。
範例 — 路由管理違規和補救建議
子網路預期會透過防火牆端點傳送流量,但目前的子網路會將流量直接傳送至網際網路閘道。這是路由管理違規。在此情況下,建議的補救措施可能是已排序動作的清單。第一個建議是將必要的路由新增至「Network Firewall」子網路的路由表,以將外送流量導向至網際網路閘道,並將 VPC 內目的地的傳入流量導向至
`local`。第二個建議是取代網際網路閘道路由或子網路路由表中無效的 Network Firewall 路由,以將外送流量導向防火牆端點。第三個建議是將必要的路由新增至網際網路閘道的路由表,以將內送流量導向到防火牆端點。 -
AWS::EC2:InternetGateway— 這是用於已啟用監視模式的 Network Firewall 策略。路由管理違規 — 如果網際網路閘道與路由表沒有關聯,或網際網路閘道路由表中有無效的路由,則網際網路閘道不符合標準。
路由管理違規的修正動作 — Firewall Manager 員會建議可能的補救動作,以補救路由管理違規。
範例 1 — 路由管理違規和補救建議
網際網路閘道與路由表沒有關聯。建議的修正動作可能是已排序動作的清單。第一個動作是建立路由表。第二個動作是將路由表與網際網路閘道相關聯。第三個動作是將必要的路由新增至網際網路閘道路由表。
範例 2 — 路由管理違規和補救建議
網際網路閘道與有效的路由表相關聯,但路由設定不正確。建議的補救可能是已排序動作的清單。第一個建議是刪除無效的路由。第二種方法是將所需的路由添加到互聯網網關路由表中。
-
AWS::NetworkFirewall::FirewallPolicy— 這是用於 Network Firewall 策略。「Firewall Manager 員」會顯示 Network Firewall 防火牆策略的相關資訊,這些策略已修改過的方式使其不相容。這些資訊提供預期的防火牆策略及其在客戶帳戶中找到的策略,因此您可以比較無狀態和可設定狀態的規則群組名稱和優先順序設定、自訂動作名稱以及預設無狀態動作設定。違規描述元件包含資源的預期狀態、目前不符合標準狀態的描述,以及造成差異之原因的描述 (如果有的話)。 -
AWS::EC2::VPC— 這是用於 DNS 防火牆策略。「Firewall Manager 員」會顯示位於 Firewall Manager 員 DNS 防火牆原則範圍內且不符合原則之 VPC 的相關資訊。提供的資訊包括預期與 VPC 和實際規則群組相關聯的預期規則群組。違規描述元件包含資源的預期狀態、目前不符合標準狀態的描述,以及造成差異之原因的描述 (如果有的話)。
-
