檢視AWS Firewall Manager原則的符合性資訊 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視AWS Firewall Manager原則的符合性資訊

要了解 AWS 服務 是否在特定法規遵循方案範圍內,請參閱法規遵循方案範圍內的 AWS 服務,並選擇您感興趣的法規遵循方案。如需一般資訊,請參閱 AWS 法規遵循方案

您可使用 AWS Artifact 下載第三方稽核報告。如需詳細資訊,請參閱 AWS Artifact 中的下載報告

您使用 AWS 服務 時的法規遵循責任取決於資料的敏感度、您的公司的合規目標,以及適用的法律和法規。AWS 提供以下資源協助您處理法規遵循事宜:

  • 安全與合規快速入門指南 – 這些部署指南討論在 AWS 上部署以安全及合規為重心的基準環境的架構考量和步驟。

  • Amazon Web Services 的 HIPAA 安全與法規遵循架構:本白皮書說明公司可如何運用 AWS 來建立符合 HIPAA 規定的應用程式。

    注意

    並非全部的 AWS 服務 都符合 HIPAA 資格。如需詳細資訊,請參閱 HIPAA 資格服務參照

  • AWS 合規資源:這組手冊和指南可能適用於您的產業和位置。

  • AWS 客戶合規指南:透過合規的角度了解共同的責任模式。這份指南橫跨多個架構 (包含國家標準技術研究所 (NIST)、支付卡產業安全標準委員會 (PCI) 和國際標準組織 (ISO)),總結保護 AWS 服務 的最佳實務並將指導方針對應至安全控制。

  • AWS Config 開發人員指南中的使用規則評估資源:AWS Config 服務可評估您的資源組態對於內部實務、業界準則和法規的合規狀態。

  • AWS Security Hub – 此 AWS 服務 可供您全面檢視 AWS 中的安全狀態。Security Hub 使用安全控制,可評估您的 AWS 資源並檢查您的法規遵循是否符合安全業界標準和最佳實務。如需支援的服務和控制清單,請參閱 Security Hub controls reference

  • AWS Audit Manager – 此 AWS 服務 可協助您持續稽核 AWS 使用情況,以簡化管理風險與法規與業界標準的法規遵循方式。

對於所有AWS Firewall Manager策略,您可以檢視策略範圍內之帳號和資源的符合性狀態。如果策略中的設定反映在帳號或資源的設定中,則帳號或資源符合 Firewall Manager 員策略。每個原則類型都有自己的符合性需求,您可以在定義原則時對其進行調整。對於某些策略,您也可以檢視範圍內資源的詳細違規資訊,以協助您進一步瞭解和管理安全風險。

若要檢視原則的符合性資訊
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇政策。在策略頁面的 [帳號和資源] 索引標籤中,Firewall Manager 會列出組織中的帳號,依策略範圍內的帳號和超出範圍的帳號進行分組。

    策略範圍內的帳號」窗格會列出每個帳號的合規性狀態。[符合標準] 狀態表示策略已成功套用至帳號的所有範圍內資源。「不符合標準」狀態表示該策略尚未套用至帳號的一或多個範圍內資源。

  4. 選擇不符合規定的帳戶。在帳號頁面中,Firewall Manager 會列出每個不相容資源的 ID 和類型,以及資源違反策略的原因。

    注意

    對於資源類型 AWS::EC2::NetworkInterface (ENI) 和 AWS::EC2::Instance Firewall Manager 員可能會顯示有限數量的不相容資源。若要列出其他不符合標準的資源,請修正帳號最初顯示的資源。

  5. 如果 Firewall Manager 員策略類型是內容稽核安全性群組策略,您可以存取資源的詳細違規資訊。

    若要檢視違規詳細資訊,請選擇資源。

    注意

    Firewall Manager 在新增詳細資源違規頁面之前發現不相容的資源可能沒有違規詳細資料。

    在資源頁面中,Firewall Manager 員會根據資源類型列出有關違規的特定詳細資料。

    • AWS::EC2::NetworkInterface(ENI) — Firewall Manager 員會顯示資源不符合之安全群組的相關資訊。選擇安全性群組以查看更多詳細資訊。

    • AWS::EC2::Instance— Firewall Manager 器顯示連接到不合規 EC2 實例的 ENI。它也會顯示資源不符合之安全性群組的相關資訊。選擇安全性群組以查看更多詳細資訊。

    • AWS::EC2::SecurityGroup— Firewall Manager 員會顯示下列違規詳細資訊:

      • 不相容的安全性群組規則 — 違反的規則,包括其通訊協定、連接埠範圍、IP CIDR 範圍和說明。

      • 參照的規則 — 不符合安全性群組規則違反的稽核安全性群組規則及其詳細資訊。

      • 違規原因 — 不符合性發現項目的說明。

      • 修正動作 — 建議採取的動作。如果 Firewall Manager 員無法判斷安全修復動作,此欄位為空白。

    • AWS::EC2::Subnet— 這是用於 Network Firewall 策略。「Firewall Manager 員」會顯示子網路識別碼、VPC ID 和可用區域。如果適用,Firewall Manager 會包含有關違規的其他資訊,例如發生違規的原因,或子網路應與之相關聯之路由表的識別碼。違規描述元件包含資源的預期狀態、目前不符合標準狀態的描述,以及造成差異之原因的描述 (如果有的話)。

      例如,子網路的預期狀態可能是「子網路應包含其可用區域中的子網AWS Network Firewall路」,目前的狀態可能是「具有 subnet-1234 的子網路缺少可用區域 us-east-1e 中的 Network Firewall 子網路」,而說明可能是「Firewall Manager 員無法在此 AZ 中建立子網路,因為沒有可用的 CIDR 區塊。」

      • 路由管理違規 — 對於使用監視模式的 Network Firewall 策略,Firewall Manager 會顯示基本子網路資訊,以及子網路、網際網路閘道和 Network Firewall 子網路路由表中的預期和實際路由。如果實際路由與路由表中的預期路由不符,則 Firewall Manager 員會警告您發生違規。

      • 路由管理違規的補救動作 — 對於使用監控模式的 Network Firewall 策略,Firewall Manager 會針對具有違規的路由組態建議可能的補救動作。

      範例 — 路由管理違規和補救建議

      子網路預期會透過防火牆端點傳送流量,但目前的子網路會將流量直接傳送至網際網路閘道。這是路由管理違規。在此情況下,建議的補救措施可能是已排序動作的清單。第一個建議是將必要的路由新增至「Network Firewall」子網路的路由表,以將外送流量導向至網際網路閘道,並將 VPC 內目的地的傳入流量導向至`local`。第二個建議是取代網際網路閘道路由或子網路路由表中無效的 Network Firewall 路由,以將外送流量導向防火牆端點。第三個建議是將必要的路由新增至網際網路閘道的路由表,以將內送流量導向到防火牆端點。

    • AWS::EC2:InternetGateway— 這用於已啟用監視模式的 Network Firewall 策略。

      • 路由管理違規 — 如果網際網路閘道與路由表沒有關聯,或網際網路閘道路由表中有無效的路由,則網際網路閘道不相容。

      • 路由管理違規的修正動作 — Firewall Manager 員會建議可能的補救動作,以補救路由管理違規。

      範例 1 — 路由管理違規和補救建議

      網際網路閘道與路由表沒有關聯。建議的補救動作可能是已排序動作的清單。第一個動作是建立路由表。第二個動作是將路由表與網際網路閘道相關聯。第三個動作是將必要的路由新增至網際網路閘道路由表。

      範例 2 — 路由管理違規和補救建議

      網際網路閘道與有效的路由表相關聯,但路由設定不正確。建議的補救可能是已排序動作的清單。第一個建議是刪除無效的路由。第二種方法是將所需的路由添加到互聯網網關路由表中。

    • AWS::NetworkFirewall::FirewallPolicy— 這是用於 Network Firewall 策略。「Firewall Manager 員」會顯示 Network Firewall 防火牆策略的相關資訊,這些策略已修改過的方式使其不相容。這些資訊提供預期的防火牆策略及其在客戶帳戶中找到的策略,因此您可以比較無狀態和可設定狀態的規則群組名稱和優先順序設定、自訂動作名稱以及預設無狀態動作設定。違規描述元件包含資源的預期狀態、目前不符合標準狀態的描述,以及造成差異之原因的描述 (如果有的話)。

    • AWS::EC2::VPC— 這是用於 DNS 防火牆策略。「Firewall Manager 員」會顯示位於 Firewall Manager 員 DNS 防火牆原則範圍內且不符合原則之 VPC 的相關資訊。提供的資訊包括預期與 VPC 和實際規則群組相關聯的預期規則群組。違規描述元件包含資源的預期狀態、目前不符合標準狀態的描述,以及造成差異之原因的描述 (如果有的話)。