Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Network Firewall
Estos AWS Security Hub controles evalúan el AWS Network Firewall servicio y los recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config : netfw-multi-az-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control evalúa si un firewall gestionado a través de él AWS Network Firewall está implementado en varias zonas de disponibilidad (). AZs Se produce un error en el control si un firewall se implementa en una sola AZ.
AWS la infraestructura global incluye varias Regiones de AWS. AZsson ubicaciones aisladas y separadas físicamente dentro de cada región que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Al implementar un firewall de Network Firewall en variosAZs, puede equilibrar y transferir el tráfico entre ellosAZs, lo que le ayuda a diseñar soluciones de alta disponibilidad.
Corrección
Implementación de un firewall de Network Firewall en múltiples AZs
Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/
. En el panel de navegación, en Firewall de red, elija Firewalls.
En la página Firewalls, seleccione el nombre del firewall que quiere editar.
En la página de detalles del firewall, elija la pestaña Detalles del firewall.
En la VPC sección y política asociadas, selecciona Editar
Para agregar una nueva AZ, elija Agregar nueva subred. Seleccione la AZ y la subred que quiere utilizar. Asegúrese de seleccionar al menos dosAZs.
Seleccione Guardar.
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::LoggingConfiguration
Regla de AWS Config : netfw-logging-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control AWS Network Firewall comprueba si el registro está habilitado para un firewall. Se produce un error en el control si el registro no está habilitado para al menos un tipo de registro o si el destino del registro no existe.
El registro ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de los firewalls. En Network Firewall, el registro proporciona información detallada sobre el tráfico de red, incluida la hora en la que el motor con estado recibió un flujo de paquetes, información detallada acerca del flujo de paquetes y las medidas de regla de estado adoptadas respecto del flujo de paquetes.
Corrección
Para habilitar el registro en un firewall, consulte Updating a firewall's logging configuration en la Guía para desarrolladores de AWS Network Firewall .
[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config : netfw-policy-rule-group-associated
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una política de Network Firewall tiene asociados grupos de reglas con estado o sin estado. El control falla si no se asignan grupos de reglas sin estado o con estado.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon Virtual Private Cloud (AmazonVPC). La configuración de grupos de reglas con estado y sin estado ayuda a filtrar los paquetes y los flujos de tráfico, y define el manejo del tráfico predeterminado.
Corrección
Para añadir un grupo de reglas a una política de Network Firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall . Para obtener información sobre cómo crear y administrar grupos de reglas, consulte Grupos de reglas en AWS Network Firewall.
[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 NIST CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config : netfw-policy-default-action-full-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessDefaultActions: aws:drop,aws:forward_to_sfe(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes completos de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop o Forward, y da error si se selecciona Pass.
Una política de firewall define la forma en que tu firewall monitorea y gestiona el tráfico en AmazonVPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass se puede permitir el tráfico no deseado.
Corrección
Para cambiar la política de firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall . Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config : netfw-policy-default-action-fragment-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes fragmentados de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop o Forward, y da error si se selecciona Pass.
Una política de firewall define la forma en que tu firewall monitorea y gestiona el tráfico en AmazonVPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass se puede permitir el tráfico no deseado.
Corrección
Para cambiar la política de firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall . Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5)
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::RuleGroup
Regla de AWS Config : netfw-stateless-rule-group-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de reglas sin estado AWS Network Firewall contiene reglas. El control falla si no hay reglas en el grupo de reglas.
Un grupo de reglas contiene reglas que definen cómo su firewall procesa el tráfico en suVPC. Un grupo de reglas sin estado vacío, cuando está presente en una política de cortafuegos, puede dar la impresión de que el grupo de reglas procesará tráfico. Sin embargo, cuando el grupo de reglas sin estado está vacío, no procesa el tráfico.
Corrección
Para agregar reglas a su grupo de reglas de Network Firewall, consulte Actualización de un grupo de reglas con estado en la Guía para desarrolladores de AWS Network Firewall . En la página de detalles del firewall, en el Grupo de reglas sin estado, seleccione Editar para añadir reglas.
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config : tagged-networkfirewall-firewall (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS los requisitos |
No default value
|
Este control comprueba si un AWS Network Firewall firewall tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el firewall no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un firewall de Network Firewall, consulte Etiquetado de AWS Network Firewall recursos en la Guía para AWS Network Firewall desarrolladores.
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config : tagged-networkfirewall-firewallpolicy (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS los requisitos |
No default value
|
Este control comprueba si una política de AWS Network Firewall firewall tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la política de firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la política de firewall no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a una política de Network Firewall, consulte Etiquetado de AWS Network Firewall recursos en la Guía para AWS Network Firewall desarrolladores.
[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección de eliminación
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoría: Proteger > Seguridad de red
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config : netfw-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS Network Firewall firewall tiene habilitada la protección contra la eliminación. El control falla si la protección contra la eliminación no está habilitada en un firewall.
AWS Network Firewall es un servicio de detección de intrusos y firewall de red gestionado y con estado que le permite inspeccionar y filtrar el tráfico hacia, desde o entre sus nubes privadas virtuales ()VPCs. La configuración de protección contra la eliminación protege contra la eliminación accidental del firewall.
Corrección
Para habilitar la protección contra eliminación en un firewall de Network Firewall existente, consulte Actualización de un firewall en la Guía para desarrolladores de AWS Network Firewall . Para Cambiar las protecciones, seleccione Habilitar. También puede activar la protección contra la eliminación invocando el campo UpdateFirewallDeleteProtectionAPIy configurándolo enDeleteProtection. true
