Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Network Firewall
Estos AWS Security Hub los controles evalúan el AWS Network Firewall servicio y recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[NetworkFirewall.1] Los firewalls de Network Firewall deben implementarse en varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
AWS Config regla: netfw-multi-az-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control evalúa si un firewall se ha gestionado mediante AWS Network Firewall se implementa en varias zonas de disponibilidad (AZs). Se produce un error en el control si un firewall se implementa en una sola AZ.
AWS la infraestructura global incluye múltiples Regiones de AWS. AZsson ubicaciones aisladas y separadas físicamente dentro de cada región que están conectadas por redes de baja latencia, alto rendimiento y alta redundancia. Al implementar un firewall de Network Firewall en variosAZs, puede equilibrar y transferir el tráfico entre ellosAZs, lo que le ayuda a diseñar soluciones de alta disponibilidad.
Corrección
Implementación de un firewall de Network Firewall en múltiples AZs
Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/
. En el panel de navegación, en Firewall de red, elija Firewalls.
En la página Firewalls, seleccione el nombre del firewall que quiere editar.
En la página de detalles del firewall, elija la pestaña Detalles del firewall.
En la VPC sección Política y políticas asociadas, selecciona Editar
Para agregar una nueva AZ, elija Agregar nueva subred. Seleccione la AZ y la subred que quiere utilizar. Asegúrese de seleccionar al menos dosAZs.
Seleccione Guardar.
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::LoggingConfiguration
AWS Config regla: netfw-logging-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el registro está habilitado para un AWS Network Firewall firewall. Se produce un error en el control si el registro no está habilitado para al menos un tipo de registro o si el destino del registro no existe.
El registro ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de los firewalls. En Network Firewall, el registro proporciona información detallada sobre el tráfico de red, incluida la hora en la que el motor con estado recibió un flujo de paquetes, información detallada acerca del flujo de paquetes y las medidas de regla de estado adoptadas respecto del flujo de paquetes.
Corrección
Para habilitar el registro de un firewall, consulte Actualización de la configuración de registro de un firewall en AWS Network Firewall Guía para desarrolladores.
[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
AWS Config regla: netfw-policy-rule-group-associated
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una política de Network Firewall tiene asociados grupos de reglas con estado o sin estado. El control falla si no se asignan grupos de reglas sin estado o con estado.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon Virtual Private Cloud (AmazonVPC). La configuración de grupos de reglas con estado y sin estado ayuda a filtrar los paquetes y los flujos de tráfico, y define el manejo del tráfico predeterminado.
Corrección
Para agregar un grupo de reglas a una política de Network Firewall, consulte Actualización de una política de firewall en AWS Network Firewall Guía para desarrolladores. Para obtener información sobre la creación y administración de grupos de reglas, consulte Grupos de reglas en AWS Network Firewall.
[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 NIST CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
AWS Config regla: netfw-policy-default-action-full-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessDefaultActions: aws:drop,aws:forward_to_sfe(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes completos de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop o Forward, y da error si se selecciona Pass.
Una política de firewall define la forma en que tu firewall monitorea y gestiona el tráfico en AmazonVPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass se puede permitir el tráfico no deseado.
Corrección
Para cambiar tu política de firewall, consulta Cómo actualizar una política de firewall en la AWS Network Firewall Guía para desarrolladores. Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), .800-53.r5 CM-2 NIST
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
AWS Config regla: netfw-policy-default-action-fragment-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes fragmentados de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop o Forward, y da error si se selecciona Pass.
Una política de firewall define la forma en que tu firewall monitorea y gestiona el tráfico en AmazonVPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass se puede permitir el tráfico no deseado.
Corrección
Para cambiar tu política de firewall, consulta Cómo actualizar una política de firewall en la AWS Network Firewall Guía para desarrolladores. Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5)
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::RuleGroup
AWS Config regla: netfw-stateless-rule-group-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de reglas sin estado está en AWS Network Firewall contiene reglas. El control falla si no hay reglas en el grupo de reglas.
Un grupo de reglas contiene reglas que definen la forma en que su firewall procesa el tráfico en suVPC. Un grupo de reglas sin estado vacío, cuando está presente en una política de cortafuegos, puede dar la impresión de que el grupo de reglas procesará tráfico. Sin embargo, cuando el grupo de reglas sin estado está vacío, no procesa el tráfico.
Corrección
Para agregar reglas a su grupo de reglas de Network Firewall, consulte Actualización de un grupo de reglas con estado en AWS Network Firewall Guía para desarrolladores. En la página de detalles del firewall, en el Grupo de reglas sin estado, seleccione Editar para añadir reglas.
[NetworkFirewall.7] Los firewalls de Network Firewall deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::NetworkFirewall::Firewall
AWS Config regla: tagged-networkfirewall-firewall (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS requisitos |
No default value
|
Este control comprueba si un AWS Network Firewall el firewall tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el firewall no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.
Corrección
Para añadir etiquetas a un firewall de Network Firewall, consulte Etiquetado AWS Network Firewall recursos en el AWS Network Firewall Guía para desarrolladores.
[NetworkFirewall.8] Las políticas de firewall de Network Firewall deben estar etiquetadas
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
AWS Config regla: tagged-networkfirewall-firewallpolicy (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS requisitos |
No default value
|
Este control comprueba si un AWS Network Firewall la política de firewall tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si la política de firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si la política de firewall no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a AWS recursos. Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, incluyendo AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar su AWS recursos en el Referencia general de AWS.
Corrección
Para añadir etiquetas a una política de Network Firewall, consulte Etiquetado AWS Network Firewall recursos en el AWS Network Firewall Guía para desarrolladores.
[NetworkFirewall.9] Los firewalls de Network Firewall deben tener habilitada la protección contra eliminaciones
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Categoría: Proteger > Seguridad de red
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
AWS Config regla: netfw-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS Network Firewall el firewall tiene habilitada la protección contra eliminaciones. El control falla si la protección contra la eliminación no está habilitada en un firewall.
AWS Network Firewall es un servicio de detección de intrusiones y firewall de red gestionado y con estado que le permite inspeccionar y filtrar el tráfico hacia, desde o entre sus nubes privadas virtuales ()VPCs. La configuración de protección contra la eliminación protege contra la eliminación accidental del firewall.
Corrección
Para habilitar la protección contra la eliminación en un firewall de Network Firewall existente, consulte Actualización de un firewall en AWS Network Firewall Guía para desarrolladores. Para Cambiar las protecciones, seleccione Habilitar. También puede activar la protección contra la eliminación invocando el DeleteProtection campo UpdateFirewallDeleteProtectionAPIy configurándolo en. true
