Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para Network Firewall
Estos controles de AWS Security Hub evalúan el servicio y los recursos de AWS Network Firewall.
Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[NetworkFirewall.1] Los firewalls de Network Firewall se deben implementar en varias zonas de disponibilidad
Requisitos relacionados: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)
Categoría: Recuperación > Resiliencia > Alta disponibilidad
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config: netfw-multi-az-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control evalúa si un firewall administrado mediante AWS Network Firewall se implementa en varias zonas de disponibilidad (AZ). Se produce un error en el control si un firewall se implementa en una sola AZ.
La infraestructura global de AWS incluye varias Regiones de AWS. Las AZ son ubicaciones físicamente independientes y aisladas de cada región que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Al implementar un firewall de Network Firewall en varias AZ, puede equilibrar y desviar el tráfico entre las AZ, lo que ayuda a diseñar soluciones de alta disponibilidad.
Corrección
Implementación de un firewall de Network Firewall en varias zonas de disponibilidad
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. En el panel de navegación, en Firewall de red, elija Firewalls.
En la página Firewalls, seleccione el nombre del firewall que quiere editar.
En la página de detalles del firewall, elija la pestaña Detalles del firewall.
En la sección Política asociada y VPC, elija Editar
Para agregar una nueva AZ, elija Agregar nueva subred. Seleccione la AZ y la subred que quiere utilizar. Seleccione al menos dos AZ.
Seleccione Guardar.
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::LoggingConfiguration
Regla de AWS Config: netfw-logging-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el registro está habilitado para un firewall de AWS Network Firewall. Se produce un error en el control si el registro no está habilitado para al menos un tipo de registro o si el destino del registro no existe.
El registro ayuda a mantener la fiabilidad, la disponibilidad y el rendimiento de los firewalls. En Network Firewall, el registro proporciona información detallada sobre el tráfico de red, incluida la hora en la que el motor con estado recibió un flujo de paquetes, información detallada acerca del flujo de paquetes y las medidas de regla de estado adoptadas respecto del flujo de paquetes.
Corrección
Para habilitar el registro en un firewall, consulte Updating a firewall's logging configuration en la Guía para desarrolladores de AWS Network Firewall.
[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config: netfw-policy-rule-group-associated
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una política de Network Firewall tiene asociados grupos de reglas con estado o sin estado. El control falla si no se asignan grupos de reglas sin estado o con estado.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon Virtual Private Cloud (Amazon VPC). La configuración de grupos de reglas con estado y sin estado ayuda a filtrar los paquetes y los flujos de tráfico, y define el manejo del tráfico predeterminado.
Corrección
Para añadir un grupo de reglas a una política de Network Firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall. Para obtener información sobre cómo crear y administrar grupos de reglas, consulte Grupos de reglas enAWS Network Firewall.
[NetworkFirewall.4] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes completos
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config: netfw-policy-default-action-full-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessDefaultActions: aws:drop,aws:forward_to_sfe(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes completos de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop o Forward, y da error si se selecciona Pass.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass se puede permitir el tráfico no deseado.
Corrección
Para cambiar la política de firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall. Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config: netfw-policy-default-action-fragment-packets
Tipo de horario: provocado por un cambio
Parámetros:
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(no personalizable)
Este control comprueba si la acción sin estado predeterminada para los paquetes fragmentados de una política de Network Firewall es eliminar o reenviar. El control se activa si se selecciona Drop o Forward, y da error si se selecciona Pass.
Una política de firewall define la forma en que su firewall supervisa y gestiona el tráfico en Amazon VPC. Puede configurar grupos de reglas sin estado y con estado para filtrar los paquetes y los flujos de tráfico. Si se establece de forma predeterminada a Pass se puede permitir el tráfico no deseado.
Corrección
Para cambiar la política de firewall, consulte Actualización de una política de firewall en la Guía para desarrolladores de AWS Network Firewall. Para las Acciones predeterminadas Sin estado, seleccione Editar. A continuación, seleccione Soltar o Reenviar a grupos de reglas con estado como Acción.
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(5)
Categoría: Proteger > Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::RuleGroup
Regla de AWS Config: netfw-stateless-rule-group-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de reglas sin estado en AWS Network Firewall contiene reglas. El control falla si no hay reglas en el grupo de reglas.
Un grupo de reglas contiene reglas que definen cómo el firewall procesa el tráfico en la VPC. Un grupo de reglas sin estado vacío, cuando está presente en una política de cortafuegos, puede dar la impresión de que el grupo de reglas procesará tráfico. Sin embargo, cuando el grupo de reglas sin estado está vacío, no procesa el tráfico.
Corrección
Para agregar reglas a su grupo de reglas de Network Firewall, consulte Actualización de un grupo de reglas con estado en la Guía para desarrolladores de AWS Network Firewall. En la página de detalles del firewall, en el Grupo de reglas sin estado, seleccione Editar para añadir reglas.
[NetworkFirewall.7] Los firewall de Network Firewall se deben etiquetar
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config: tagged-networkfirewall-firewall (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un firewall de AWS Network Firewall tiene etiquetas con claves específicas definidas en el parámetro requiredTagKeys. El control falla si el firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si el firewall no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un firewall de Network Firewall, consulte Etiquetado de recursos de AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall.
[NetworkFirewall.8] Las políticas de firewall de Network Firewall se deben etiquetar
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::NetworkFirewall::FirewallPolicy
Regla de AWS Config: tagged-networkfirewall-firewallpolicy (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si una política de firewall de AWS Network Firewall tiene etiquetas con claves específicas definidas en el parámetro requiredTagKeys. El control falla si la política de firewall no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza un error si la política de firewall no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también lo ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a una política de Network Firewall, consulte Etiquetado de recursos de AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall.
Los firewalls de Network Firewall [NetworkFirewall.9] deben tener habilitada la protección de eliminación
Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)
Categoría: Protección > Seguridad de red
Gravedad: media
Tipo de recurso: AWS::NetworkFirewall::Firewall
Regla de AWS Config: netfw-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un firewall de AWS Network Firewall tiene habilitada la protección contra eliminación. El control falla si la protección contra la eliminación no está habilitada en un firewall.
AWS Network Firewall es un servicio de detección de intrusiones y firewall de red gestionado y con estado que le permite inspeccionar y filtrar el tráfico hacia sus nubes privadas virtuales (VPC), desde ellas o entre ellas. La configuración de protección contra la eliminación protege contra la eliminación accidental del firewall.
Corrección
Para habilitar la protección contra eliminación en un firewall de Network Firewall existente, consulte Actualización de un firewall en la Guía para desarrolladores de AWS Network Firewall. Para Cambiar las protecciones, seleccione Habilitar. También puede activar la protección contra la eliminación invocando la API UpdateFirewallDeleteProtection y configurando el campo DeleteProtection como true.
