Visualización de información de conformidad para una política de AWS Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Visualización de información de conformidad para una política de AWS Firewall Manager

En esta sección, se proporciona una guía para visualizar el estado de conformidad de las cuentas y los recursos que están dentro del alcance de una política de AWS Firewall Manager. Para obtener información sobre los controles implementados en AWS para mantener la seguridad y el cumplimiento de la nube, consulte Validación de la conformidad en Firewall Manager.

nota

Para que Firewall Manager supervise el cumplimiento de las políticas, AWS Config debe registrar de manera continua los cambios de configuración de los recursos protegidos. En la configuración de AWS Config, la frecuencia de registro debe establecerse en Continua, que es la configuración predeterminada.

nota

Para mantener un estado de conformidad adecuado en sus recursos protegidos, evite cambiar repetidamente el estado de las protecciones de Firewall Manager, ya sea de forma manual o automática. Firewall Manager utiliza la información de AWS Config para detectar cambios en las configuraciones de los recursos. Si los cambios se aplican con la suficiente rapidez, AWS Config puede perder el rastro de algunos de ellos, lo que provocaría la pérdida de información sobre el cumplimiento o el estado de corrección en Firewall Manager.

Si ve que un recurso que está protegiendo con Firewall Manager tiene un estado de conformidad o corrección incorrecto, primero asegúrese de que no está ejecutando ningún proceso que altere o restablezca las protecciones de Firewall Manager y, a continuación, actualice el seguimiento del recurso de AWS Config reevaluando las reglas de configuración asociadas en AWS Config.

Puede visualizar el estado de conformidad de las cuentas y los recursos que están dentro del ámbito de aplicación de una política para todas las políticas de AWS Firewall Manager. Una cuenta o un recurso cumple con una política de Firewall Manager si la configuración de la política se refleja en la configuración de la cuenta o el recurso. Cada tipo de política tiene sus propios requisitos de conformidad, que puede ajustar al definir la política. En el caso de algunas políticas, también puede ver información detallada sobre las infracciones en los recursos incluidos en el ámbito de aplicación, que le ayudarán a comprender y gestionar mejor los riesgos de seguridad.

Cómo visualizar la información de conformidad de una política

  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija una política. En la pestaña Cuentas y recursos de la página de políticas, Firewall Manager muestra las cuentas de su organización, agrupadas por las que se encuentran dentro del ámbito de la política y las que se encuentran fuera de dicho ámbito.

    En el panel Cuentas dentro del ámbito de la política se muestra el estado de conformidad de cada cuenta. Un estado Conforme indica que la política se ha aplicado correctamente a todos los recursos dentro de su ámbito de la cuenta. Un estado No conforme indica que la política no se ha aplicado a uno más recursos dentro de su ámbito de la cuenta.

  4. Elija una cuenta que no sea conforme. En la página de la cuenta, Firewall Manager muestra el identificador y el tipo de cada recurso no conforme y el motivo por el que el recurso infringe la política.

    nota

    Para los tipos de recursos AWS::EC2::NetworkInterface (ENI) y AWS::EC2::Instance, Firewall Manager podría mostrar un número limitado de recursos no conformes. Para enumerar otros recursos no conformes, corrija los que se muestran inicialmente para la cuenta.

  5. Si el tipo de política de Firewall Manager es una política de grupo de seguridad de auditoría de contenido, puede acceder a la información detallada sobre las infracciones de un recurso.

    Para ver los detalles sobre la infracción, elija el recurso.

    nota

    Es posible que los recursos no conformes que Firewall Manager encuentre antes de añadir la página detallada sobre infracciones de recursos no tengan detalles sobre infracciones.

    En la página de recursos, Firewall Manager muestra detalles específicos sobre la infracción, según el tipo de recurso.

    • AWS::EC2::NetworkInterface (ENI): Firewall Manager muestra información sobre el grupo de seguridad que el recurso no cumple. Elija el grupo de seguridad para ver más detalles sobre él.

    • AWS::EC2::Instance: Firewall Manager muestra el ENI asociado a la instancia de EC2 que no es compatible. También muestra información sobre el grupo de seguridad que los recursos no cumplen. Elija el grupo de seguridad para ver más detalles sobre él.

    • AWS::EC2::SecurityGroup: Firewall Manager muestra los siguientes detalles de infracción:

      • Regla de grupo de seguridad no conforme: la regla que causa la infracción, incluidos su protocolo, rango de puertos, rango de IP CIDR y descripción.

      • Regla referenciada: la regla del grupo de seguridad de auditoría que infringe la regla del grupo de seguridad no conforme, con sus detalles.

      • Motivos de la infracción: explicación del resultado no conforme.

      • Acción correctiva: la acción que se sugiere tomar. Si Firewall Manager no puede determinar una acción correctiva segura, este campo está en blanco.

    • AWS::EC2::Subnet: se utiliza para las políticas de la ACL de red y Network Firewall.

      Firewall Manager muestra el ID de subred, el ID de VPC y la zona de disponibilidad. Si corresponde, Firewall Manager incluye información adicional sobre la infracción. El componente de descripción de la infracción contiene una descripción del estado esperado del recurso, el estado actual de no conformidad y, si está disponible, una descripción de la causa de la discrepancia.

      Infracciones de Network Firewall

      • Infracciones en la administración de rutas: en el caso de las políticas de Network Firewall que utilizan el modo Monitor, Firewall Manager muestra información básica de subred, así como las rutas esperadas y reales de la subred, la puerta de enlace de Internet y la tabla de enrutamiento de subred de Network Firewall. Firewall Manager le avisa de que existe una infracción si las rutas reales no coinciden con las rutas esperadas en la tabla de enrutamiento.

      • Acciones correctivas en caso de infracciones en la administración de rutas: en el caso de las políticas de Network Firewall que utilizan el modo Monitor, Firewall Manager sugiere posibles acciones correctivas en las configuraciones de rutas que contengan infracciones.

      Por ejemplo, se espera que una subred envíe tráfico a través de los puntos de conexión del firewall, pero la subred actual envía el tráfico directamente a la puerta de enlace de Internet. Se trata de una infracción de la administración de rutas. La corrección sugerida en este caso podría ser una lista de acciones ordenadas. La primera es la recomendación de agregar las rutas necesarias a la tabla de enrutamiento de la subred de Firewall Network para dirigir el tráfico saliente a la puerta de enlace de Internet y el tráfico entrante para los destinos en la VPC hacia `local`. La segunda recomendación es reemplazar la ruta de la puerta de enlace de Internet o la ruta no válida de Network Firewall en la tabla de enrutamiento de la subred para dirigir el tráfico saliente a los puntos de conexión del firewall. La tercera recomendación consiste en agregar las rutas necesarias a la tabla de enrutamiento de la puerta de enlace de Internet para dirigir el tráfico entrante a los puntos de conexión del firewall.

    • AWS::EC2:InternetGateway: se usa para las políticas de Network Firewall que tienen habilitado el modo Monitor.

      • Infracciones en la administración de rutas: la puerta de enlace de Internet no es conforme si no está asociada a una tabla de enrutamiento o si hay una ruta no válida en la tabla de enrutamiento de la puerta de enlace de Internet.

      • Acciones correctivas en caso de infracciones en la administración de rutas: Firewall Manager sugiere posibles acciones correctivas para subsanar las infracciones en la administración de rutas.

      ejemplo 1. Infracción en la administración de rutas y sugerencias de corrección

      Una puerta de enlace de Internet no está asociada a una tabla de enrutamiento. Las acciones de corrección sugeridas podrían ser una lista de acciones ordenadas. La primera acción es crear una tabla de enrutamiento. La segunda acción es asociar la tabla de enrutamiento con la puerta de enlace de Internet. La tercera acción consiste en añadir la ruta requerida a la tabla de enrutamiento de la puerta de enlace de Internet.

      ejemplo 2. Infracción en la administración de rutas y sugerencias de corrección

      La puerta de enlace de Internet está asociada a una tabla de enrutamiento válida, pero la ruta no está configurada correctamente. La corrección sugerida podría ser una lista de acciones ordenadas. La primera sugerencia es eliminar la ruta no válida. La tercera consiste en agregar la ruta requerida a la tabla de enrutamiento de la puerta de enlace de Internet.

    • AWS::NetworkFirewall::FirewallPolicy: se utiliza para las políticas de Network Firewall. Firewall Manager muestra información sobre una política de firewall de Network Firewall que se ha modificado de forma que no sea conforme. La información proporciona la política de firewall esperada y la política que encontró en la cuenta del cliente, de modo que puede comparar los nombres de los grupos de reglas sin y con estado y las configuraciones de prioridad, los nombres de las acciones personalizadas y la configuración predeterminada de las acciones sin estado. El componente de descripción de la infracción contiene una descripción del estado esperado del recurso, el estado actual de no conformidad y, si está disponible, una descripción de la causa de la discrepancia.

    • AWS::EC2::VPC: se utiliza para las políticas de DNS Firewall. Firewall Manager muestra información sobre una VPC que está dentro del ámbito de aplicación de una política de DNS Firewall de Firewall Manager y que no la cumple. La información proporcionada incluye los grupos de reglas esperadas que se espera que estén asociadas a la VPC y los propios grupos de reglas. El componente de descripción de la infracción contiene una descripción del estado esperado del recurso, el estado actual de no conformidad y, si está disponible, una descripción de la causa de la discrepancia.

    • AWS::WAFv2::WebACL: se utiliza para las políticas de AWS WAF cuya configuración especifica la adaptación de las ACL web existentes. Firewall Manager muestra información sobre una ACL web que está asociada a un recurso dentro del ámbito, pero no es totalmente compatible con la adaptación por parte de Firewall Manager. Por ejemplo, si la ACL web también está asociada a un recurso que no está dentro del ámbito de la política, Firewall Manager no puede adaptarla.