Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Network Firewall
Ces AWS Security Hub les contrôles évaluent le AWS Network Firewall service et ressources.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::Firewall
AWS Config règle : netfw-multi-az-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle évalue si un pare-feu est géré via AWS Network Firewall est déployé dans plusieurs zones de disponibilité (AZs). Le contrôle échoue si un pare-feu est déployé dans une seule zone de disponibilité.
AWS l'infrastructure mondiale comprend plusieurs Régions AWS. AZssont des sites isolés physiquement séparés au sein de chaque région, connectés par un réseau à faible latence, à haut débit et hautement redondant. En déployant un pare-feu Network Firewall sur plusieurs sitesAZs, vous pouvez équilibrer et transférer le trafic entre euxAZs, ce qui vous permet de concevoir des solutions à haute disponibilité.
Correction
Déploiement d'un pare-feu Network Firewall sur plusieurs AZs
Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/
. Dans le volet de navigation, sous Network Firewall, sélectionnez Firewalls.
Sur la page Pare-feu, sélectionnez le pare-feu que vous souhaitez modifier.
Sur la page des détails du pare-feu, choisissez l'onglet Détails du pare-feu.
Dans la section Politique et VPC section associées, choisissez Modifier
Pour ajouter un nouvel AZ, choisissez Ajouter un nouveau sous-réseau. Sélectionnez l'AZ et le sous-réseau que vous souhaitez utiliser. Assurez-vous d'en sélectionner au moins deuxAZs.
Choisissez Save (Enregistrer).
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
Exigences connexes : NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST NIST
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::LoggingConfiguration
AWS Config règle : netfw-logging-enabled
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si la journalisation est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la journalisation n'est pas activée pour au moins un type de journal ou si la destination de journalisation n'existe pas.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances de vos pare-feux. Dans Network Firewall, la journalisation fournit des informations détaillées sur le trafic réseau, notamment l'heure à laquelle le moteur dynamique a reçu un flux de paquets, des informations détaillées sur le flux de paquets et toute action de règle dynamique prise à l'encontre du flux de paquets.
Correction
Pour activer la journalisation pour un pare-feu, voir Mettre à jour la configuration de journalisation d'un pare-feu dans le AWS Network Firewall Guide du développeur.
[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
AWS Config règle : netfw-policy-rule-group-associated
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une politique Network Firewall est associée à des groupes de règles avec ou sans état. Le contrôle échoue si aucun groupe de règles apatride ou dynamique n'est attribué.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon Virtual Private Cloud (AmazonVPC). La configuration de groupes de règles apatrides et dynamiques permet de filtrer les paquets et les flux de trafic et de définir la gestion du trafic par défaut.
Correction
Pour ajouter un groupe de règles à une politique de Network Firewall, consultez la section Mise à jour d'une politique de pare-feu dans le AWS Network Firewall Guide du développeur. Pour plus d'informations sur la création et la gestion de groupes de règles, consultez la section Groupes de règles dans AWS Network Firewall.
[NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
AWS Config règle : netfw-policy-default-action-full-packets
Type de calendrier : changement déclenché
Paramètres :
statelessDefaultActions: aws:drop,aws:forward_to_sfe(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets complets dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si Drop ou Forward est sélectionné, et échoue s'il Pass est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic sur AmazonVPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut Pass peut autoriser le trafic involontaire.
Correction
Pour modifier votre politique de pare-feu, consultez la section Mettre à jour une politique de pare-feu dans le AWS Network Firewall Guide du développeur. Pour les actions par défaut sans état, choisissez Modifier. Choisissez ensuite Supprimer ou Transférer vers des groupes de règles dynamiques en tant qu'action.
[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
AWS Config règle : netfw-policy-default-action-fragment-packets
Type de calendrier : changement déclenché
Paramètres :
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets fragmentés dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si Drop ou Forward est sélectionné, et échoue s'il Pass est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic sur AmazonVPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut Pass peut autoriser le trafic involontaire.
Correction
Pour modifier votre politique de pare-feu, consultez la section Mettre à jour une politique de pare-feu dans le AWS Network Firewall Guide du développeur. Pour les actions par défaut sans état, choisissez Modifier. Choisissez ensuite Supprimer ou Transférer vers des groupes de règles dynamiques en tant qu'action.
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
Exigences connexes : NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5)
Catégorie : Protection > Configuration réseau sécurisée
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::RuleGroup
AWS Config règle : netfw-stateless-rule-group-not-empty
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe de règles apatrides dans AWS Network Firewall contient des règles. Le contrôle échoue s'il n'existe aucune règle dans le groupe de règles.
Un groupe de règles contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votreVPC. Un groupe de règles apatrides vide, lorsqu'il est présent dans une politique de pare-feu, peut donner l'impression que le groupe de règles traitera le trafic. Toutefois, lorsque le groupe de règles apatrides est vide, il ne traite pas le trafic.
Correction
Pour ajouter des règles à votre groupe de règles Network Firewall, consultez la section Mise à jour d'un groupe de règles dynamique dans le AWS Network Firewall Guide du développeur. Sur la page des détails du pare-feu, pour le groupe de règles Stateless, choisissez Modifier pour ajouter des règles.
[NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::NetworkFirewall::Firewall
AWS Config règle : tagged-networkfirewall-firewall (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS Network Firewall Le pare-feu possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le pare-feu ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le pare-feu n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un pare-feu Network Firewall, consultez la section Balisage AWS Network Firewall ressources dans le AWS Network Firewall Guide du développeur.
[NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::NetworkFirewall::FirewallPolicy
AWS Config règle : tagged-networkfirewall-firewallpolicy (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS Network Firewall la politique de pare-feu comporte des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la politique de pare-feu ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique de pare-feu n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à une politique de Network Firewall, consultez la section Balisage AWS Network Firewall ressources dans le AWS Network Firewall Guide du développeur.
[NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
Catégorie : Protection > Sécurité du réseau
Gravité : Moyenne
Type de ressource : AWS::NetworkFirewall::Firewall
AWS Config règle : netfw-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS Network Firewall la protection contre les suppressions est activée sur le pare-feu. Le contrôle échoue si la protection contre la suppression n'est pas activée pour un pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique et un service de détection des intrusions qui vous permet d'inspecter et de filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Le paramètre de protection contre la suppression protège contre la suppression accidentelle du pare-feu.
Correction
Pour activer la protection contre la suppression sur un pare-feu Network Firewall existant, consultez la section Mise à jour d'un pare-feu dans AWS Network Firewall Guide du développeur. Pour les protections contre les modifications, sélectionnez Activer. Vous pouvez également activer la protection contre la suppression en invoquant le champ UpdateFirewallDeleteProtectionAPIet en définissant le DeleteProtection champ sur. true
