Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôles Security Hub CSPM pour AWS Network Firewall
Ces AWS Security Hub CSPM contrôles évaluent le AWS Network Firewall service et les ressources. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle évalue si un pare-feu géré par le biais AWS Network Firewall est déployé sur plusieurs zones de disponibilité (AZs). Le contrôle échoue si un pare-feu est déployé dans une seule zone de disponibilité.
AWS l'infrastructure mondiale comprend plusieurs Régions AWS. AZs sont des sites isolés et physiquement séparés au sein de chaque région, connectés par un réseau à faible latence, à haut débit et hautement redondant. En déployant un pare-feu Network Firewall sur plusieurs sites AZs, vous pouvez équilibrer et transférer le trafic entre eux AZs, ce qui vous permet de concevoir des solutions à haute disponibilité.
### Correction
**Déploiement d'un pare-feu Network Firewall sur plusieurs AZs**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sous **Network Firewall**, sélectionnez **Firewalls**.
1. Sur la page **Pare-feu**, sélectionnez le pare-feu que vous souhaitez modifier.
1. Sur la page des détails du pare-feu, choisissez l'onglet **Détails du pare-feu**.
1. **Dans la section **Politique associée et VPC**, choisissez Modifier**
1. Pour ajouter un nouvel AZ, choisissez **Ajouter un nouveau sous-réseau**. Sélectionnez l'AZ et le sous-réseau que vous souhaitez utiliser. Assurez-vous d'en sélectionner au moins deux AZs.
1. Choisissez **Enregistrer**.
## [NetworkFirewall.2] La journalisation du Network Firewall doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 NIST.800-53.R5 SI-3 NIST.800-53.r5 AC-6 (8) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-4, NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8), NIST.800-171.R2 3.1.20, NIST.800-171.R2 3.13.1
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::LoggingConfiguration`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la journalisation n'est pas activée pour au moins un type de journal ou si la destination de journalisation n'existe pas.
La journalisation vous aide à maintenir la fiabilité, la disponibilité et les performances de vos pare-feux. Dans Network Firewall, la journalisation fournit des informations détaillées sur le trafic réseau, notamment l'heure à laquelle le moteur dynamique a reçu un flux de paquets, des informations détaillées sur le flux de paquets et toute action de règle dynamique prise à l'encontre du flux de paquets.
### Correction
Pour activer la journalisation pour un pare-feu, consultez la section [Mise à jour de la configuration de journalisation d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.13.1
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si une politique Network Firewall est associée à des groupes de règles avec ou sans état. Le contrôle échoue si aucun groupe de règles apatride ou dynamique n'est attribué.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon Virtual Private Cloud (Amazon VPC). La configuration de groupes de règles apatrides et dynamiques permet de filtrer les paquets et les flux de trafic et de définir la gestion du trafic par défaut.
### Correction
Pour ajouter un groupe de règles à une politique de Network Firewall, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour plus d'informations sur la création et la gestion de groupes de règles, consultez la section [Groupes de règles dans AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
## [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets complets
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets complets dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si `Drop` ou `Forward` est sélectionné, et échoue s'il `Pass` est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut `Pass` peut autoriser le trafic involontaire.
### Correction
Pour modifier votre politique de pare-feu, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour les **actions par défaut sans état**, choisissez **Modifier**. Choisissez ensuite Supprimer ou **Transférer** **vers des groupes de règles dynamiques** en tant qu'**action**.
## [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-171.R2 3.1.3, NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(non personnalisable)
Ce contrôle vérifie si l'action apatride par défaut pour les paquets fragmentés dans le cadre d'une politique Network Firewall est la suppression ou le transfert. Le contrôle passe si `Drop` ou `Forward` est sélectionné, et échoue s'il `Pass` est sélectionné.
Une politique de pare-feu définit la manière dont votre pare-feu surveille et gère le trafic dans Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic. La valeur par défaut `Pass` peut autoriser le trafic involontaire.
### Correction
Pour modifier votre politique de pare-feu, consultez la section [Mise à jour d'une politique de pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) dans le *Guide du AWS Network Firewall développeur*. Pour les **actions par défaut sans état**, choisissez **Modifier**. Choisissez ensuite Supprimer ou **Transférer** **vers des groupes de règles dynamiques** en tant qu'**action**.
## [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.R2 3.1.14, NIST.800-171.R2 3.13.1, NIST.800-171.R2 3.13.6
**Catégorie :** Protection > Configuration réseau sécurisée
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::RuleGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe de règles AWS Network Firewall apatrides contient des règles. Le contrôle échoue s'il n'existe aucune règle dans le groupe de règles.
Un groupe de règles contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles apatrides vide, lorsqu'il est présent dans une politique de pare-feu, peut donner l'impression que le groupe de règles traitera le trafic. Toutefois, lorsque le groupe de règles apatrides est vide, il ne traite pas le trafic.
### Correction
Pour ajouter des règles à votre groupe de règles Network Firewall, consultez la section [Mise à jour d'un groupe de règles dynamique](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) dans le *Guide du AWS Network Firewall développeur*. Sur la page des détails du pare-feu, pour le **groupe de règles Stateless**, choisissez **Modifier** pour ajouter des règles.
## [NetworkFirewall.7] Les pare-feux Network Firewall doivent être balisés
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**AWS Config règle :** `tagged-networkfirewall-firewall` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si un AWS Network Firewall pare-feu possède des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si le pare-feu ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le pare-feu n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à un pare-feu Network Firewall, consultez les [AWS Network Firewall ressources relatives au balisage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.8] Les politiques de pare-feu de Network Firewall doivent être balisées
**Catégorie :** Identifier > Inventaire > Étiquetage
**Gravité : ** Faible
**Type de ressource :** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config règle :** `tagged-networkfirewall-firewallpolicy` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les touches de tag distinguent les majuscules et minuscules. | StringList (maximum de 6 articles) | 1 à 6 clés d'étiquette répondant aux [AWS exigences](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions). | No default value |
Ce contrôle vérifie si une politique de AWS Network Firewall pare-feu comporte des balises avec les clés spécifiques définies dans le paramètre`requiredTagKeys`. Le contrôle échoue si la politique de pare-feu ne comporte aucune clé de balise ou si toutes les clés ne sont pas spécifiées dans le paramètre`requiredTagKeys`. Si le paramètre `requiredTagKeys` n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la politique de pare-feu n'est associée à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent par`aws:`, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d’autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
**Note**
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) dans le. *Références générales AWS*
### Correction
Pour ajouter des balises à une politique de Network Firewall, consultez les [AWS Network Firewall ressources relatives au balisage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) dans le *Guide du AWS Network Firewall développeur*.
## [NetworkFirewall.9] La protection contre les suppressions doit être activée sur les pare-feux Network Firewall
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée sur un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre la suppression n'est pas activée pour un pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique et un service de détection des intrusions qui vous permet d'inspecter et de filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Le paramètre de protection contre la suppression protège contre la suppression accidentelle du pare-feu.
### Correction
Pour activer la protection contre la suppression sur un pare-feu Network Firewall existant, consultez la section [Mise à jour d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) dans le *manuel du AWS Network Firewall développeur*. Pour les **protections contre les modifications**, sélectionnez **Activer**. Vous pouvez également activer la protection contre la suppression en appelant l'[ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API et en définissant le `DeleteProtection` champ sur. `true`
## [NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::NetworkFirewall::Firewall`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les modifications de sous-réseau est activée pour un AWS Network Firewall pare-feu. Le contrôle échoue si la protection contre les modifications de sous-réseau n'est pas activée pour le pare-feu.
AWS Network Firewall est un pare-feu réseau géré et dynamique ainsi qu'un service de détection des intrusions que vous pouvez utiliser pour inspecter et filtrer le trafic à destination, en provenance ou entre vos clouds privés virtuels (VPCs). Si vous activez la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall, vous pouvez protéger le pare-feu contre les modifications accidentelles des associations de sous-réseaux du pare-feu.
### Correction
Pour plus d'informations sur l'activation de la protection contre les modifications de sous-réseau pour un pare-feu Network Firewall existant, consultez la section [Mise à jour d'un pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) dans le *Guide du AWS Network Firewall développeur*.