Comment Firewall Manager remédie à un réseau géré non conforme ACLs - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Rapports de conformité du réseau ACL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment Firewall Manager remédie à un réseau géré non conforme ACLs

Cette section décrit comment Firewall Manager remédie à son réseau géré ACLs lorsqu'il n'est pas conforme à la politique. Firewall Manager corrige uniquement le réseau géré ACLs, avec la FMManaged balise définie sur. true Pour les réseaux ACLs qui ne sont pas gérés par Firewall Manager, consultezGestion initiale des ACL du réseau.

La correction rétablit les emplacements relatifs des premières règles, des règles personnalisées et des dernières règles et rétablit l'ordre des premières et des dernières règles. Au cours de la correction, Firewall Manager ne déplace pas nécessairement les règles vers les numéros de règles qu'il utilise lors de l'initialisation des ACL réseau. Pour les paramètres numériques initiaux et les descriptions de ces catégories de règles, consultezGestion initiale des ACL du réseau.

Afin d'établir des règles conformes et un ordre des règles, Firewall Manager peut avoir besoin de déplacer les règles au sein de l'ACL du réseau. Firewall Manager préserve autant que possible les protections de l'ACL du réseau en maintenant l'ordre des règles conformes existant. Par exemple, il peut dupliquer temporairement les règles vers de nouveaux emplacements, puis effectuer une suppression ordonnée des règles d'origine, en préservant les emplacements relatifs pendant le processus.

Cette approche protège vos paramètres, mais elle nécessite également de l'espace dans l'ACL du réseau pour les règles provisoires. Si Firewall Manager atteint le nombre limite de règles dans une ACL réseau, il interrompt la correction. Dans ce cas, l'ACL du réseau n'est toujours pas conforme et Firewall Manager indique la raison.

Si un compte ajoute des règles personnalisées à une ACL réseau gérée par Firewall Manager et que ces règles interfèrent avec la correction de Firewall Manager, Firewall Manager arrête toute activité de correction sur l'ACL réseau et signale le conflit.

Assainissement forcé

Si vous choisissez la correction automatique pour la politique, vous spécifiez également si vous souhaitez forcer la correction pour les premières règles ou pour les dernières règles.

Lorsque Firewall Manager rencontre un conflit dans la gestion du trafic entre une règle personnalisée et une règle de politique, il fait référence au paramètre de correction forcée correspondant. Si la correction forcée est activée, Firewall Manager applique la correction, malgré le conflit. Si cette option n'est pas activée, Firewall Manager arrête la correction. Dans les deux cas, Firewall Manager signale le conflit de règles et propose des options de correction.

Exigences et limites relatives au nombre de règles

Au cours de la correction, Firewall Manager peut temporairement dupliquer les règles afin de les déplacer sans altérer les protections qu'elles fournissent.

Pour les règles entrantes ou sortantes, le plus grand nombre de règles dont Firewall Manager peut avoir besoin pour effectuer la correction est le suivant : 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Le réseau ACLs et les politiques ACL du réseau sont soumises à des limites de règles modifiables. Si Firewall Manager atteint une limite dans ses efforts de correction, il arrête d'essayer de remédier et signale la non-conformité.

Pour permettre à Firewall Manager d'effectuer ses activités de correction, vous pouvez demander une augmentation de la limite. Vous pouvez également modifier la configuration de la politique ou de l'ACL réseau afin de réduire le nombre de règles utilisées.

Pour plus d'informations sur les limites d'ACL du réseau, consultez les quotas Amazon VPC sur le réseau ACLs dans le guide de l'utilisateur Amazon VPC.

En cas d'échec de la correction

Lors de la mise à jour d'une ACL réseau, si Firewall Manager doit s'arrêter pour une raison quelconque, il n'annule pas les modifications, mais laisse l'ACL réseau dans un état provisoire. Si vous constatez des règles dupliquées dans une ACL réseau dont la FMManaged balise est définie surtrue, Firewall Manager est probablement en train de la corriger. Les modifications peuvent être partiellement achevées pendant un certain temps, mais en raison de l'approche adoptée par Firewall Manager en matière de correction, cela n'interrompra pas le trafic et ne réduira pas la protection des sous-réseaux associés.

Lorsque Firewall Manager ne corrige pas complètement les réseaux ACLs non conformes, il signale la non-conformité des sous-réseaux associés et suggère des options de correction possibles.

Réessayer en cas d'échec de la correction

Dans la plupart des cas, si Firewall Manager ne parvient pas à effectuer les modifications correctives apportées à une ACL réseau, il réessaiera éventuellement de procéder à la modification.

L'exception à cette règle est lorsque la correction atteint la limite du nombre de règles ACL du réseau ou la limite du nombre d'ACL du réseau VPC. Firewall Manager ne peut pas effectuer d'activités de correction qui privent AWS les ressources de leurs paramètres limites. Dans ces cas, vous devez réduire le nombre ou augmenter les limites pour pouvoir continuer. Pour plus d'informations sur les limites, consultez les quotas Amazon VPC sur le réseau ACLs dans le guide de l'utilisateur Amazon VPC.

Rapports de conformité aux ACL du réseau Firewall Manager

Firewall Manager surveille et signale la conformité de tous ACLs les réseaux connectés aux sous-réseaux concernés.

D'une manière générale, la non-conformité se produit dans des situations telles que l'ordre incorrect des règles ou un conflit dans le comportement de gestion du trafic entre les règles politiques et les règles personnalisées. Les rapports de non-conformité incluent les violations de conformité et les options de correction.

Firewall Manager signale les violations de conformité pour une politique ACL réseau de la même manière que pour les autres types de politiques. Pour plus d'informations sur les rapports de conformité, consultezAfficher les informations de conformité relatives à une AWS Firewall Manager politique.

Non-conformité lors des mises à jour des politiques

Une fois que vous avez modifié une politique ACL réseau, jusqu'à ce ACLs que Firewall Manager mette à jour les réseaux concernés par cette politique, Firewall Manager marque ces réseaux comme ACLs non conformes. Firewall Manager le fait même si le réseau ACLs peut, à proprement parler, être conforme.

Par exemple, si vous supprimez des règles de la spécification de stratégie, alors que le réseau concerné ACLs possède toujours les règles supplémentaires, leurs définitions de règles peuvent toujours être conformes à la politique. Cependant, étant donné que les règles supplémentaires font partie des règles gérées par Firewall Manager, Firewall Manager les considère comme des violations des paramètres de politique actuels. Cela est différent de la façon dont Firewall Manager voit les règles personnalisées que vous ajoutez au réseau géré par Firewall Manager ACLs.