Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan
Bagian ini memberikan panduan untuk melihat status kepatuhan akun dan sumber daya yang berada dalam cakupan AWS Firewall Manager kebijakan. Untuk informasi tentang kontrol yang diterapkan AWS untuk menjaga keamanan dan kepatuhan cloud, lihatValidasi kepatuhan untuk Firewall Manager.
catatan
Agar Firewall Manager memantau kepatuhan kebijakan, AWS Config harus terus mencatat perubahan konfigurasi untuk sumber daya yang dilindungi. Dalam AWS Config konfigurasi Anda, frekuensi perekaman harus diatur ke Continuous, yang merupakan pengaturan default.
catatan
Untuk mempertahankan status kepatuhan yang tepat dalam sumber daya yang dilindungi, hindari berulang kali mengubah status perlindungan Firewall Manager, baik secara otomatis maupun manual. Firewall Manager menggunakan informasi dari AWS Config untuk mendeteksi perubahan konfigurasi sumber daya. Jika perubahan diterapkan cukup cepat, AWS Config dapat kehilangan jejak beberapa dari mereka, yang dapat mengakibatkan hilangnya informasi tentang kepatuhan atau remediasi status di Firewall Manager.
Jika Anda melihat bahwa sumber daya yang Anda lindungi dengan Firewall Manager memiliki status kepatuhan atau remediasi yang salah, pertama-tama pastikan Anda tidak menjalankan proses apa pun yang mengubah atau mengatur ulang perlindungan Firewall Manager Anda, lalu segarkan AWS Config pelacakan untuk sumber daya dengan mengevaluasi kembali aturan konfigurasi terkait di. AWS Config
Untuk semua AWS Firewall Manager kebijakan, Anda dapat melihat status kepatuhan untuk akun dan sumber daya yang berada dalam cakupan kebijakan. Akun atau sumber daya sesuai dengan kebijakan Firewall Manager jika pengaturan dalam kebijakan tercermin dalam pengaturan untuk akun atau sumber daya. Setiap jenis kebijakan memiliki persyaratan kepatuhannya sendiri, yang dapat Anda sesuaikan saat menentukan kebijakan. Untuk beberapa kebijakan, Anda juga dapat melihat informasi pelanggaran terperinci untuk sumber daya dalam lingkup, untuk membantu Anda memahami dan mengelola risiko keamanan dengan lebih baik.
Untuk melihat informasi kepatuhan untuk suatu kebijakan
-
Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2
. Untuk informasi tentang menyiapkan akun administrator Manajer Firewall, lihatAWS Firewall Manager prasyarat. catatan
Untuk informasi tentang menyiapkan akun administrator Manajer Firewall, lihatAWS Firewall Manager prasyarat.
-
Di panel navigasi, pilih Kebijakan keamanan.
-
Pilih kebijakan. Di tab Akun dan sumber daya pada halaman kebijakan, Firewall Manager mencantumkan akun di organisasi Anda, dikelompokkan berdasarkan akun yang berada dalam cakupan kebijakan dan akun yang berada di luar cakupan.
Panel Akun dalam cakupan kebijakan mencantumkan status kepatuhan untuk setiap akun. Status Compliant menunjukkan bahwa kebijakan telah berhasil diterapkan ke semua sumber daya dalam lingkup untuk akun. Status Noncompliant menunjukkan bahwa kebijakan belum diterapkan ke satu atau beberapa sumber daya dalam cakupan untuk akun tersebut.
-
Pilih akun yang tidak patuh. Di halaman akun, Firewall Manager mencantumkan ID dan jenis untuk setiap sumber daya yang tidak sesuai dan alasan sumber daya tersebut melanggar kebijakan.
catatan
Untuk tipe sumber daya
AWS::EC2::NetworkInterface
(ENI) danAWS::EC2::Instance
, Firewall Manager mungkin menampilkan sejumlah sumber daya yang tidak sesuai. Untuk mencantumkan sumber daya tambahan yang tidak sesuai, perbaiki sumber daya yang awalnya ditampilkan untuk akun. -
Jika jenis kebijakan Firewall Manager adalah kebijakan grup keamanan audit konten, Anda dapat mengakses informasi pelanggaran terperinci untuk sumber daya.
Untuk melihat detail pelanggaran, pilih sumber daya.
catatan
Sumber daya yang menurut Firewall Manager tidak sesuai sebelum penambahan halaman pelanggaran sumber daya terperinci mungkin tidak memiliki detail pelanggaran.
Di halaman sumber daya, Firewall Manager mencantumkan detail spesifik tentang pelanggaran, sesuai dengan jenis sumber daya.
-
AWS::EC2::NetworkInterface
(ENI) — Firewall Manager menampilkan informasi tentang grup keamanan yang tidak dipatuhi oleh sumber daya. Pilih grup keamanan untuk melihat detail lebih lanjut tentangnya. -
AWS::EC2::Instance
— Firewall Manager menampilkan ENI yang terpasang pada instans EC2 yang tidak sesuai. Ini juga menampilkan informasi tentang grup keamanan yang tidak dipatuhi oleh sumber daya. Pilih grup keamanan untuk melihat detail lebih lanjut tentangnya. -
AWS::EC2::SecurityGroup
— Firewall Manager menampilkan rincian pelanggaran berikut:-
Aturan grup keamanan yang tidak sesuai — Aturan yang melanggar, termasuk protokol, jangkauan port, rentang IP CIDR, dan deskripsi.
-
Aturan yang direferensikan — Aturan grup keamanan audit yang melanggar aturan kelompok keamanan yang tidak patuh, dengan detailnya.
-
Alasan pelanggaran — Penjelasan tentang temuan ketidakpatuhan.
-
Tindakan remediasi — Tindakan yang disarankan untuk diambil. Jika Firewall Manager tidak dapat menentukan tindakan remediasi yang aman, bidang ini kosong.
-
-
AWS::EC2::Subnet
— Ini digunakan untuk kebijakan ACL jaringan dan Network Firewall.Firewall Manager menampilkan subnet ID, VPC ID, dan Availability Zone. Jika berlaku, Firewall Manager menyertakan informasi tambahan tentang pelanggaran. Komponen deskripsi pelanggaran berisi deskripsi tentang keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.
Pelanggaran Network Firewall
-
Pelanggaran manajemen rute — Untuk kebijakan Network Firewall yang menggunakan mode Monitor, Firewall Manager menampilkan informasi subnet dasar, serta rute yang diharapkan dan aktual di subnet, gateway internet, dan tabel rute subnet Network Firewall. Firewall Manager memberi tahu Anda bahwa ada pelanggaran jika rute sebenarnya tidak sesuai dengan rute yang diharapkan dalam tabel rute.
-
Tindakan remediasi untuk pelanggaran manajemen rute — Untuk kebijakan Network Firewall yang menggunakan mode Monitor, Firewall Manager menyarankan kemungkinan tindakan remediasi pada konfigurasi rute yang memiliki pelanggaran.
Misalnya, subnet diharapkan mengirim lalu lintas melalui titik akhir firewall, tetapi subnet saat ini mengirimkan lalu lintas langsung ke gateway internet. Ini adalah pelanggaran manajemen rute. Remediasi yang disarankan dalam kasus ini mungkin merupakan daftar tindakan yang diperintahkan. Yang pertama adalah rekomendasi untuk menambahkan rute yang diperlukan ke tabel rute subnet Network Firewall untuk mengarahkan lalu lintas keluar ke gateway internet dan mengarahkan lalu lintas masuk untuk tujuan di dalam VPC ke.
`local`
Rekomendasi kedua adalah mengganti rute gateway internet atau rute Network Firewall yang tidak valid di tabel rute subnet untuk mengarahkan lalu lintas keluar ke titik akhir firewall. Rekomendasi ketiga adalah menambahkan rute yang diperlukan ke tabel rute gateway internet untuk mengarahkan lalu lintas masuk ke titik akhir firewall. -
-
AWS::EC2:InternetGateway
— Ini digunakan untuk kebijakan Network Firewall yang mengaktifkan mode Monitor.Pelanggaran manajemen rute — Gateway internet tidak sesuai jika gateway internet tidak terkait dengan tabel rute, atau jika ada rute yang tidak valid di tabel rute gateway internet.
Tindakan remediasi untuk pelanggaran manajemen rute — Firewall Manager menyarankan kemungkinan tindakan remediasi untuk memperbaiki pelanggaran manajemen rute.
contoh 1 — Pelanggaran manajemen rute dan saran remediasi
Gateway internet tidak terkait dengan tabel rute. Tindakan remediasi yang disarankan mungkin merupakan daftar tindakan yang diperintahkan. Tindakan pertama adalah membuat tabel rute. Tindakan kedua adalah mengaitkan tabel rute dengan gateway internet. Tindakan ketiga adalah menambahkan rute yang diperlukan ke tabel rute gateway internet.
contoh 2 — Pelanggaran manajemen rute dan saran remediasi
Gateway internet dikaitkan dengan tabel rute yang valid, tetapi rute dikonfigurasi dengan tidak benar. Remediasi yang disarankan mungkin merupakan daftar tindakan yang diperintahkan. Saran pertama adalah menghapus rute yang tidak valid. Yang kedua adalah menambahkan rute yang diperlukan ke tabel rute gateway internet.
-
AWS::NetworkFirewall::FirewallPolicy
— Ini digunakan untuk kebijakan Network Firewall. Firewall Manager menampilkan informasi tentang kebijakan firewall Network Firewall yang telah dimodifikasi dengan cara yang membuatnya tidak patuh. Informasi tersebut menyediakan kebijakan firewall yang diharapkan dan kebijakan yang ditemukan di akun pelanggan, sehingga Anda dapat membandingkan nama grup aturan stateless dan stateful dan pengaturan prioritas, nama tindakan kustom, dan pengaturan tindakan stateless default. Komponen deskripsi pelanggaran berisi deskripsi tentang keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut. -
AWS::EC2::VPC
— Ini digunakan untuk kebijakan DNS Firewall. Firewall Manager menampilkan informasi tentang VPC yang berada dalam lingkup kebijakan Firewall Manager DNS Firewall, dan itu tidak sesuai dengan kebijakan tersebut. Informasi yang diberikan mencakup kelompok aturan yang diharapkan yang diharapkan terkait dengan VPC dan kelompok aturan yang sebenarnya. Komponen deskripsi pelanggaran berisi deskripsi tentang keadaan sumber daya yang diharapkan, keadaan saat ini, tidak patuh, dan jika tersedia, deskripsi tentang apa yang menyebabkan perbedaan tersebut.
-