Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per AWS Network Firewall
Questi AWS Security Hub CSPM controlli valutano il AWS Network Firewall servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [NetworkFirewall.1] I firewall Network Firewall devono essere distribuiti su più zone di disponibilità
**Requisiti correlati:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Categoria: Recupero > Resilienza > Alta disponibilità**
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo valuta se un firewall gestito tramite AWS Network Firewall viene distribuito su più zone di disponibilità (). AZs Il controllo fallisce se un firewall viene distribuito in una sola zona di disponibilità.
AWS l'infrastruttura globale ne include diverse Regioni AWS. AZs sono sedi fisicamente separate e isolate all'interno di ciascuna regione, collegate tramite reti a bassa latenza, ad alto throughput e altamente ridondanti. Implementando un firewall Network Firewall su più server AZs, è possibile bilanciare e spostare il traffico da uno all'altro AZs, il che aiuta a progettare soluzioni ad alta disponibilità.
### Correzione
**Implementazione di un firewall Network Firewall su più reti AZs**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, in **Network Firewall**, scegli **Firewall**.
1. Nella pagina **Firewall**, seleziona il firewall che desideri modificare.
1. Nella pagina dei dettagli del firewall, scegli la scheda **Dettagli del firewall**.
1. **Nella sezione **Politica associata e VPC**, scegli Modifica**
1. Per aggiungere una nuova AZ, scegli **Aggiungi nuova sottorete**. Seleziona la AZ e la sottorete che desideri utilizzare. Assicurati di selezionarne almeno due AZs.
1. Scegli **Save** (Salva).
## [NetworkFirewall.2] La registrazione del Network Firewall deve essere abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 AC-2 (26), (9), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 SI-3 NIST.800-53.r5 AC-6 (8), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7 NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SI-7 (8), NIST.800-171.r2 3.1.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20, NIST.800-171.20 R2 3,13.1
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::LoggingConfiguration`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata per un AWS Network Firewall firewall. Il controllo fallisce se la registrazione non è abilitata per almeno un tipo di registro o se la destinazione di registrazione non esiste.
La registrazione consente di mantenere l'affidabilità, la disponibilità e le prestazioni dei firewall. In Network Firewall, la registrazione fornisce informazioni dettagliate sul traffico di rete, tra cui l'ora in cui lo stateful engine ha ricevuto un flusso di pacchetti, informazioni dettagliate sul flusso di pacchetti e qualsiasi azione basata sullo stateful rule intrapresa contro il flusso di pacchetti.
### Correzione
*Per abilitare la registrazione per un firewall, consulta [Aggiornamento della configurazione di registrazione di un firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html).AWS Network Firewall *
## [NetworkFirewall.3] Le policy di Network Firewall devono avere almeno un gruppo di regole associato
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.13.1
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se a una policy Network Firewall sono associati gruppi di regole stateful o stateless. Il controllo ha esito negativo se non vengono assegnati gruppi di regole stateless o stateful.
Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon Virtual Private Cloud (Amazon VPC). La configurazione di gruppi di regole stateless e stateful aiuta a filtrare pacchetti e flussi di traffico e definisce la gestione del traffico predefinita.
### Correzione
Per aggiungere un gruppo di regole a una policy Network Firewall, vedere [Aggiornamento di una policy firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html) nella *AWS Network Firewall Developer Guide*. Per informazioni sulla creazione e la gestione dei gruppi di regole, consulta [Gruppi di regole in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
## [NetworkFirewall.4] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per pacchetti completi
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(non personalizzabile)
Questo controllo verifica se l'azione stateless predefinita per pacchetti completi per una policy Network Firewall è drop o forward. Il controllo passa se è selezionato `Drop` o `Forward` è selezionato e fallisce se `Pass` è selezionato.
Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico. L'impostazione predefinita è in grado `Pass` di consentire il traffico non intenzionale.
### Correzione
*Per modificare la politica del firewall, consulta [Aggiornamento di una politica del firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).AWS Network Firewall * Per le **azioni predefinite Stateless**, scegli **Modifica**. **Quindi, scegli **Elimina** o **Inoltra ai gruppi di regole con stato come Azione**.**
## [NetworkFirewall.5] L'azione stateless predefinita per le policy del Network Firewall dovrebbe essere drop or forward per i pacchetti frammentati
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-171.r2 3.1.3, NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(non personalizzabile)
Questo controllo verifica se l'azione stateless predefinita per i pacchetti frammentati per una policy Network Firewall è drop o forward. Il controllo passa se è selezionato `Drop` o `Forward` è selezionato e fallisce se `Pass` è selezionato.
Una policy firewall definisce il modo in cui il firewall monitora e gestisce il traffico in Amazon VPC. Puoi configurare gruppi di regole stateless e stateful per filtrare pacchetti e flussi di traffico. L'impostazione predefinita è in grado `Pass` di consentire il traffico non intenzionale.
### Correzione
*Per modificare la politica del firewall, consulta [Aggiornamento di una politica del firewall nella Guida per gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html).AWS Network Firewall * Per le **azioni predefinite Stateless**, scegli **Modifica**. **Quindi, scegli **Elimina** o **Inoltra ai gruppi di regole con stato come Azione**.**
## [NetworkFirewall.6] Il gruppo di regole Stateless Network Firewall non deve essere vuoto
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21), (11), (16) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (5), NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.3, NIST.800-53.r5 SC-7 NIST.800-171.r2 3.1.14, NIST.800-171.r2 3.13.1, NIST.800-171.r2 3.13.6
**Categoria**: Protezione > Configurazione di rete sicura
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::RuleGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di regole senza stato AWS Network Firewall contiene regole. Il controllo ha esito negativo se non ci sono regole nel gruppo di regole.
Un gruppo di regole contiene regole che definiscono il modo in cui il firewall elabora il traffico nel tuo VPC. Un gruppo di regole stateless vuoto, se presente in una policy firewall, potrebbe dare l'impressione che il gruppo di regole elabori il traffico. Tuttavia, quando il gruppo di regole stateless è vuoto, non elabora il traffico.
### Correzione
Per aggiungere regole al gruppo di regole Network Firewall, consulta [Aggiornamento di un gruppo di regole stateful nella Guida](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html) per gli *AWS Network Firewall sviluppatori*. Nella pagina dei dettagli del firewall, per il **gruppo di regole Stateless**, scegli **Modifica** per aggiungere regole.
## [NetworkFirewall.7] I firewall Network Firewall devono essere etichettati
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**AWS Config regola:** `tagged-networkfirewall-firewall` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se un AWS Network Firewall firewall dispone di tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se il firewall non dispone di chiavi di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se il firewall non è etichettato con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a un firewall Network Firewall, consulta [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) nella *AWS Network Firewall Developer Guide*.
## [NetworkFirewall.8] Le politiche firewall di Network Firewall devono essere etichettate
**Categoria:** Identificazione > Inventario > Etichettatura
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config regola:** `tagged-networkfirewall-firewallpolicy` (regola CSPM Security Hub personalizzata)
**Tipo di pianificazione: modifica attivata**
**Parametri:**
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
| --- | --- | --- | --- | --- |
| requiredTagKeys | Elenco delle chiavi di tag non di sistema che la risorsa valutata deve contenere. I tag fanno distinzione tra maiuscole e minuscole | StringList (massimo 6 articoli) | [1—6 tasti tag che soddisfano i requisiti AWS .](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions) | No default value |
Questo controllo verifica se una policy AWS Network Firewall firewall contiene tag con le chiavi specifiche definite nel parametro. `requiredTagKeys` Il controllo fallisce se la politica del firewall non ha alcuna chiave di tag o se non ha tutte le chiavi specificate nel parametro`requiredTagKeys`. Se il parametro `requiredTagKeys` non viene fornito, il controllo verifica solo l'esistenza di una chiave di tag e fallisce se la politica del firewall non è contrassegnata con alcuna chiave. I tag di sistema, che vengono applicati automaticamente e iniziano con`aws:`, vengono ignorati.
Un tag è un'etichetta che si assegna a una AWS risorsa e consiste in una chiave e un valore opzionale. È possibile creare tag per suddividere le risorse in categorie in base a scopo, proprietari, ambiente o ad altri criteri. I tag possono aiutarti a identificare, organizzare, cercare e filtrare le risorse. L'etichettatura consente inoltre di tenere traccia delle azioni e delle notifiche dei proprietari delle risorse responsabili. Quando si utilizza l'etichettatura, è possibile implementare il controllo degli accessi basato sugli attributi (ABAC) come strategia di autorizzazione, che definisce le autorizzazioni in base ai tag. Puoi allegare tag alle entità IAM (utenti o ruoli) e alle risorse. AWS Puoi creare una singola policy ABAC o un set separato di policy per i tuoi presidi IAM. Puoi progettare queste politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag della risorsa. Per ulteriori informazioni, consulta A [cosa serve ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? AWS nella *Guida per l'utente di IAM*.
**Nota**
Non aggiungere informazioni di identificazione personale (PII) o altre informazioni riservate o sensibili nei tag. I tag sono accessibili a molti Servizi AWS, tra cui. AWS Billing Per ulteriori best practice sull'etichettatura, consulta [Taggare le AWS risorse](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices) in. *Riferimenti generali di AWS*
### Correzione
Per aggiungere tag a una politica di Network Firewall, consulta [Tagging AWS Network Firewall resources](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html) nella *AWS Network Firewall Developer Guide*.
## [NetworkFirewall.9] I firewall Network Firewall devono avere la protezione da eliminazione abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteggi > Sicurezza di rete
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un AWS Network Firewall firewall ha la protezione da eliminazione abilitata. Il controllo fallisce se la protezione da eliminazione non è abilitata per un firewall.
AWS Network Firewall è un firewall di rete gestito a stato e un servizio di rilevamento delle intrusioni che consente di ispezionare e filtrare il traffico da, verso o tra i Virtual Private Cloud (). VPCs L'impostazione di protezione dall'eliminazione protegge dall'eliminazione accidentale del firewall.
### Correzione
Per abilitare la protezione da eliminazione su un firewall Network Firewall esistente, vedere [Aggiornamento di un firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) nella *AWS Network Firewall Developer Guide*. Per **Modifica le protezioni**, seleziona **Abilita.** Puoi anche abilitare la protezione dall'eliminazione richiamando l'[ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API e impostando il `DeleteProtection` campo su. `true`
## [NetworkFirewall.10] I firewall Network Firewall devono avere la protezione da cambio di sottorete abilitata
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Categoria:** Proteggi > Sicurezza di rete
**Gravità:** media
**Tipo di risorsa:** `AWS::NetworkFirewall::Firewall`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se la protezione da modifica della sottorete è abilitata per un AWS Network Firewall firewall. Il controllo fallisce se la protezione da modifica della sottorete non è abilitata per il firewall.
AWS Network Firewall è un firewall di rete gestito e dotato di stato e un servizio di rilevamento delle intrusioni che puoi utilizzare per ispezionare e filtrare il traffico da, verso o tra i tuoi Virtual Private Cloud (). VPCs Se si abilita la protezione da modifiche di sottorete per un firewall Network Firewall, è possibile proteggere il firewall da modifiche accidentali alle associazioni di sottorete del firewall.
### Correzione
Per informazioni sull'attivazione della protezione da modifiche di sottorete per un firewall Network Firewall esistente, vedere [Updating a firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html) nella *AWS Network Firewall Developer Guide*.