翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Network Firewall の Security Hub コントロール
これらの AWS Security Hub コントロールは、AWS Network Firewallサービスとリソースを評価します。
これらのコントロールは、すべての AWS リージョン で使用できるとは限りません。詳細については、「リージョン別のコントロールの可用性」を参照してください。
[NetworkFirewall.1] Network Firewall ファイアウォールを複数のアベイラビリティーゾーンにデプロイする必要があります
関連する要件: NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
カテゴリ: リカバリ > 耐障害性 > 高可用性
重要度: 中
リソースタイプ : AWS::NetworkFirewall::Firewall
AWS Config ルール : netfw-multi-az-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS Network Firewall を介して管理されているファイアウォールが複数のアベイラビリティーゾーン (AZ) にデプロイされているかどうかを評価します。ファイアウォールが 1 つの AZ にのみデプロイされている場合、コントロールは失敗します。
AWS グローバルインフラストラクチャには複数の AWS リージョン が含まれています。AZ は、低レイテンシー、高スループット、高冗長性のネットワークで接続されている、各リージョン内の物理的に独立し隔離されたロケーションです。Network Firewall ファイアウォールを複数の AZ にデプロイすることで、AZ 間でトラフィックを分散およびシフトできるため、可用性の高いソリューションを設計できるようになります。
修正
Network Firewall ファイアウォールを複数の AZ にデプロイする
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 ナビゲーションペインで、ネットワークファイアウォールの下にあるファイアウォールを選択します。
[ファイアウォール] ページで、編集するファイアウォールを選択します。
ファイアウォールの詳細ページで、[ファイアウォールの詳細] タブを選択します。
[関連付けられたポリシーと VPC] セクションで、[編集] を選択します。
新しい AZ を追加するには、[新しいサブネットを追加] を選択します。使用する AZ とサブネットを選択します。少なくとも 2 つの AZ を選択するようにします。
[Save] を選択します。
[NetworkFirewall.2] Network Firewall ログ記録を有効にする必要があります
関連する要件: NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 AU-9(7)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-3(8)、NIST.800-53.r5 SI-4、NIST.800-53.r5 SI-4(20)、NIST.800-53.r5 SI-7(8)
カテゴリ: 識別 > ログ記録
重要度: 中
リソースタイプ : AWS::NetworkFirewall::LoggingConfiguration
AWS Config ルール : netfw-logging-enabled
スケジュールタイプ: 定期的
パラメータ : なし
このコントロールは、AWS Network Firewall ファイアウォールでログ記録が有効になっているかどうかをチェックします。少なくとも 1 つのログタイプでログ記録が有効になっていない場合、またはログ記録先が存在しない場合、コントロールは失敗します。
ログ記録はファイアウォールの信頼性、可用性、パフォーマンスの維持に有益です。Network Firewall でログを記録すると、ステートフルエンジンがパケットフローを受信した時間、パケットフローに関する詳細情報、パケットフローに対して実行されたステートフルルールアクションなど、ネットワークトラフィックに関する詳細情報が得られます。
修正
ファイアウォールのログ記録を有効にするには、「AWS Network Firewall 開発者ガイド」の「Updating a firewall's logging configuration」を参照してください。
[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::NetworkFirewall::FirewallPolicy
AWS Config ルール : netfw-policy-rule-group-associated
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、Network Firewall ポリシーに、ステートフルなルールグループかステートレスなルールグループのいずれかが関連付けられているかどうかをチェックします。ステートレスまたはステートフルなルールグループが割り当てられていない場合、このコントロールは失敗します。
ファイアウォールポリシーは、ファイアウォールが Amazon Virtual Private Cloud (Amazon VPC) のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループの設定は、パケットとトラフィックフローのフィルタリングに役立ち、デフォルトのトラフィック処理を定義します。
修正
Network Firewall ポリシーにルールグループを追加する方法については、「AWS Network Firewall デベロッパーガイド」の「Updating a firewall policy」(ファイアウォールポリシーの更新) を参照してください。ルールグループの作成および管理方法については、「AWS Network Firewall のルールグループ」を参照してください。
[NetworkFirewall.4] Network Firewall ポリシーのデフォルトのステートレスアクションは、完全なパケットに対してドロップまたは転送される必要があります。
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::NetworkFirewall::FirewallPolicy
AWS Config ルール : netfw-policy-default-action-full-packets
スケジュールタイプ: 変更がトリガーされた場合
パラメータ :
statelessDefaultActions: aws:drop,aws:forward_to_sfe(カスタマイズ不可)
このコントロールは、Network Firewall ポリシーの完全なパケットに対するデフォルトのステートレスアクションが、ドロップまたは転送かどうかをチェックします。Drop または Forward が選択されている場合、コントロールはパスします。Pass が選択されている場合、このコントロールは失敗します。
ファイアウォールポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定し、パケットとトラフィックフローをフィルタリングします。Pass をデフォルトに設定すると、意図しないトラフィックが許可される可能性があります。
修正
ファイアウォール ポリシーを変更する方法については、「AWS Network Firewall デベロッパーガイド」の「ファイアウォールポリシーの更新」 を参照してください。[ステートレスデフォルトアクション] で、[編集] を選択します。続いて、[アクション] として、[ドロップ] または [ステートフルルールグループに転送] を選択します。
[NetworkFirewall.5] Network Firewall ポリシーのデフォルトのステートレスアクションは、断片化されたパケットに対してドロップまたは転送される必要があります。
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::NetworkFirewall::FirewallPolicy
AWS Config ルール : netfw-policy-default-action-fragment-packets
スケジュールタイプ: 変更がトリガーされた場合
パラメータ :
statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe(カスタマイズ不可)
このコントロールは、Network Firewall ポリシーの断片化されたパケットに対するデフォルトのステートレスアクションが、ドロップまたは転送かどうかをチェックします。Drop または Forward が選択されている場合、コントロールはパスします。Pass が選択されている場合、このコントロールは失敗します。
ファイアウォールポリシーは、ファイアウォールが Amazon VPC のトラフィックをモニタリングおよび処理する方法を定義します。ステートレスおよびステートフルのルールグループを設定し、パケットとトラフィックフローをフィルタリングします。Pass をデフォルトに設定すると、意図しないトラフィックが許可される可能性があります。
修正
ファイアウォール ポリシーを変更する方法については、「AWS Network Firewall デベロッパーガイド」の「ファイアウォールポリシーの更新」 を参照してください。[ステートレスデフォルトアクション] で、[編集] を選択します。続いて、[アクション] として、[ドロップ] または [ステートフルルールグループに転送] を選択します。
[NetworkFirewall.6] ステートレス Network Firewall のルールグループを空にしないでください
関連する要件: NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)
カテゴリ: 保護 > セキュアなネットワーク設定
重要度: 中
リソースタイプ : AWS::NetworkFirewall::RuleGroup
AWS Config ルール : netfw-stateless-rule-group-not-empty
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS Network Firewall のステートレスルールグループにルールが含まれているかどうかをチェックします。ルールグループにルールが含まれない場合、コントロールは失敗します。
ルールグループには、ファイアウォールが VPC 内のトラフィックを処理する方法を定義するルールが含まれています。ファイアウォールポリシーに空のステートレスルールグループが存在する場合、ルールグループがトラフィックを処理するという印象を与える可能性があります。ただし、ステートレスルールグループが空の場合、トラフィックは処理されません。
修正
ネットワークファイアウォールのルールグループにルールを追加するには、「AWS Network Firewall デベロッパーガイド」の「ステートフルルールグループの更新」を参照してください。ファイアウォールの詳細ページの [ステートレスルールグループ] で、[編集] を選択してルールを追加します。
[NetworkFirewall.7] Network Firewall ファイアウォールにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::NetworkFirewall::Firewall
AWS Config ルール: tagged-networkfirewall-firewall (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、AWS Network Firewall ファイアウォールにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ファイアウォールにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ファイアウォールにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは AWS リソースに割り当てることができるラベルで、各タグはキーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール)、および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。ABAC の詳細については、「IAM ユーザーガイド」の「ABAC の目的AWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグは、AWS Billing を含む多くの AWS のサービス からアクセスできます。タグ付けのベストプラクティスの詳細については、「AWS 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。
修正
Network Firewall ファイアウォールにタグを追加するには、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewall リソースのタグ付け」を参照してください。
[NetworkFirewall.8] Network Firewall ファイアウォールポリシーにはタグを付ける必要があります
カテゴリ: 識別 > インベントリ > タグ付け
重要度: 低
リソースタイプ : AWS::NetworkFirewall::FirewallPolicy
AWS Config ルール: tagged-networkfirewall-firewallpolicy (カスタム Security Hub ルール)
スケジュールタイプ: 変更がトリガーされた場合
パラメータ :
| パラメータ | 説明 | [Type] (タイプ) | 許可されているカスタム値 | Security Hub のデフォルト値 |
|---|---|---|---|---|
requiredTagKeys
|
評価されたリソースに含める必要があるシステム以外のタグキーのリスト。タグキーでは、大文字と小文字が区別されます。 | StringList | AWS 要件を満たすタグのリスト |
No default value
|
このコントロールは、AWS Network Firewall ファイアウォールポリシーにパラメータ requiredTagKeys で定義された特定のキーを持つタグがあるかどうかをチェックします。ファイアウォールポリシーにタグキーがない場合、またはパラメータ requiredTagKeys で指定されたすべてのキーがない場合、コントロールは失敗します。パラメータ requiredTagKeys が指定されていない場合、コントロールはタグキーの存在のみをチェックし、ファイアウォールポリシーにキーがタグ付けされていない場合は失敗します。自動的に適用され、aws: で始まるシステムタグは無視されます。
タグは AWS リソースに割り当てることができるラベルで、各タグはキーとオプションの値で構成されます。タグを作成することで、リソースを目的、所有者、環境その他の基準別に分類できます。タグは、リソースの識別、整理、検索、フィルタリングに役立ちます。タグ付けは、アクションと通知の説明責任のあるリソース所有者を追跡するのに役立ちます。タグ付けを使用する場合、タグに基づいてアクセス許可を定義する認証戦略として属性ベースのアクセスコントロール (ABAC) を実装できます。タグは、IAM エンティティ (ユーザーまたはロール)、および AWS リソースにアタッチできます。IAM プリンシパルに対して、単一の ABAC ポリシー、または個別のポリシーセットを作成できます。これらの ABAC ポリシーを、プリンシパルのタグがリソースタグと一致するときに操作を許可するように設計することができます。ABAC の詳細については、「IAM ユーザーガイド」の「ABAC の目的AWS」を参照してください。
注記
タグには、個人を特定できる情報 (PII) や、機密情報あるいは秘匿性の高い情報は追加しないでください。タグは、AWS Billing を含む多くの AWS のサービス からアクセスできます。タグ付けのベストプラクティスの詳細については、「AWS 全般のリファレンス」の「AWS リソースのタグ付け」を参照してください。
修正
Network Firewall ポリシーにタグを追加するには、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewall リソースのタグ付け」を参照してください。
[NetworkFirewall.9] Network Firewall は削除保護を有効にする必要があります
関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
カテゴリ: 保護 > ネットワークセキュリティ
重要度: 中
リソースタイプ : AWS::NetworkFirewall::Firewall
AWS Config ルール : netfw-deletion-protection-enabled
スケジュールタイプ: 変更がトリガーされた場合
パラメータ : なし
このコントロールは、AWS Network Firewall ファイアウォールで削除保護が有効になっているかどうかをチェックします。ファイアウォールで削除保護が有効になっていないと、コントロールは失敗します。
AWS Network Firewall は、ステートフルのマネージドネットワークファイアウォールおよび侵入検知サービスであり、仮想プライベートクラウド (VPC) に出入りするトラフィック、仮想プライベートクラウド (VPC) 間のトラフィックの検査とフィルタリングを可能にします。削除防止設定は、ファイアウォールが誤って削除されないように保護するものです。
修正
既存の Network Firewall ファイアウォールで削除保護を有効にするには、「AWS Network Firewall デベロッパーガイド」の「ファイアウォールの更新」を参照してください。[変更保護] で [有効化] を選択します。UpdateFirewallDeleteProtection API を呼び出し、DeleteProtection フィールドを true に設定することで削除保護を有効にすることもできます。
