AWS Firewall Manager 정책에 대한 규정 준수 정보 보기 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Firewall Manager 정책에 대한 규정 준수 정보 보기

이 섹션에서는 AWS Firewall Manager 정책 범위에 있는 계정 및 리소스의 규정 준수 상태를 보는 방법에 대한 지침을 제공합니다. 클라우드의 보안 및 규정 준수를 유지하기 AWS 위해에 마련된 제어에 대한 자세한 내용은 섹션을 참조하세요Firewall Manager에 대한 규정 준수 확인.

참고

Firewall Manager가 정책 준수를 모니터링하려면 보호된 리소스에 대한 구성 변경을 지속적으로 기록해야 AWS Config 합니다. AWS Config 구성에서 레코딩 빈도는 기본 설정인 연속으로 설정되어야 합니다.

참고

보호된 리소스에서 적절한 규정 준수 상태를 유지하려면 Firewall Manager 보호 상태를 자동으로든, 수동으로든 반복해서 변경하지 마세요. Firewall Manager는의 정보를 사용하여 리소스 구성에 대한 변경 사항을 감지 AWS Config 합니다. 변경 사항이 충분히 빠르게 적용되면 일부 변경 사항이 추적 AWS Config 되지 않아 Firewall Manager에서 규정 준수 또는 문제 해결 상태에 대한 정보가 손실될 수 있습니다.

Firewall Manager로 보호 중인 리소스에 잘못된 규정 준수 또는 문제 해결 상태가 있는 경우 먼저 Firewall Manager 보호를 변경하거나 재설정하는 프로세스를 실행하고 있지 않은지 확인한 다음에서 연결된 구성 규칙을 재평가하여 리소스에 대한 AWS Config 추적을 새로 고칩니다 AWS Config.

모든 AWS Firewall Manager 정책에 대해 정책 범위에 있는 계정 및 리소스의 규정 준수 상태를 볼 수 있습니다. 정책의 설정이 계정이나 자원의 설정에 반영되는 경우, 계정 또는 자원은 Firewall Manager 정책을 준수합니다. 각 정책 유형에는 고유한 규정 준수 요구 사항이 있으며, 사용자는 정책을 정의할 때 이러한 내용을 조정할 수 있습니다. 일부 정책의 경우, 범위 내 리소스에 대한 자세한 위반 정보를 볼 수도 있으므로 보안 위험을 더 잘 이해하고 관리하는 데 도움이 됩니다.

정책에 대한 규정 준수 정보를 보려면

  1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. 정책을 선택합니다. 정책 페이지의 계정 및 리소스 탭에서 Firewall Manager는 조직의 계정을 정책 범위 내에 있는 계정과 범위 밖에 있는 계정별로 그룹화하여 나열합니다.

    정책 범위 내 계정 창에는 각 계정의 규정 준수 상태가 나열됩니다. 규정 준수 상태는 계정의 범위 내 리소스 모두에 정책이 성공적으로 적용되었음을 나타냅니다. 비준수 상태는 정책이 계정의 범위 내 리소스 중 하나 이상에 적용되지 않았음을 나타냅니다.

  4. 규정을 준수하지 않는 계정을 선택하십시오. 계정 페이지에서 Firewall Manager는 각 비준수 리소스의 ID 및 유형과 해당 리소스가 정책을 위반하는 이유를 나열합니다.

    참고

    리소스 유형AWS::EC2::NetworkInterface(ENI) 및의 경우 AWS::EC2::InstanceFirewall Manager에 규정 미준수 리소스 수가 제한되어 있을 수 있습니다. 규정을 준수하지 않는 리소스를 추가로 나열하려면 계정에 대해 처음에 표시되는 리소스를 수정하십시오.

  5. Firewall Manager 정책 유형이 콘텐츠 감사 보안 그룹 정책인 경우, 리소스에 대한 자세한 위반 정보에 액세스할 수 있습니다.

    위반 세부 정보를 보려면 리소스를 선택합니다.

    참고

    Firewall Manager에서 리소스 위반에 대한 세부 정보 페이지를 추가하기 전에 규정을 준수하지 않는 것으로 확인된 리소스에는 위반 세부 정보가 없을 수 있습니다.

    리소스 페이지에서 Firewall Manager는 리소스 유형에 따라 위반에 대한 특정 세부 정보를 나열합니다.

    • AWS::EC2::NetworkInterface (ENI) - Firewall Manager는 리소스가 준수하지 않는 보안 그룹에 대한 정보를 표시합니다. 보안 그룹을 선택하면 보안 그룹에 대한 세부 정보를 볼 수 있습니다.

    • AWS::EC2::Instance - Firewall Manager는 규정을 준수하지 않는 EC2 인스턴스에 ENI 연결된를 표시합니다. 또한 리소스가 준수하지 않는 보안 그룹에 대한 정보도 표시합니다. 보안 그룹을 선택하면 보안 그룹에 대한 세부 정보를 볼 수 있습니다.

    • AWS::EC2::SecurityGroup – Firewall Manager는 다음과 같은 위반 세부 정보를 표시합니다.

      • 규정 미준수 보안 그룹 규칙 - 프로토콜, 포트 범위, IP CIDR 범위 및 설명을 포함하여 위반에 해당하는 규칙입니다.

      • 참조 규칙 - 비준수 보안 그룹 규칙이 위반하는 감사 보안 그룹 규칙(세부 정보 포함)

      • 위반 사유 – 규정 미준수 결과에 대한 설명.

      • 개선 조치 – 취해야 할 권장 조치. Firewall Manager에서 안전한 수정 조치를 결정할 수 없는 경우 이 필드는 비어 있습니다.

    • AWS::EC2::Subnet - 네트워크 ACL 및 네트워크 방화벽 정책에 사용됩니다.

      Firewall Manager는 서브넷 ID, VPC ID 및 가용 영역을 표시합니다. 해당하는 경우 Firewall Manager에는 위반에 대한 추가 정보가 포함됩니다. 위반 설명 구성 요소에는 리소스의 예상 상태, 현재 비준수 상태에 대한 설명과 가능한 경우 불일치의 원인에 대한 설명이 포함되어 있습니다.

      네트워크 방화벽 위반

      • 라우팅 관리 위반 - 모니터링 모드를 사용하는 네트워크 방화벽 정책의 경우 Firewall Manager는 서브넷, 인터넷 게이트웨이 및 네트워크 방화벽 서브넷 라우팅 테이블의 예상 및 실제 경로뿐만 아니라 기본 서브넷 정보를 표시합니다. Firewall Manager는 실제 경로가 라우팅 테이블의 예상 경로와 일치하지 않는 경우 위반이 있음을 알려줍니다.

      • 라우팅 관리 위반에 대한 수정 조치 - 모니터링 모드를 사용하는 네트워크 방화벽 정책의 경우 Firewall Manager는 위반이 있는 경로 구성에 대해 가능한 수정 조치를 제안합니다.

      예를 들어, 서브넷은 방화벽 엔드포인트를 통해 트래픽을 전송할 것으로 예상되지만 현재 서브넷은 트래픽을 인터넷 게이트웨이로 직접 전송하고 있다고 하겠습니다. 이는 라우팅 관리 위반입니다. 이 경우 제안되는 해결 방법은 순서가 지정된 조치 목록일 수 있습니다. 첫 번째는 Network Firewall 서브넷의 라우팅 테이블에 필요한 경로를 추가하여 발신 트래픽을 인터넷 게이트웨이로 보내고 내 대상의 수신 트래픽을 VPC로 보내는 것이 좋습니다`local`. 두 번째 권장 사항은 서브넷의 라우팅 테이블에 있는 인터넷 게이트웨이 경로 또는 잘못된 네트워크 방화벽 경로를 대체하여 나가는 트래픽을 방화벽 엔드포인트로 보내는 것입니다. 세 번째 권장 사항은 인터넷 게이트웨이의 라우팅 테이블에 필수 경로를 추가하여 들어오는 트래픽을 방화벽 엔드포인트로 보내는 것입니다.

    • AWS::EC2:InternetGateway - 모니터링 모드가 활성화된 네트워크 방화벽 정책에 사용됩니다.

      • 라우팅 관리 위반 - 인터넷 게이트웨이가 라우팅 테이블에 연결되어 있지 않거나 인터넷 게이트웨이 라우팅 테이블에 잘못된 경로가 있는 경우 인터넷 게이트웨이는 규정을 준수하지 않습니다.

      • 라우팅 관리 위반에 대한 해결 조치 - Firewall Manager는 라우팅 관리 위반을 해결하기 위한 가능한 수정 조치를 제안합니다.

      예 1 - 라우팅 관리 위반 및 개선 제안

      인터넷 게이트웨이가 라우팅 테이블과 연결되어 있지 않습니다. 제안된 개선 조치는 순서가 지정된 조치 목록일 수 있습니다. 첫 번째 작업은 라우팅 테이블을 생성하는 것입니다. 두 번째 작업은 라우팅 테이블을 인터넷 게이트웨이와 연결하는 것입니다. 세 번째 작업은 인터넷 게이트웨이 라우팅 테이블에 필요한 경로를 추가하는 것입니다.

      예 2 - 라우팅 관리 위반 및 개선 제안

      인터넷 게이트웨이가 유효한 라우팅 테이블과 연결되었지만 경로가 잘못 구성되었습니다. 제안된 해결 방법은 순서가 지정된 작업 목록일 수 있습니다. 첫 번째 제안은 잘못된 경로를 제거하는 것입니다. 두 번째는 인터넷 게이트웨이 라우팅 테이블에 필요한 경로를 추가하는 것입니다.

    • AWS::NetworkFirewall::FirewallPolicy - 네트워크 방화벽 정책에 사용됩니다. Firewall Manager는 규정을 준수하지 않는 방식으로 수정된 네트워크 방화벽 방화벽 정책에 대한 정보를 표시합니다. 이 정보는 예상 방화벽 정책과 고객 계정에서 찾은 정책을 제공하므로 상태 비저장 및 상태 저장 규칙 그룹 이름과 우선 순위 설정, 사용자 지정 작업 이름, 기본 상태 비저장 작업 설정을 비교할 수 있습니다. 위반 설명 구성 요소에는 리소스의 예상 상태, 현재 비준수 상태에 대한 설명과 가능한 경우 불일치의 원인에 대한 설명이 포함되어 있습니다.

    • AWS::EC2::VPC - DNS 방화벽 정책에 사용됩니다. Firewall Manager는 Firewall Manager DNS 방화벽 정책의 범위에 있고 정책을 준수하지 VPC 않는에 대한 정보를 표시합니다. 제공된 정보에는 VPC 및 실제 규칙 그룹과 연결될 것으로 예상되는 예상 규칙 그룹이 포함됩니다. 위반 설명 구성 요소에는 리소스의 예상 상태, 현재 비준수 상태에 대한 설명과 가능한 경우 불일치의 원인에 대한 설명이 포함되어 있습니다.

    • AWS::WAFv2::WebACL - 기존 웹에 대한 추가 적용을 지정하는 구성의 AWS WAF 정책에 사용됩니다ACLs. Firewall Manager는 범위 내 리소스와 연결되어 있지만 Firewall Manager의 개량과 완전히 호환되지 ACL 않는 웹에 대한 정보를 표시합니다. 예를 들어 웹ACL이 정책의 범위에 속하지 않는 리소스와도 연결된 경우 Firewall Manager는 이를 새로 고칠 수 없습니다.