Visualizando as informações de conformidade de uma política do AWS Firewall Manager
Esta seção fornece orientação para visualizar o status de conformidade de contas e recursos que estão no escopo de uma política do AWS Firewall Manager. Para obter informações sobre os controles em vigor na AWS para manter a segurança e a conformidade da nuvem, consulte Validação de conformidade do Firewall Manager.
nota
Para que o Firewall Manager monitore a conformidade com as políticas, o AWS Config deve registrar continuamente as alterações de configuração dos recursos protegidos. Na sua configuração do AWS Config, a frequência de gravação deve ser definida como Contínua, que é a configuração padrão.
nota
Para manter o estado de conformidade adequado em seus recursos protegidos, evite alterar repetidamente o estado das proteções do Firewall Manager, automática ou manualmente. O Firewall Manager usa as informações do AWS Config para detectar alterações nas configurações dos recursos. Se as alterações forem aplicadas com rapidez suficiente, o AWS Config pode perder o controle de algumas delas, o que pode resultar na perda de informações sobre conformidade ou estado de correção no Firewall Manager.
Se você perceber que um recurso que você está protegendo com o Firewall Manager tem um status incorreto de conformidade ou correção, primeiro verifique se não está executando nenhum processo que altere ou redefina as proteções do Firewall Manager e, em seguida, atualize o rastreamento do AWS Config para o recurso reavaliando as regras de configuração associadas no AWS Config.
Para todas as políticas do AWS Firewall Manager, você pode visualizar o status de conformidade de contas e recursos que estão no escopo da política. Uma conta ou recurso está em conformidade com a política do Firewall Manager se as configurações da política estiverem refletidas nas configurações da conta ou do recurso. Cada tipo de política tem seus próprios requisitos de conformidade, que você pode ajustar ao definir a política. Para algumas políticas, você também pode visualizar informações detalhadas sobre violações dos recursos do escopo, para ajudá-lo a entender e gerenciar melhor seu risco de segurança.
Para visualizar informações de conformidade de uma política
-
Faça login no AWS Management Console usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2
. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager. nota
Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.
-
No painel de navegação, escolha Políticas de segurança.
-
Escolha uma política. Na guia Contas e recursos da página de política, o Firewall Manager lista as contas em sua organização, agrupadas segundo as que estão dentro do escopo da política e as que estão fora do escopo.
O painel Contas dentro do escopo da política lista o status de conformidade de cada conta. O status Conforme indica que a política foi aplicada com sucesso a todos os recursos no escopo da conta. O status Não Conforme indica que a política não foi aplicada a um ou mais recursos no escopo da conta.
-
Escolha uma conta que não esteja em conformidade. Na página da conta, o Firewall Manager lista a ID e o tipo de cada recurso não conforme e o motivo pelo qual o recurso viola a política.
nota
Para os tipos de recursos
AWS::EC2::NetworkInterface
(ENI) eAWS::EC2::Instance
, o Firewall Manager pode mostrar um número limitado de recursos não conformes. Para listar recursos adicionais não conformes, corrija os que são exibidos inicialmente para a conta. -
Se o tipo de política do Firewall Manager for uma política de grupo de segurança de auditoria de conteúdo, você poderá acessar informações detalhadas sobre as violações de um recurso.
Para ver os detalhes da violação, escolha o recurso.
nota
Os recursos que o Firewall Manager considerou não conformes antes da adição da página detalhada de violação de recursos podem não ter detalhes da violação.
Na página de recursos, o Firewall Manager lista detalhes específicos sobre a violação, de acordo com o tipo de recurso.
-
AWS::EC2::NetworkInterface
(ENI): o Firewall Manager exibe informações sobre o grupo de segurança com o qual o recurso não está em conformidade. Escolha o grupo de segurança para ver mais detalhes sobre ele. -
AWS::EC2::Instance
: o Firewall Manager exibe a ENI anexada à instância do EC2 que não está em conformidade. Ele também exibe informações sobre o grupo de segurança com os quais os recursos não estão em conformidade. Escolha o grupo de segurança para ver mais detalhes sobre ele. -
AWS::EC2::SecurityGroup
: o Firewall Manager exibe os seguintes detalhes da violação:-
Regra de grupo de segurança não conforme: A regra que viola, incluindo seu protocolo, intervalo de portas, intervalo de IP CIDR e descrição.
-
Regra referenciada: A regra do grupo de segurança de auditoria que a regra do grupo de segurança que não está em conformidade viola, com seus detalhes.
-
Motivos da violação: Explicação da descoberta de não conformidade.
-
Ação de correção: Ação a ser tomada sugerida. Se o Firewall Manager não conseguir determinar uma ação de correção segura, este campo estará em branco.
-
-
AWS::EC2::Subnet
: é usado para políticas de ACL de rede e Firewall de Rede.O Firewall Manager exibe a ID da sub-rede, a ID da VPC e a Zona de Disponibilidade. Se aplicável, o Firewall Manager inclui informações adicionais sobre a violação. O componente de descrição da violação contém uma descrição do estado esperado do recurso, o estado atual de não conformidade e, se disponível, uma descrição do que causou a discrepância.
Violações do firewall de rede
-
Violações do gerenciamento de rotas: Para políticas de Firewall de Rede que usam o modo Monitor, o Gerenciador de Firewall exibe informações básicas da sub-rede, bem como as rotas esperadas e reais na tabela de rotas da sub-rede, do gateway da Internet e da sub-rede do Firewall de Rede. O Firewall Manager alerta você de que há uma violação se as rotas reais não corresponderem às rotas esperadas na tabela de rotas.
-
Ações de remediação para violações do gerenciamento de rotas: Para políticas de Firewall de Rede que usam o modo Monitor, o Firewall Manager sugere possíveis ações de remediação em configurações de rotas que tenham violações.
Por exemplo, digamos que é esperado que uma sub-rede envie tráfego pelos endpoints do firewall, mas a sub-rede atual está enviando tráfego diretamente para o gateway da Internet. Isso é uma violação do gerenciamento de rotas. A correção sugerida nesse caso pode ser uma lista de ações ordenadas. A primeira é uma recomendação para adicionar as rotas necessárias à tabela de rotas da sub-rede do Firewall de Rede para direcionar o tráfego de saída para o gateway da Internet e direcionar o tráfego de entrada para destinos dentro da VPC para o
`local`
. A segunda recomendação é substituir a rota do gateway da Internet ou a rota inválida do Network Firewall na tabela de rotas da sub-rede para direcionar o tráfego de saída para os endpoints do firewall. A terceira recomendação é adicionar as rotas necessárias à tabela de rotas do gateway da Internet para direcionar o tráfego de entrada para os endpoints do firewall. -
-
AWS::EC2:InternetGateway
: Isso é usado para políticas de Firewall de Rede que têm o modo Monitor ativado.Violações do gerenciamento de rotas: O gateway da Internet não está em conformidade se o gateway da Internet não estiver associado a uma tabela de rotas ou se houver uma rota inválida na tabela de rotas do gateway da Internet.
Ações de remediação para violações do gerenciamento de rotas: O Firewall Manager sugere possíveis ações de remediação para remediar as violações do gerenciamento de rotas.
exemplo 1: Sugestões de violação e remediação do gerenciamento de rotas
A tabela de rotas não está associada ao gateway da Internet. As ações de correção sugeridas podem ser uma lista de ações ordenadas. A primeira ação é criar uma tabela de rotas. A segunda ação é associar a tabela de rotas ao gateway da Internet. A terceira ação é adicionar a rota necessária à tabela de rotas do gateway da Internet.
exemplo 2: Sugestões de violação e remediação do gerenciamento de rotas
O gateway da Internet está associado a uma tabela de rotas válida, mas a rota está configurada incorretamente. A correção sugerida pode ser uma lista de ações ordenadas. A primeira sugestão é remover a rota inválida. A segunda é adicionar a rota necessária à tabela de rotas do gateway da Internet.
-
AWS::NetworkFirewall::FirewallPolicy
: É usado para políticas de Firewall de Rede. O Firewall Manager exibe informações sobre uma política de firewall do Firewall de Rede que foi modificada de forma a que não esteja em conformidade. As informações fornecem a política de firewall esperada e a política encontrada na conta do cliente, para que você possa comparar nomes e configurações de prioridade de grupos de regras sem estado e com estado, nomes de ações personalizados e configurações padrão de ações sem estado. O componente de descrição da violação contém uma descrição do estado esperado do recurso, o estado atual de não conformidade e, se disponível, uma descrição do que causou a discrepância. -
AWS::EC2::VPC
: É usado para políticas de Firewall DNS. O Firewall Manager exibe informações sobre uma VPC que está no escopo de uma política de firewall DNS do Firewall Manager e que não está em conformidade com a política. As informações fornecidas incluem os grupos de regras esperados que devem ser associados à VPC e os grupos de regras reais. O componente de descrição da violação contém uma descrição do estado esperado do recurso, o estado atual de não conformidade e, se disponível, uma descrição do que causou a discrepância. -
AWS::WAFv2::WebACL
: isso é usado para políticas do AWS WAF cuja configuração especifica a adaptação para ACLs da Web existentes. O Firewall Manager exibe informações sobre uma ACL da Web associada a um recurso dentro do escopo, mas não é totalmente compatível com a adaptação feita pelo Firewall Manager. Por exemplo, se a ACL da Web também estiver associada a um recurso que não esteja no escopo da política, o Firewall Manager não poderá adaptá-la.
-