本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Security Hub CSPM 控件适用于 AWS Network Firewall
这些 AWS Security Hub CSPM 控制措施评估 AWS Network Firewall 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。
## [NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中
**相关要求:** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36、 NIST.800-53.r5 SC-5 (2)、nist.800-53.r5 SI-13 (5)
**类别:**恢复 > 弹性 > 高可用性
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::Firewall`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件评估通过管理的防火墙 AWS Network Firewall 是否部署在多个可用区 (AZs)。如果防火墙仅部署在一个可用区中,则控制失败。
AWS 全球基础设施包括多个 AWS 区域。 AZs 在每个区域内都是物理上分开的、孤立的地点,通过低延迟、高吞吐量和高度冗余的网络连接。通过在多个 AZs防火墙上部署 Network Firewall 防火墙 AZs,您可以平衡和转移流量,这有助于您设计高度可用的解决方案。
### 修复
**在多个防火墙上部署 Network Firewall AZs**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中的**网络防火墙** 下,选择**防火墙**。
1. 在**防火墙**页面上,选择要编辑的防火墙。
1. 在防火墙详细信息页面上,选择**防火墙详细信息**选项卡。
1. 在**关联策略和 VPC** 部分中,选择**编辑**
1. 要添加新的可用区,请选择**添加新子网**。请选择您要使用的可用区和子网。确保至少选择两个 AZs。
1. 选择**保存**。
## [NetworkFirewall.2] 应启用 Network Firewall 日志记录
**相关要求:** NIST.800-53.r5 AC-2(12)、(4)、(26)、(9)、 NIST.800-53.r5 AC-2 (9)、(9)、nist.800-53.r5 SI-3 NIST.800-53.r5 AC-4 (8)、 NIST.800-53.r5 AC-6 nist.800-53.r5 SI-4 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-4 NIST.800-53.r5 SC-7 (20)、nist.800-53.r5 SI-7 (8)、nist.800-171.r2 3.1.r2 3.1.r2 (20)、nist.800-53.r5 SI-7 (8) 20,nist.800-171.r2 3.13.1
**类别:**识别 > 日志记录
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::LoggingConfiguration`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**计划类型:**定期
**参数:**无
此控件检查是否已为 AWS Network Firewall 防火墙启用日志记录。如果没有为至少一种日志类型启用日志记录或者日志记录目标不存在,则控制失败。
日志记录可帮助您保持防火墙的可靠性、可用性和性能。在 Network Firewall 中,日志记录为您提供有关网络流量的详细信息,包括有状态引擎接收数据包流的时间、有关数据包流的详细信息以及针对数据包流采取的任何有状态规则操作。
### 修复
要启用防火墙日志记录,请参阅《AWS Network Firewall 开发人员指南》**中的[更新防火墙的日志记录配置](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html)。
## [NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
**相关要求:** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.1.3、nist.800-171.r2 3.13.1
**类别:**保护 > 安全网络配置
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::FirewallPolicy`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 Network Firewall 策略是否关联了任何状态或无状态规则组。如果未分配无状态或有状态规则组,则控制失败。
防火墙策略定义防火墙如何监控和处理 Amazon Virtual Private Cloud(Amazon VPC)中的流量。配置无状态和有状态规则组有助于筛选数据包和流量,并定义默认流量处理。
### 修复
要向 Network Firewall 策略添加规则组,请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。有关创建和管理规则组的信息,请参阅 [AWS Network Firewall中的规则组](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。
## [NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包
**相关要求:** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2
**类别:**保护 > 安全网络配置
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::FirewallPolicy`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**计划类型:**已触发变更
**参数:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe`(不可自定义)
此控件检查 Network Firewall 策略中对完整数据包的默认无状态操作是丢弃还是转发。如果选择了 `Drop` 或 `Forward`,则控制通过,如果选择 `Pass` 则控制失败。
防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 `Pass` 可能会允许意外流量。
### 修复
要变更您的防火墙策略,请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。对于**无状态默认操作**,请选择**编辑**。然后,选择**丢弃**或**转发到有状态的规则组**作为**操作**。
## [NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
**相关要求:** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2、nist.800-171.r2 3.1.3、nist.800-171.r2 3.1.14、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.6
**类别:**保护 > 安全网络配置
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::FirewallPolicy`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**计划类型:**已触发变更
**参数:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe`(不可自定义)
此控件检查 Network Firewall 策略中对碎片数据包的默认无状态操作是丢弃还是转发。如果选择了 `Drop` 或 `Forward`,则控制通过,如果选择 `Pass` 则控制失败。
防火墙策略定义防火墙如何监控和处理 Amazon VPC 中的流量。您可以配置无状态和有状态规则组来筛选数据包和流量。默认为 `Pass` 可能会允许意外流量。
### 修复
要变更您的防火墙策略,请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙策略](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。对于**无状态默认操作**,请选择**编辑**。然后,选择**丢弃**或**转发到有状态的规则组**作为**操作**。
## [NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空
**相关要求:** NIST.800-53.r5 AC-4(21)、(11)、(16)、(21)、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7、nist.800-171.r2 3.1.3、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.1.14、nist.800-171.r2 3.1.14、nist.800-171.r2 3.13.1、nist.800-171.r2 3.13.6 NIST.800-53.r5 SC-7
**类别:**保护 > 安全网络配置
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::RuleGroup`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**计划类型:**已触发变更
**参数:**无
此控件检查中的无状态规则组是否 AWS Network Firewall 包含规则。如果规则组中没有规则,则控制失败。
规则组包含的规则定义防火墙如何处理您的 VPC 中的流量。当防火墙策略中存在空的无状态规则组时,可能会给人一种规则组将处理流量的印象。但是,当无状态规则组为空时,它不处理流量。
### 修复
要将规则添加到 Network Firewall 规则组,请参阅 *AWS Network Firewall 开发人员指南*中的[更新有状态规则组](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html)。在防火墙详细信息页面上,对于**无状态规则组**,选择**编辑**以添加规则。
## [NetworkFirewall.7] 应标记 Network Firewall 防火墙
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::NetworkFirewall::Firewall`
**AWS Config 规则:**`tagged-networkfirewall-firewall`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | No default value |
此控件检查 AWS Network Firewall 防火墙是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果防火墙没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键,则此控件将失败。如果未提供 `requiredTagKeys` 参数,则此控件仅检查是否存在标签键,如果防火墙未使用任何键进行标记,则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
**注意**
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*
### 修复
要向 Network Firewall 防火墙添加标签,请参阅《*AWS Network Firewall 开发者指南*》中的[标记 AWS Network Firewall 资源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。
## [NetworkFirewall.8] 应标记 Network Firewall 防火墙策略
**类别:**识别 > 清单 > 标记
**严重性:**低
**资源类型:**`AWS::NetworkFirewall::FirewallPolicy`
**AWS Config 规则:**`tagged-networkfirewall-firewallpolicy`(自定义 Security Hub CSPM 规则)
**计划类型:**已触发变更
**参数:**
| 参数 | 说明 | Type | 允许的自定义值 | Security Hub CSPM 默认值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 被评估资源必须包含的非系统标签键列表。标签密钥区分大小写。 | StringList (最多 6 件商品) | 1-6 个符合 [AWS 要求](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)的标签键。 | No default value |
此控件检查 AWS Network Firewall 防火墙策略是否具有参数中定义的特定密钥的标签`requiredTagKeys`。如果防火墙策略没有任何标签键或未在 `requiredTagKeys` 参数中指定所有键,则此控件将失败。如果未提供 `requiredTagKeys` 参数,则此控件仅检查是否存在标签键,如果防火墙策略未使用任何键进行标记,则此控件将失败。自动应用并以 `aws:` 为开头的系统标签会被忽略。
标签是您分配给 AWS 资源的标签,它由密钥和可选值组成。您可以创建标签,以按用途、所有者、环境或其他标准对资源进行分类。标签可帮助您识别、组织、搜索和筛选资源。使用标签进行标记还可以帮助您跟踪负责操作和通知的资源所有者。使用标签进行标记时,可以将基于属性的访问权限控制(ABAC)作为授权策略实施,该策略根据标签来定义权限。您可以向 IAM 实体(用户或角色)和 AWS 资源附加标签。您可以为 IAM 主体创建单个 ABAC 策略或者一组单独的策略。您可以将这些 ABAC 策略设计为允许在主体的标签与资源标签匹配时进行操作。有关更多信息,请参阅 [ABAC 有什么用 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? 在 *IAM 用户指南*中。
**注意**
请勿在标签中添加个人身份信息(PII)或者其他机密或敏感信息。许多人都可以访问标签 AWS 服务,包括 AWS Billing。有关更多标记最佳做法,请参阅中的为[AWS 资源添加标签](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)。*AWS 一般参考*
### 修复
要向 Network Firewall 策略添加标签,请参阅《*AWS Network Firewall 开发者指南*》中的[标记 AWS Network Firewall 资源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。
## [NetworkFirewall.9] Network Firewall 防火墙应启用删除保护
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**类别:**保护 > 网络安全
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::Firewall`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 AWS Network Firewall 防火墙是否启用了删除保护。如果未为防火墙启用删除保护,则控制失败。
AWS Network Firewall 是一项有状态的托管网络防火墙和入侵检测服务,可让您检查和过滤进出虚拟私有云或虚拟私有云之间的流量(VPCs)。删除保护设置可防止意外删除防火墙。
### 修复
要在现有 Network Firewall 防火墙上启用删除保护,请参阅 *AWS Network Firewall 开发人员指南*中的[更新防火墙](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。对于**变更保护**,选择**启用**。您也可以通过调用 [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html)API 并将该`DeleteProtection`字段设置为来`true`启用删除保护。
## [NetworkFirewall.10] Network Firewall 防火墙应启用子网变更保护
**相关要求:** NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**类别:**保护 > 网络安全
**严重性:**中
**资源类型:**`AWS::NetworkFirewall::Firewall`
**AWS Config 规则:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**计划类型:**已触发变更
**参数:**无
此控件检查 AWS Network Firewall 防火墙是否启用了子网更改保护。如果未为防火墙启用子网更改保护,则该控件会失败。
AWS Network Firewall 是一项有状态的托管网络防火墙和入侵检测服务,可用于检查和过滤进出虚拟私有云或虚拟私有云之间的流量(VPCs)。如果为 Network Firewall 防火墙启用子网更改保护,则可以保护防火墙免遭其子网关联意外更改。
### 修复
有关为现有 Network Firewall 防火墙启用子网更改保护的信息,请参阅《AWS Network Firewall 开发人员指南》**中的 [Updating a firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。