本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 的 Security Hub CSPM 控制項 AWS Network Firewall
這些 AWS Security Hub CSPM 控制項會評估 AWS Network Firewall 服務和資源。控制項可能無法全部使用 AWS 區域。如需詳細資訊,請參閱[依區域的控制項可用性](securityhub-regions.md#securityhub-regions-control-support)。
## 【NetworkFirewall.1] 網路防火牆防火牆應部署在多個可用區域
**相關要求:**NIST.800-53.r5 CP-10、NIST.800-53.r5 CP-6(2)、NIST.800-53.r5 SC-36、NIST.800-53.r5 SC-5(2)、NIST.800-53.r5 SI-13(5)
**類別:**復原 > 彈性 > 高可用性
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::Firewall`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-multi-az-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會評估透過 AWS Network Firewall 管理的防火牆是否跨多個可用區域 (AZs) 部署。如果防火牆僅部署在一個可用區域中,則控制項會失敗。
AWS 全球基礎設施包含多個 AWS 區域。AZs區域是每個區域內以低延遲、高輸送量和高備援聯網連接的實際隔離位置。透過在多個可用AZs部署 Network Firewall 防火牆,您可以在AZs之間平衡和轉移流量,這可協助您設計高可用性的解決方案。
### 修補
**在多個AZs部署 Network Firewall 防火牆**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格**的網路防火牆**下,選擇**防火牆**。
1. 在**防火牆**頁面上,選取要編輯的防火牆。
1. 在防火牆詳細資訊頁面上,選擇**防火牆詳細資訊**索引標籤。
1. 在**關聯的政策和 VPC** 區段中,選擇**編輯**
1. 若要新增可用區域,請選擇**新增子網路**。選取您要使用的 AZ 和子網路。請確定您至少選取兩個 AZs。
1. 選擇**儲存**。
## 【NetworkFirewall.2] 應啟用網路防火牆記錄
**相關要求:**NIST.800-53.r5 AC-2(12)、NIST.800-53.r5 AC-2(4)、NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AC-6(9)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.8000-5.r5)、AU-6NIST.5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-7 3.1.20
**類別:**識別 > 記錄日誌
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::LoggingConfiguration`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-logging-enabled.html)
**排程類型:**定期
**參數:**無
此控制項會檢查是否已為 AWS Network Firewall 防火牆啟用記錄。如果未針對至少一個日誌類型啟用記錄,或記錄目的地不存在,則控制項會失敗。
記錄可協助您維護防火牆的可靠性、可用性和效能。在 Network Firewall 中,記錄可提供網路流量的詳細資訊,包括具狀態引擎收到封包流程的時間、封包流程的詳細資訊,以及針對封包流程採取的任何具狀態規則動作。
### 修補
若要啟用防火牆的記錄,請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆的記錄組態](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-update-logging-configuration.html)。
## 【NetworkFirewall.3] 網路防火牆政策應至少有一個相關聯的規則群組
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.13.1
**類別:**保護 > 安全網路組態
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-rule-group-associated.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 Network Firewall 政策是否有任何相關聯的具狀態或無狀態規則群組。如果未指派無狀態或有狀態規則群組,則控制項會失敗。
防火牆政策會定義防火牆如何監控和處理 Amazon Virtual Private Cloud (Amazon VPC) 中的流量。無狀態和有狀態規則群組的組態有助於篩選封包和流量流程,並定義預設流量處理。
### 修補
若要將規則群組新增至網路防火牆政策,請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。如需建立和管理規則群組的資訊,請參閱 [中的規則群組 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。
## 【NetworkFirewall.4] Network Firewall 政策的預設無狀態動作應為捨棄或轉送完整封包
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2
**類別:**保護 > 安全網路組態
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-full-packets.html)
**排程類型:**已觸發變更
**參數:**
+ `statelessDefaultActions: aws:drop,aws:forward_to_sfe` (不可自訂)
此控制項會檢查網路防火牆政策完整封包的預設無狀態動作是捨棄還是轉送。如果選取 `Drop`或 `Forward` ,則控制項會通過,如果選取 `Pass` ,則 會失敗。
防火牆政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為 `Pass`可允許意外流量。
### 修補
若要變更防火牆政策,請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。針對**無狀態預設動作**,選擇**編輯**。然後,選擇**捨**棄或**轉送至具狀態規則群組**作為**動作**。
## 【NetworkFirewall.5] 網路防火牆政策的預設無狀態動作應為捨棄或轉送分段封包
**相關要求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1、NIST.800-171.r2 3.13.6
**類別:**保護 > 安全網路組態
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-policy-default-action-fragment-packets.html)
**排程類型:**已觸發變更
**參數:**
+ `statelessFragDefaultActions (Required) : aws:drop, aws:forward_to_sfe` (不可自訂)
此控制項會檢查網路防火牆政策片段封包的預設無狀態動作是捨棄還是轉送。如果選取 `Drop`或 `Forward` ,則控制項會通過,如果選取 `Pass` ,則 會失敗。
防火牆政策會定義防火牆如何監控和處理 Amazon VPC 中的流量。您可以設定無狀態和有狀態規則群組來篩選封包和流量。預設為 `Pass`可允許意外流量。
### 修補
若要變更防火牆政策,請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-updating.html)。針對**無狀態預設動作**,選擇**編輯**。然後,選擇**捨**棄或**轉送至具狀態規則群組**作為**動作**。
## 【NetworkFirewall.6] 無狀態網路防火牆規則群組不應為空
**相關需求:**NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)、NIST.800-53.r5 SC-7(5)、NIST.800-171.r2 3.1.3、NIST.800-171.r2 3.1.14、NIST.800-171.r2 3.13.1
**類別:**保護 > 安全網路組態
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::RuleGroup`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-stateless-rule-group-not-empty.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查 中的無狀態規則群組是否 AWS Network Firewall 包含規則。如果規則群組中沒有規則,則控制項會失敗。
規則群組包含定義防火牆如何處理 VPC 中流量的規則。當防火牆政策中有空的無狀態規則群組時,可能會給人留下規則群組將處理流量的印象。不過,當無狀態規則群組為空時,不會處理流量。
### 修補
若要將規則新增至 Network Firewall 規則群組,請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新具狀態規則群組](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-group-stateful-updating.html)。在防火牆詳細資訊頁面上,針對**無狀態規則群組**,選擇**編輯**以新增規則。
## 【NetworkFirewall.7] 應標記網路防火牆
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::NetworkFirewall::Firewall`
**AWS Config rule:**`tagged-networkfirewall-firewall`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許的自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1-6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | No default value |
此控制項會檢查 AWS Network Firewall 防火牆是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果防火牆沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果防火牆未標記任何金鑰,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 Network Firewall 防火牆,請參閱《 *AWS Network Firewall 開發人員指南*》中的[標記 AWS Network Firewall 資源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。
## 【NetworkFirewall.8] 應標記網路防火牆防火牆政策
**類別:**識別 > 庫存 > 標記
**嚴重性:**低
**資源類型:** `AWS::NetworkFirewall::FirewallPolicy`
**AWS Config rule:**`tagged-networkfirewall-firewallpolicy`(自訂 Security Hub CSPM 規則)
**排程類型:**已觸發變更
**參數:**
| 參數 | 說明 | Type | 允許自訂值 | Security Hub CSPM 預設值 |
| --- | --- | --- | --- | --- |
| requiredTagKeys | 評估資源必須包含的非系統標籤索引鍵清單。標籤金鑰會區分大小寫。 | StringList (最多 6 個項目) | 1–6 個符合[AWS 要求的](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-conventions)標籤金鑰。 | No default value |
此控制項會檢查 AWS Network Firewall 防火牆政策是否具有具有參數 中定義之特定金鑰的標籤`requiredTagKeys`。如果防火牆政策沒有任何標籤索引鍵,或沒有參數 中指定的所有索引鍵,則控制項會失敗`requiredTagKeys`。如果`requiredTagKeys`未提供 參數,則控制項只會檢查標籤索引鍵是否存在,如果防火牆政策未標記任何索引鍵,則 會失敗。系統會`aws:`忽略自動套用並以 開頭的系統標籤。
標籤是您指派給 AWS 資源的標籤,由索引鍵和選用值組成。您可建立標籤,以依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的當責資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 做為授權策略,以根據標籤定義許可。您可以將標籤連接至 IAM 實體 (使用者或角色) 和 AWS 資源。您可以為 IAM 主體建立單一 ABAC 政策或一組單獨的政策。您可以設計這些 ABAC 政策,以便在委託人的標籤符合資源標籤時允許操作。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[什麼是 ABAC AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。
**注意**
請勿在標籤中新增個人身分識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱《》中的[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html#tag-best-practices)*AWS 一般參考*。
### 修補
若要將標籤新增至 Network Firewall 政策,請參閱《 *AWS Network Firewall 開發人員指南*》中的[標記 AWS Network Firewall 資源](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tagging.html)。
## 【NetworkFirewall.9] 網路防火牆防火牆應啟用刪除保護
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
**類別:**保護 > 網路安全
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::Firewall`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-deletion-protection-enabled.html)
**排程類型:**變更已觸發
**參數:**無
此控制項會檢查 AWS Network Firewall 防火牆是否已啟用刪除保護。如果防火牆未啟用刪除保護,則控制項會失敗。
AWS Network Firewall 是一種具狀態的受管網路防火牆和入侵偵測服務,可讓您檢查和篩選進出虛擬私有雲端 (VPCs) 的流量。刪除保護設定可防止意外刪除防火牆。
### 修補
若要在現有的 Network Firewall 防火牆上啟用刪除保護,請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。針對**變更保護**,選取**啟用**。您也可以叫用 [ UpdateFirewallDeleteProtection](https://docs.aws.amazon.com/network-firewall/latest/APIReference/API_UpdateFirewallDeleteProtection.html) API 並將 `DeleteProtection` 欄位設定為 ,以啟用刪除保護`true`。
## 【NetworkFirewall.10] 網路防火牆防火牆應啟用子網路變更保護
**相關需求:**NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-3、NIST.800-53.r5 SC-5(2)
**類別:**保護 > 網路安全
**嚴重性:**中
**資源類型:** `AWS::NetworkFirewall::Firewall`
**AWS Config 規則:**[https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/netfw-subnet-change-protection-enabled.html)
**排程類型:**已觸發變更
**參數:**無
此控制項會檢查是否已啟用防火牆的 AWS Network Firewall 子網路變更保護。如果防火牆未啟用子網路變更保護,則控制項會失敗。
AWS Network Firewall 是一項具狀態的受管網路防火牆和入侵偵測服務,可用來檢查和篩選進出虛擬私有雲端 (VPCs) 的流量。如果您啟用 Network Firewall 防火牆的子網路變更保護,您可以保護防火牆免於意外變更防火牆的子網路關聯。
### 修補
如需有關啟用現有 Network Firewall 防火牆子網路變更保護的資訊,請參閱《 *AWS Network Firewall 開發人員指南*》中的[更新防火牆](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-updating.html)。