本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看的合规性信息Amazon Firewall Manager政策
作为多个 Amazon 合规性计划的一部分,第三方审核员将评估 Amazon Web Services的安全性与合规性,例如 SOC、PCI、FedRAMP 和 HIPAA。
要了解此服务或其它 Amazon Web Services 是否在特定合规性计划范围内,请参阅合规性计划范围内的 Amazon Web Services
您可以使用 Amazon Artifact 下载第三方审计报告。有关更多信息,请参阅、在 Amazon Artifact 中下载报告。
您使用 Amazon Web Services 的合规性责任取决于您数据的敏感度、贵公司的合规性目标以及适用的法律法规。Amazon 提供以下资源来帮助满足合规性:
-
安全性与合规性快速入门指南
安全性与合规性快速入门指南 – 这些部署指南讨论了架构注意事项,并提供了在Amazon上部署注重安全性和合规性的基准环境的步骤。 -
Amazon Web Services 上的 HIPAA 安全性和合规性架构设计– 该白皮书介绍了公司如何使用 Amazon Web Services 创建符合 HIPAA 标准的应用程序。
注意 并非所有 Amazon Web Services都符合 HIPAA 要求。有关更多信息,请参阅符合 HIPAA 要求的服务参考
。 Amazon合规性资源
– 此业务手册和指南集合可能适用于您的行业和位置。 Amazon Config 开发人员指南中的使用规则评估资源 – 此 Amazon Config 服务评估您的资源配置对内部实践、行业指南和法规的遵循情况。
-
Amazon Security Hub:此 Amazon Web Service 提供了 Amazon 中安全状态的全面视图,可帮助您检查是否符合安全行业标准和最佳实践规范。
为了所有人Amazon Firewall Manager策略,您可以查看策略的范围内的账户和资源的合规性状态。如果策略中的设置反映在帐户或资源的设置中,则该帐户或资源符合 Firewall Manager 策略。每种策略类型都有自己的合规性要求,您可以在定义策略时对其进行调整。对于某些策略,您还可以查看范围内资源的详细违规信息,以帮助您更好地了解和管理安全风险。
查看策略的合规性信息
-
登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2
. 注意 有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件。
-
在导航窗格中,选择 Security policies (安全策略)。
-
选择一个策略。在账户和资源在策略页面的选项卡中,Firewall Manager 列出了您组织中的帐户,按策略范围内的帐户和范围外的帐户分组。
这些区域有:保单范围内的账户窗格列出了每个账户的合规状态。一个合规状态表示该策略已成功应用于该账户的所有范围内的资源。一个不合规状态表示该策略尚未应用于该账户的一个或多个范围内的资源。
-
选择不合规的账户。在帐户页面中,Firewall Manager 列出了每个不合规资源的 ID 和类型以及该资源违反策略的原因。
注意 对于资源类型
AWS::EC2::NetworkInterface(ENI) 和AWS::EC2::Instance,Firewall Manager 可能会显示有限数量的不合规资源。要列出其他不合规的资源,请修复最初为该账户显示的资源。 -
如果 Firewall Manager 策略类型是内容审计安全组策略,则可以访问资源的详细违规信息。
要查看违规详情,请选择资源。
注意 Firewall Manager 在添加详细资源违规页面之前发现不合规的资源可能没有违规的详细信息。
在资源页面中,Firewall Manager 根据资源类型列出了有关违规的具体详细信息。
-
AWS::EC2::NetworkInterface(ENI)— Firewall Manager 显示有关资源不符合的安全组的信息。选择安全组以查看有关它的更多详细信息。 -
AWS::EC2::Instance— Firewall Manager 显示连接到 EC2 实例的不合规的 ENI。它还显示有关资源不符合的安全组的信息。选择安全组以查看有关它的更多详细信息。 -
AWS::EC2::SecurityGroup— Firewall Manager 显示以下违规详细信息:-
安全组规则不合规— 违规规则,包括其协议、端口范围、IP CIDR 范围和描述。
-
引用的规则— 不合规安全组规则违反的审计安全组规则及其详细信息。
-
违规原因— 对不合规调查结果的解释。
-
remedion— 建议采取的行动。如果 Firewall Manager 无法确定安全修复操作,则此字段为空。
-
-
AWS::EC2::Subnet— 这用于Network Firewall 策略。Firewall Manager 显示子网 ID、VPC ID 和可用区。如果适用,Firewall Manager 会包含有关违规的其他信息,例如违规发生的原因或子网应关联的路由表的 ID。违规描述组件包含对资源预期状态和当前不合规状态的描述,以及对导致差异的原因的描述(如果有)。例如,子网的预期状态可能是 “子网应包含Amazon Network Firewall子网位于其可用区中”,当前状态可能是 “ID 为 subnet-1234 的子网在可用区 us-east-1e 中缺少Network Firewall 子网”,描述可能是 “Firewall Manager 无法在此可用区中创建子网,因为没有可用的 CIDR 块。”
路由管理违规— 对于使用监控模式的Network Firewall 策略,Firewall Manager 显示基本子网信息,以及子网、互联网网关和Network Firewall 子网路由表中的预期和实际路由。Firewall Manager 会提醒您,如果实际路由与路由表中的预期路由不匹配,则存在违规行为。
针对路线管理违规行为的补救措施— 对于使用监控模式的Network Firewall 策略,Firewall Manager 建议对存在违规的路由配置采取可能的补救措施。
例 — 路线管理违规行为和补救建议
子网应通过防火墙端点发送流量,但当前子网将流量直接发送到互联网网关。这是违反路线管理的行为。在这种情况下,建议的补救措施可能是已排序操作的列表。第一个是建议将所需的路由添加到Network Firewall 子网的路由表中,以将传出流量定向到 Internet 网关,并将流向 VPC 内部目的地的传入流量定向到
`local`. 第二个建议是替换子网路由表中的互联网网关路由或无效的Network Firewall 路由,将传出流量定向到防火墙端点。第三个建议是将所需的路由添加到互联网网关的路由表中,以将传入流量定向到防火墙端点。 -
AWS::EC2:InternetGateway— 这用于启用监控模式的Network Firewall 策略。路由管理违规— 如果互联网网关未与路由表相关联,或者互联网网关路由表中有无效路由,则互联网网关不合规。
针对路线管理违规行为的补救措施— Firewall Manager 建议可能的补救措施以纠正路由管理违规行为。
例 1 — 路线管理违规行为和补救建议
互联网网关与路由表无关。建议的补救措施可能是已排序操作的列表。第一个操作是创建路由表。第二个操作是将路由表与互联网网关联。第三个操作是将所需的路由添加到 Internet 网关路由表中。
例 2 — 路线管理违规行为和补救建议
互联网网关与有效的路由表相关联,但该路由配置不正确。建议的补救措施可能是已排序操作的列表。第一个建议是删除无效路由。第二个是将所需的路由添加到互联网网关路由表中。
-
AWS::NetworkFirewall::FirewallPolicy— 这用于Network Firewall 策略。Firewall Manager 显示有关Network Firewall 防火墙策略的信息,该策略已被修改以使其不合规。该信息提供了预期的防火墙策略及其在客户账户中找到的策略,因此您可以比较无状态和有状态的规则组名称和优先级设置、自定义操作名称和默认的无状态操作设置。违规描述组件包含对资源预期状态和当前不合规状态的描述,以及对导致差异的原因的描述(如果有)。 -
AWS::EC2::VPC— 这用于 DNS 防火墙策略。Firewall Manager 显示有关在Firewall Manager DNS 防火墙策略范围内且与该策略不兼容的 VPC 的信息。提供的信息包括预期与 VPC 关联的预期规则组和实际的规则组。违规描述组件包含对资源预期状态和当前不合规状态的描述,以及对导致差异的原因的描述(如果有)。
-