【Security Hub修復手順】[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

こんにちは、岩城です。

皆さん、お使いのAWS環境のセキュリティチェックはしていますか？

当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。

本記事の対象コントロール

[Network Firewall.3] Network Firewall ポリシーには、1 つ以上のルールグループが関連付けられている必要があります

[NetworkFirewall.3] Network Firewall policies should have at least one rule group associated

前提条件

本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。

対象コントロールの説明

Network Firewallポリシーにステートレスグループもしくはステートフルグループを関連付けることを求めるものです。

ステートレスグループを関連付けていない場合、Network Firewallは以下のステートレスデフォルトアクションに基づきパケットを評価します。

• パス
• ドロップ
• ステートフルグループに転送

つぎに、ステートフルグループを関連付けていない場合、Network Firewallは以下のステートフルデフォルトアクションに基づきパケットを評価します。

• すべてドロップ
• 確立された接続のパケットをドロップ
• アラート

図示するとこんな感じです。

まとめますと、このコントロールで非準拠が出た場合、Network Firewallは特定のトラフィックを制御しておらず、すべてのトラフィックを許可もしくは拒否する状態になっています。

ステートレスデフォルトアクションでドロップを選択していれば、すべてのトラフィックが拒否されているので問題ないかも知れません。そしてこの状態が意図したものであれば。当該コントロールを抑制済みにしてください。

ステートレスグループのデフォルトアクションでパスに選択されていたり、ステートフルグループのデフォルトアクションでドロップと組み合わせずアラートだけ選択されている場合は、すべてのトラフィックが許可されています。

Network Firewallを利用しているということは、何らかのトラフィック制御を期待している可能性がありますので、すべてのトラフィックが許可されていることが正しいか確認してください。

修復手順

当該コントロールに対応するには、ステートレスグループへのルールの登録、もしくはステートフルグループへのルール登録を行ってください。

各ルールの設定は、各種要件に応じて変わると思いますので具体例は示さず、設定方法だけを示したいと思います。

ネットワークファイアウォール > ファイアウォールポリシーからステートレスグループとステートフルルールグループを作成およびルールの登録を行ってください。

なお、ステートレスルール評価が必要ない場合は、ステートレスルールのアクションやデフォルトアクションにてステートフルルールグループに転送を設定しなければ、ステートフルグループのルール登録は不要です。

最後に

今回は、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介しました。

コントロールを修正して、お使いのAWS環境のセキュリティをパワーアップさせましょう！

最後までお読みいただきありがとうございました！どなたかのお役に立てれば幸いです。