Security Hub-Steuerelemente für API Gateway - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für API Gateway

Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon API Gateway.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.

[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

AWS::ApiGateway::StageRessourcentyp:, AWS::ApiGatewayV2::Stage

AWS Config Regel: api-gw-execution-logging-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

loggingLevel

Protokollierungsstufe

Enum

ERROR, INFO

No default value

Diese Kontrolle prüft, ob alle Phasen eines Amazon API Gateway REST oder ob WebSocket API die Protokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn dies loggingLevel nicht der Fall ist ERROR oder INFO für alle Phasen vonAPI. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, um anzugeben, dass ein bestimmter Protokolltyp aktiviert werden soll, erzeugt Security Hub eine erfolgreiche Feststellung, wenn die Protokollierungsebene entweder ERROR oder istINFO.

APIFür das Gateway REST oder die WebSocket API Stages sollten die entsprechenden Protokolle aktiviert sein. APIDie Gateway REST - und WebSocket API Ausführungsprotokollierung bietet detaillierte Aufzeichnungen über Anfragen an das API Gateway REST und die WebSocket API einzelnen Phasen. Die Phasen umfassen API Integrations-Backend-Antworten, Lambda-Autorisierer-Antworten und die für requestId AWS Integrationsendpunkte.

Abhilfe

Informationen zur Aktivierung von Protokollierung REST und WebSocket API Vorgängen finden Sie unter Einrichten der CloudWatch API Protokollierung mithilfe der API Gateway-Konsole im APIGateway Developer Guide.

[APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config Regel: api-gw-ssl-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob für Amazon API REST API Gateway-Stufen SSL Zertifikate konfiguriert sind. Backend-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anfragen von Gateway stammenAPI.

APIRESTAPIGateway-Phasen sollten mit SSL Zertifikaten konfiguriert werden, damit Backend-Systeme authentifizieren können, dass Anfragen vom Gateway stammen. API

Abhilfe

Ausführliche Anweisungen zum Generieren und Konfigurieren von API REST API SSL Gateway-Zertifikaten finden Sie unter Generieren und Konfigurieren eines SSL Zertifikats für die Backend-Authentifizierung im APIGateway Developer Guide.

[APIGateway.3] API REST API Gateway-Phasen sollten AWS X-Ray Ablaufverfolgung aktiviert

Verwandte Anforderungen: NIST.800-53.r5 CA-7

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Art der Ressource: AWS::ApiGateway::Stage

AWS Config Regel: api-gw-xray-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob AWS X-Ray Active Tracing ist für Ihre Amazon API REST API Gateway-Phasen aktiviert.

Active Tracing mit X-Ray ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer mangelnden Verfügbarkeit von führen. API X-Ray Active Tracing bietet Echtzeit-Metriken zu Benutzeranfragen, die über Ihre API REST API Gateway-Operationen und verbundenen Dienste fließen.

Abhilfe

Detaillierte Anweisungen zur Aktivierung von X-Ray Active Tracing für API REST API Gateway-Operationen finden Sie unter Amazon API Gateway Active Tracing Support für AWS X-Ray in der AWS X-Ray Leitfaden für Entwickler.

[APIGateway.4] API Das Gateway sollte mit einem WAF Web verknüpft sein ACL

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)

Kategorie: Schützen > Schutzdienste

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config Regel: api-gw-associated-with-waf

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine API Gateway-Stufe eine verwendet AWS WAF Liste der Web-Zugriffskontrolle (ACL). Dieses Steuerelement schlägt fehl, wenn AWS WAF Web ACL ist nicht an eine REST API Gateway-Stufe angehängt.

AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Damit können Sie einen Satz von Regeln konfigurierenACL, der Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulässt, blockiert oder zählt. Stellen Sie sicher, dass Ihre API Gateway-Stufe mit einem verknüpft ist AWS WAF WebACL, um es vor böswilligen Angriffen zu schützen.

Abhilfe

Für Informationen zur Verwendung der API Gateway-Konsole zum Zuordnen eines AWS WAF Regionales Web ACL mit vorhandener API API Gateway-Stufe finden Sie unter Verwenden AWS WAF um Ihre zu schützen, finden Sie APIs im APIGateway Developer Guide.

[APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Kategorie: Schutz > Datenschutz > Verschlüsselung von Daten im Ruhezustand

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config Regel: api-gw-cache-encrypted (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob alle Methoden in API REST API Gateway-Stufen, für die der Cache aktiviert ist, verschlüsselt sind. Das Steuerelement schlägt fehl, wenn eine Methode in einer API REST API Gateway-Stufe für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Security Hub bewertet die Verschlüsselung einer bestimmten Methode nur, wenn das Caching für diese Methode aktiviert ist.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den kein Benutzer authentifiziert ist AWS. Es fügt weitere Zugriffskontrollen hinzu, um den Zugriff unberechtigter Benutzer auf die Daten einzuschränken. Beispielsweise sind API Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.

APIRESTAPIGateway-Caches sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.

Abhilfe

Informationen zur Konfiguration des API Caching für eine Phase finden Sie unter Amazon API Gateway-Caching aktivieren im APIGateway Developer Guide. Wählen Sie in den Cache-Einstellungen die Option Cache-Daten verschlüsseln aus.

[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

Verwandte Anforderungen: NIST.800-53.r5 AC-3, NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Kategorie: Schützen > Sicheres Zugriffsmanagement

Schweregrad: Mittel

Art der Ressource: AWS::ApiGatewayV2::Route

AWS Config Regel: api-gwv2-authorization-type-configured

Art des Zeitplans: Periodisch

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

authorizationType

Autorisierungstyp der API Routen

Enum

AWS_IAM, CUSTOM, JWT

Kein Standardwert

Diese Kontrolle prüft, ob Amazon API Gateway-Routen einen Autorisierungstyp haben. Die Kontrolle schlägt fehl, wenn die API Gateway-Route keinen Autorisierungstyp hat. Optional können Sie einen benutzerdefinierten Parameterwert angeben, wenn das Steuerelement nur dann erfolgreich sein soll, wenn die Route den im authorizationType Parameter angegebenen Autorisierungstyp verwendet.

APIGateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf IhrenAPI. Durch die Angabe eines Autorisierungstyps können Sie den Zugriff auf Ihre Daten API auf autorisierte Benutzer oder Prozesse beschränken.

Abhilfe

Informationen zum Festlegen eines Autorisierungstyps für HTTP APIs finden Sie unter Steuern und Verwalten des Zugriffs auf ein API In-Gateway HTTP API im API Gateway Developer Guide. Informationen zum Festlegen eines Autorisierungstyps für WebSocket APIs finden Sie unter Steuern und Verwalten des Zugriffs auf ein WebSocket API in API Gateway im APIGateway Developer Guide.

[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::ApiGatewayV2::Stage

AWS Config Regel: api-gwv2-access-logs-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob die Amazon API Gateway V2-Stufen die Zugriffsprotokollierung konfiguriert haben. Diese Kontrolle schlägt fehl, wenn die Einstellungen für das Zugriffsprotokoll nicht definiert sind.

APIGateway-Zugriffsprotokolle enthalten detaillierte Informationen darüber, wer auf Ihre zugegriffen hat API und wie der Anrufer auf die API zugegriffen hat. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Aktivieren Sie diese Zugriffsprotokolle, um Verkehrsmuster zu analysieren und Probleme zu beheben.

Weitere bewährte Methoden finden Sie unter Monitoring REST APIs im APIGateway Developer Guide.

Abhilfe

Informationen zum Einrichten der Zugriffsprotokollierung finden Sie unter Einrichten der CloudWatch API Protokollierung mithilfe der API Gateway-Konsole im APIGateway Developer Guide.