Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für API Gateway
Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon API Gateway.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
AWS::ApiGateway::Stage
Ressourcentyp:, AWS::ApiGatewayV2::Stage
AWS Config Regel: api-gw-execution-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Protokollierungsstufe |
Enum |
|
|
Diese Kontrolle prüft, ob alle Phasen eines Amazon API Gateway REST oder ob WebSocket API die Protokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn dies loggingLevel
nicht der Fall ist ERROR
oder INFO
für alle Phasen vonAPI. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, um anzugeben, dass ein bestimmter Protokolltyp aktiviert werden soll, erzeugt Security Hub eine erfolgreiche Feststellung, wenn die Protokollierungsebene entweder ERROR
oder istINFO
.
APIFür das Gateway REST oder die WebSocket API Stages sollten die entsprechenden Protokolle aktiviert sein. APIDie Gateway REST - und WebSocket API Ausführungsprotokollierung bietet detaillierte Aufzeichnungen über Anfragen an das API Gateway REST und die WebSocket API einzelnen Phasen. Die Phasen umfassen API Integrations-Backend-Antworten, Lambda-Autorisierer-Antworten und die für requestId
AWS Integrationsendpunkte.
Abhilfe
Informationen zur Aktivierung von Protokollierung REST und WebSocket API Vorgängen finden Sie unter Einrichten der CloudWatch API Protokollierung mithilfe der API Gateway-Konsole im APIGateway Developer Guide.
[APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ApiGateway::Stage
AWS Config Regel: api-gw-ssl-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob für Amazon API REST API Gateway-Stufen SSL Zertifikate konfiguriert sind. Backend-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anfragen von Gateway stammenAPI.
APIRESTAPIGateway-Phasen sollten mit SSL Zertifikaten konfiguriert werden, damit Backend-Systeme authentifizieren können, dass Anfragen vom Gateway stammen. API
Abhilfe
Ausführliche Anweisungen zum Generieren und Konfigurieren von API REST API SSL Gateway-Zertifikaten finden Sie unter Generieren und Konfigurieren eines SSL Zertifikats für die Backend-Authentifizierung im APIGateway Developer Guide.
[APIGateway.3] API REST API Gateway-Phasen sollten AWS X-Ray Ablaufverfolgung aktiviert
Verwandte Anforderungen: NIST.800-53.r5 CA-7
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Art der Ressource: AWS::ApiGateway::Stage
AWS Config Regel: api-gw-xray-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob AWS X-Ray Active Tracing ist für Ihre Amazon API REST API Gateway-Phasen aktiviert.
Active Tracing mit X-Ray ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer mangelnden Verfügbarkeit von führen. API X-Ray Active Tracing bietet Echtzeit-Metriken zu Benutzeranfragen, die über Ihre API REST API Gateway-Operationen und verbundenen Dienste fließen.
Abhilfe
Detaillierte Anweisungen zur Aktivierung von X-Ray Active Tracing für API REST API Gateway-Operationen finden Sie unter Amazon API Gateway Active Tracing Support für AWS X-Ray in der AWS X-Ray Leitfaden für Entwickler.
[APIGateway.4] API Das Gateway sollte mit einem WAF Web verknüpft sein ACL
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)
Kategorie: Schützen > Schutzdienste
Schweregrad: Mittel
Art der Ressource: AWS::ApiGateway::Stage
AWS Config Regel: api-gw-associated-with-waf
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine API Gateway-Stufe eine verwendet AWS WAF Liste der Web-Zugriffskontrolle (ACL). Dieses Steuerelement schlägt fehl, wenn AWS WAF Web ACL ist nicht an eine REST API Gateway-Stufe angehängt.
AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Damit können Sie einen Satz von Regeln konfigurierenACL, der Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulässt, blockiert oder zählt. Stellen Sie sicher, dass Ihre API Gateway-Stufe mit einem verknüpft ist AWS WAF WebACL, um es vor böswilligen Angriffen zu schützen.
Abhilfe
Für Informationen zur Verwendung der API Gateway-Konsole zum Zuordnen eines AWS WAF Regionales Web ACL mit vorhandener API API Gateway-Stufe finden Sie unter Verwenden AWS WAF um Ihre zu schützen, finden Sie APIs im APIGateway Developer Guide.
[APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Kategorie: Schutz > Datenschutz > Verschlüsselung von Daten im Ruhezustand
Schweregrad: Mittel
Art der Ressource: AWS::ApiGateway::Stage
AWS Config Regel: api-gw-cache-encrypted
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob alle Methoden in API REST API Gateway-Stufen, für die der Cache aktiviert ist, verschlüsselt sind. Das Steuerelement schlägt fehl, wenn eine Methode in einer API REST API Gateway-Stufe für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Security Hub bewertet die Verschlüsselung einer bestimmten Methode nur, wenn das Caching für diese Methode aktiviert ist.
Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den kein Benutzer authentifiziert ist AWS. Es fügt weitere Zugriffskontrollen hinzu, um den Zugriff unberechtigter Benutzer auf die Daten einzuschränken. Beispielsweise sind API Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.
APIRESTAPIGateway-Caches sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Abhilfe
Informationen zur Konfiguration des API Caching für eine Phase finden Sie unter Amazon API Gateway-Caching aktivieren im APIGateway Developer Guide. Wählen Sie in den Cache-Einstellungen die Option Cache-Daten verschlüsseln aus.
[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben
Verwandte Anforderungen: NIST.800-53.r5 AC-3, NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Kategorie: Schützen > Sicheres Zugriffsmanagement
Schweregrad: Mittel
Art der Ressource: AWS::ApiGatewayV2::Route
AWS Config Regel: api-gwv2-authorization-type-configured
Art des Zeitplans: Periodisch
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Autorisierungstyp der API Routen |
Enum |
|
Kein Standardwert |
Diese Kontrolle prüft, ob Amazon API Gateway-Routen einen Autorisierungstyp haben. Die Kontrolle schlägt fehl, wenn die API Gateway-Route keinen Autorisierungstyp hat. Optional können Sie einen benutzerdefinierten Parameterwert angeben, wenn das Steuerelement nur dann erfolgreich sein soll, wenn die Route den im authorizationType
Parameter angegebenen Autorisierungstyp verwendet.
APIGateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf IhrenAPI. Durch die Angabe eines Autorisierungstyps können Sie den Zugriff auf Ihre Daten API auf autorisierte Benutzer oder Prozesse beschränken.
Abhilfe
Informationen zum Festlegen eines Autorisierungstyps für HTTP APIs finden Sie unter Steuern und Verwalten des Zugriffs auf ein API In-Gateway HTTP API im API Gateway Developer Guide. Informationen zum Festlegen eines Autorisierungstyps für WebSocket APIs finden Sie unter Steuern und Verwalten des Zugriffs auf ein WebSocket API in API Gateway im APIGateway Developer Guide.
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::ApiGatewayV2::Stage
AWS Config Regel: api-gwv2-access-logs-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob die Amazon API Gateway V2-Stufen die Zugriffsprotokollierung konfiguriert haben. Diese Kontrolle schlägt fehl, wenn die Einstellungen für das Zugriffsprotokoll nicht definiert sind.
APIGateway-Zugriffsprotokolle enthalten detaillierte Informationen darüber, wer auf Ihre zugegriffen hat API und wie der Anrufer auf die API zugegriffen hat. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Aktivieren Sie diese Zugriffsprotokolle, um Verkehrsmuster zu analysieren und Probleme zu beheben.
Weitere bewährte Methoden finden Sie unter Monitoring REST APIs im APIGateway Developer Guide.
Abhilfe
Informationen zum Einrichten der Zugriffsprotokollierung finden Sie unter Einrichten der CloudWatch API Protokollierung mithilfe der API Gateway-Konsole im APIGateway Developer Guide.