Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para API Gateway
Estos controles de Security Hub evalúan el servicio y los recursos de Amazon API Gateway.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[APIGateway.1] La API puerta de enlace REST y el registro de WebSocket API ejecuciones deben estar habilitados
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage
AWS Config regla: api-gw-execution-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Nivel de registro |
Enum |
|
|
Este control comprueba si todas las etapas de un Amazon API Gateway REST o WebSocket API tienen habilitado el registro. El control falla si no lo loggingLevel está ERROR o si INFO ocurre en todas las etapas delAPI. A menos que se proporcionen valores personalizados de parámetros para indicar que se debe habilitar un tipo de registro específico, Security Hub genera un resultado válido si el nivel de registro es ERROR o INFO.
APILa puerta de enlace REST o WebSocket API las etapas deben tener habilitados los registros relevantes. APIEl registro de WebSocket API ejecución REST y de pasarela proporciona registros detallados de las solicitudes realizadas a API Gateway REST y de WebSocket API las etapas. Las etapas incluyen las respuestas del backend de la API integración, las respuestas del autorizador Lambda y el requestId AWS puntos finales de integración.
Corrección
Para habilitar el registro REST y WebSocket API las operaciones, consulte Configurar el CloudWatch API registro mediante la consola API Gateway en la Guía para desarrolladores de API Gateway.
[APIGateway.2] REST API Las etapas de la API puerta de enlace deben configurarse para usar SSL certificados para la autenticación de fondo
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
Categoría: Proteger > Protección de datos > Cifrado de data-in-transit
Gravedad: media
Tipo de recurso: AWS::ApiGateway::Stage
AWS Config regla: api-gw-ssl-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si REST API las etapas de Amazon API Gateway tienen SSL certificados configurados. Los sistemas de backend utilizan estos certificados para autenticar que las solicitudes entrantes provienen de API Gateway.
APIRESTAPILas etapas de Gateway deben configurarse con SSL certificados para permitir que los sistemas de backend autentiquen que las solicitudes se originan en Gateway. API
Corrección
Para obtener instrucciones detalladas sobre cómo generar y configurar los REST API SSL certificados de API Gateway, consulte Generar y configurar un SSL certificado para la autenticación de backend en la Guía para desarrolladores de APIGateway.
[APIGateway.3] REST API Las etapas de API Gateway deberían tener AWS X-Ray rastreo activado
Requisitos relacionados: NIST.800-53.r5 CA-7
Categoría: Detectar - Servicios de detección
Gravedad: baja
Tipo de recurso: AWS::ApiGateway::Stage
AWS Config regla: api-gw-xray-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si AWS X-Ray el rastreo activo está habilitado para las REST API etapas de Amazon API Gateway.
El rastreo activo de X-Ray permite una respuesta más rápida a los cambios de rendimiento en la infraestructura subyacente. Los cambios en el rendimiento podrían provocar una falta de disponibilidad delAPI. El rastreo activo de X-Ray proporciona métricas en tiempo real de las solicitudes de los usuarios que fluyen a través de REST API las operaciones de API Gateway y los servicios conectados.
Corrección
Para obtener instrucciones detalladas sobre cómo habilitar el rastreo activo de X-Ray para REST API las operaciones de API Gateway, consulte el soporte de rastreo activo de Amazon API Gateway para AWS X-Ray en la AWS X-Ray Guía para desarrolladores.
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
Requisitos relacionados: NIST.800-53.r5 AC-4 (21)
Categoría: Proteger > Servicios de protección
Gravedad: media
Tipo de recurso: AWS::ApiGateway::Stage
AWS Config regla: api-gw-associated-with-waf
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si una etapa de API puerta de enlace utiliza un AWS WAF lista de control de acceso web (ACL). Este control falla si un AWS WAF la web no ACL está conectada a una etapa de REST API Gateway.
AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y contra APIs los ataques. Le permite configurar unACL, que es un conjunto de reglas que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que usted defina. Asegúrese de que la etapa de API Gateway esté asociada a un AWS WAF web ACL para ayudar a protegerlo de ataques maliciosos.
Corrección
Para obtener información sobre cómo utilizar la consola API Gateway para asociar un AWS WAF Web regional ACL con una API etapa de API Gateway existente, consulte Uso AWS WAF para protegerlo APIs en la Guía para desarrolladores de API Gateway.
[APIGateway.5] Los datos de la REST API caché de API Gateway deben cifrarse en reposo
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)
Categoría: Proteger - Protección de datos - Cifrado de datos en reposo
Gravedad: media
Tipo de recurso: AWS::ApiGateway::Stage
AWS Config regla: api-gw-cache-encrypted (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si todos los métodos de REST API las etapas de API Gateway que tienen la caché habilitada están cifrados. El control falla si algún método de una REST API etapa de API Gateway está configurado para almacenar en caché y la caché no está cifrada. Security Hub evalúa el cifrado de un método en particular solo cuando el almacenamiento en caché está habilitado para ese método.
El cifrado de los datos en reposo reduce el riesgo de que un usuario no autenticado acceda a los datos almacenados en el disco AWS. Añade otro conjunto de controles de acceso para limitar la capacidad de los usuarios no autorizados de acceder a los datos. Por ejemplo, se requieren API permisos para descifrar los datos antes de que puedan leerse.
APIRESTAPILas cachés de las pasarelas de enlace deben cifrarse en reposo para ofrecer un nivel de seguridad adicional.
Corrección
Para configurar el almacenamiento en API caché de una etapa, consulte Habilitar el almacenamiento en caché de Amazon API Gateway en la Guía para desarrolladores de API Gateway. En Configuración de caché, seleccione Cifrar datos de caché.
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
Requisitos relacionados: .800-53.r5 NIST CM-2 NIST.800-53.r5 AC-3, .800-53.r5 CM-2 (2) NIST
Categoría: Proteger > Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::ApiGatewayV2::Route
AWS Config regla: api-gwv2-authorization-type-configured
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
Tipo de autorización de las API rutas |
Enum |
|
Sin valor predeterminado |
Este control comprueba si las rutas de Amazon API Gateway tienen un tipo de autorización. El control falla si la ruta de API Gateway no tiene ningún tipo de autorización. También, puede proporcionar un valor personalizado de parámetro si quiere que el control pase únicamente si la ruta utiliza el tipo de autorización especificado en el parámetro authorizationType.
APIGateway admite varios mecanismos para controlar y administrar el acceso a suAPI. Al especificar un tipo de autorización, puede restringir el acceso únicamente API a sus usuarios o procesos autorizados.
Corrección
Para configurar un tipo de autorización HTTPAPIs, consulte Control y administración del acceso a un servidor de API Gateway HTTP API en la Guía para desarrolladores de API Gateway. Para configurar un tipo de autorización WebSocket APIs, consulte Control y administración del acceso a un servidor de API Gateway WebSocket API en la Guía para desarrolladores de API Gateway.
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::ApiGatewayV2::Stage
AWS Config regla: api-gwv2-access-logs-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si las etapas de Amazon API Gateway V2 tienen configurado el registro de acceso. Este control falla si no se ha definido la configuración del registro de acceso.
APILos registros de acceso a la pasarela proporcionan información detallada sobre quién ha accedido a su puerta API y cómo ha accedido la persona que ha llamado a ella. API Estos registros son útiles para aplicaciones como auditorías de seguridad y acceso y para investigaciones forenses. Habilite estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.
Para obtener más información sobre las mejores prácticas, consulte la supervisión REST APIs en la Guía para desarrolladores de API Gateway.
Corrección
Para configurar el registro de acceso, consulte Configurar el CloudWatch API registro mediante la consola de API Gateway en la Guía para desarrolladores de API Gateway.
