Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para AWS WAF
Estos AWS Security Hub los controles evalúan el AWS WAF servicio y recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::WAF::WebACL
AWS Config regla: waf-classic-logging-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el registro está habilitado para un AWS WAF web globalACL. Este control falla si el registro no está habilitado para la webACL.
El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS WAF a nivel mundial. Es un requisito empresarial y de conformidad en muchas organizaciones, y permite solucionar problemas de comportamiento de las aplicaciones. También proporciona información detallada sobre el tráfico que analiza la web ACL que está conectada a AWS WAF.
Corrección
Para habilitar el registro de un AWS WAF webACL, consulte Registrar la información ACL del tráfico web en el AWS WAF Guía para desarrolladores.
[WAF.2] AWS WAF Las normas regionales clásicas deben tener al menos una condición
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::WAFRegional::Rule
AWS Config regla: waf-regional-rule-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF La regla regional tiene al menos una condición. El control falla si no hay condiciones presentes en una regla.
Una regla WAF regional puede contener varias condiciones. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla WAF regional sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
Corrección
Para añadir una condición a una regla vacía, consulte Añadir y eliminar condiciones en una regla en AWS WAF Guía para desarrolladores.
[WAF.3] AWS WAF Los grupos de reglas regionales clásicos deben tener al menos una regla
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::WAFRegional::RuleGroup
AWS Config regla: waf-regional-rulegroup-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF El grupo de reglas regional tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.
Un grupo de reglas WAF regionales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas WAF regionales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
Corrección
Para añadir reglas y condiciones de reglas a un grupo de reglas vacío, consulte Añadir y eliminar reglas de un AWS WAF Grupo de reglas clásico y Añadir y eliminar condiciones en una regla en AWS WAF Guía para desarrolladores.
[WAF.4] AWS WAF La web regional clásica ACLs debe tener al menos una regla o grupo de reglas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::WAFRegional::WebACL
AWS Config regla: waf-regional-webacl-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF Classic Regional web ACL contiene WAF reglas o grupos de WAF reglas. Este control falla si una web ACL no contiene ninguna regla o grupo de WAF reglas.
Una web WAF regional ACL puede contener un conjunto de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una web ACL está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, WAF según la acción predeterminada.
Corrección
Para añadir reglas o grupos de reglas a un espacio vacío AWS WAF Web regional clásicaACL, consulte Edición de una Web ACL en el AWS WAF Guía para desarrolladores.
[WAF.6] AWS WAF Las reglas globales clásicas deben tener al menos una condición
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::WAF::Rule
AWS Config regla: waf-global-rule-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF la regla global contiene cualquier condición. El control falla si no hay condiciones presentes en una regla.
Una regla WAF global puede contener varias condiciones. Las condiciones de una regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla WAF global sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
Corrección
Para obtener instrucciones sobre cómo crear una regla y añadir condiciones, consulte Creación de una regla y adición de condiciones en la AWS WAF Guía para desarrolladores.
[WAF7.] AWS WAF Los grupos de reglas globales clásicos deben tener al menos una regla
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::WAF::RuleGroup
AWS Config regla: waf-global-rulegroup-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF el grupo de reglas globales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.
Un grupo de reglas WAF globales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas WAF globales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
Corrección
Para obtener instrucciones sobre cómo agregar una regla a un grupo de reglas, consulte Crear una AWS WAF Grupo de reglas clásico del AWS WAF Guía para desarrolladores.
[WAF.8] AWS WAF La web global clásica ACLs debe tener al menos una regla o grupo de reglas
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::WAF::WebACL
AWS Config regla: waf-global-webacl-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF la web global ACL contiene al menos una WAF WAF regla o un grupo de reglas. El control falla si una web ACL no contiene ninguna regla o grupo de WAF reglas.
Una web WAF global ACL puede contener un conjunto de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una web ACL está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, WAF dependiendo de la acción predeterminada.
Corrección
Para añadir reglas o grupos de reglas a un espacio vacío AWS WAF web globalACL, consulte Edición de una web ACL en el AWS WAF Guía para desarrolladores. Para Filtrar, elija Global (CloudFront).
[WAF.10] AWS WAF la web ACLs debe tener al menos una regla o grupo de reglas
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Categoría: Proteger - Configuración de red segura
Gravedad: media
Tipo de recurso: AWS::WAFv2::WebACL
AWS Config regla: wafv2-webacl-not-empty
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF La lista de control de acceso web (webACL) de la versión 2 contiene al menos una regla o un grupo de reglas. El control falla si una web ACL no contiene ninguna regla o grupo de reglas.
Una web ACL le brinda un control detallado sobre todas las HTTP (S) solicitudes web a las que responde su recurso protegido. Una web ACL debe contener un conjunto de reglas y grupos de reglas que inspeccionen y controlen las solicitudes web. Si una web ACL está vacía, el tráfico web puede pasar sin que lo detecten ni actúen en consecuencia AWS WAF en función de la acción predeterminada.
Corrección
Para añadir reglas o grupos de reglas a una WAFV2 web vacíaACL, consulte Edición de una Web ACL en el AWS WAF Guía para desarrolladores.
[WAF.11] AWS WAF el ACL registro web debe estar habilitado
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Categoría: Identificar - Registro
Gravedad: baja
Tipo de recurso: AWS::WAFv2::WebACL
AWS Config regla: wafv2-logging-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el registro está activado para un AWS WAF Lista de control de acceso web V2 (webACL). Este control falla si el registro está desactivado para la webACL.
nota
Este control no comprueba si AWS WAF el ACL registro web está habilitado para una cuenta a través de Amazon Security Lake.
El registro mantiene la confiabilidad, la disponibilidad y el rendimiento de AWS WAF. Además, el registro es un requisito empresarial y de cumplimiento en muchas organizaciones. Al registrar el tráfico que analiza tu webACL, puedes solucionar problemas de comportamiento de las aplicaciones.
Corrección
Para activar el registro de un AWS WAF webACL, consulte Administrar el registro de una web ACL en la AWS WAF Guía para desarrolladores.
[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Categoría: Identificar - Registro
Gravedad: media
Tipo de recurso: AWS::WAFv2::RuleGroup
AWS Config regla: wafv2-rulegroup-logging-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un AWS WAF la regla o el grupo de reglas tienen habilitadas CloudWatch las métricas de Amazon. El control falla si la regla o el grupo de reglas no tienen CloudWatch las métricas habilitadas.
Configurar CloudWatch métricas en AWS WAF las reglas y los grupos de reglas proporcionan visibilidad del flujo de tráfico. Puede ver qué ACL reglas se activan y qué solicitudes se aceptan y bloquean. Esta visibilidad puede ayudarle a identificar actividades maliciosas en los recursos asociados.
Corrección
Para habilitar CloudWatch las métricas en un AWS WAF grupo de reglas, invoque el UpdateRuleGroupAPI. Para habilitar CloudWatch las métricas en un AWS WAF regla, invoque la UpdateWebACLAPI. Establezca el campo CloudWatchMetricsEnabled
como true
. Cuando se utiliza el AWS WAF la consola para crear reglas o grupos de reglas, CloudWatch las métricas se habilitan automáticamente.