Controles de Security Hub para AWS WAF - AWS Security Hub
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas[WAF.11] El ACL registro AWS WAF web debe estar habilitado[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para AWS WAF

Estos AWS Security Hub controles evalúan el AWS WAF servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 PCI DSS

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::WAF::WebACL

Regla de AWS Config : waf-classic-logging-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el registro está habilitado para una web global. AWS WAF ACL Este control falla si el registro no está habilitado para la webACL.

El registro es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento AWS WAF a nivel mundial. Es un requisito empresarial y de conformidad en muchas organizaciones, y permite solucionar problemas de comportamiento de las aplicaciones. También proporciona información detallada sobre el tráfico que analiza la web a la ACL que está conectada AWS WAF.

Corrección

Para habilitar el registro en una AWS WAF webACL, consulte Registrar la información ACL del tráfico web en la Guía para AWS WAF desarrolladores.

[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFRegional::Rule

Regla de AWS Config : waf-regional-rule-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una regla AWS WAF regional tiene al menos una condición. El control falla si no hay condiciones presentes en una regla.

Una regla WAF regional puede contener varias condiciones. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla WAF regional sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para añadir una condición a una regla vacía, consulta Añadir y eliminar condiciones en una regla en la Guía para desarrolladores de AWS WAF .

[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFRegional::RuleGroup

Regla de AWS Config : waf-regional-rulegroup-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un grupo de reglas AWS WAF regionales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas WAF regionales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas WAF regionales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para agregar reglas y condiciones de reglas a un grupo de reglas vacío, consulte Agregar y eliminar reglas de un grupo de reglas AWS WAF clásico y Agregar y quitar condiciones en una regla en la Guía para AWS WAF desarrolladores.

[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFRegional::WebACL

Regla de AWS Config : waf-regional-webacl-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una AWS WAF Classic Regional web ACL contiene reglas o grupos de reglas. WAF WAF Este control produce un error si una web ACL no contiene ninguna regla o grupo de WAF reglas.

Una web WAF regional ACL puede contener un conjunto de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una web ACL está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, WAF según la acción predeterminada.

Corrección

Para añadir reglas o grupos de reglas a una web regional AWS WAF clásica vacíaACL, consulte Edición de una web ACL en la Guía para AWS WAF desarrolladores.

[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAF::Rule

Regla de AWS Config : waf-global-rule-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una AWS WAF regla global contiene alguna condición. El control falla si no hay condiciones presentes en una regla.

Una regla WAF global puede contener varias condiciones. Las condiciones de una regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla WAF global sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para obtener instrucciones sobre cómo crear una regla y añadir condiciones, consulte Creación de una regla y adición de condiciones en la Guía para desarrolladores de AWS WAF .

[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAF::RuleGroup

Regla de AWS Config : waf-global-rulegroup-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un grupo de reglas AWS WAF globales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas WAF globales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas WAF globales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para obtener instrucciones sobre cómo añadir una regla a un grupo de reglas, consulte Creación de un grupo de reglas AWS WAF clásico en la Guía para AWS WAF desarrolladores.

[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAF::WebACL

Regla de AWS Config : waf-global-webacl-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una web AWS WAF global ACL contiene al menos una WAF WAF regla o un grupo de reglas. El control falla si una web ACL no contiene ninguna regla o grupo de WAF reglas.

Una web WAF global ACL puede contener un conjunto de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una web ACL está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, WAF según la acción predeterminada.

Corrección

Para añadir reglas o grupos de reglas a una web AWS WAF global vacíaACL, consulte Edición de una web ACL en la Guía para AWS WAF desarrolladores. Para Filtrar, elija Global (CloudFront).

[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFv2::WebACL

Regla de AWS Config : wafv2-webacl-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una lista de control de acceso AWS WAF web (webACL) de la versión 2 contiene al menos una regla o un grupo de reglas. El control falla si una web ACL no contiene ninguna regla o grupo de reglas.

Una web ACL le brinda un control detallado sobre todas las HTTP (S) solicitudes web a las que responde su recurso protegido. Una web ACL debe contener un conjunto de reglas y grupos de reglas que inspeccionen y controlen las solicitudes web. Si una web ACL está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, AWS WAF según la acción predeterminada.

Corrección

Para añadir reglas o grupos de reglas a una WAFV2 web vacíaACL, consulte Edición de una web ACL en la Guía para AWS WAF desarrolladores.

[WAF.11] El ACL registro AWS WAF web debe estar habilitado

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), v4.0.1/10.4.2 PCI DSS

Categoría: Identificar - Registro

Gravedad: baja

Tipo de recurso: AWS::WAFv2::WebACL

AWS Config regla: wafv2-logging-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el registro está activado para una lista de control de acceso web (webACL) de la AWS WAF versión 2. Este control falla si el registro está desactivado para la webACL.

nota

Este control no comprueba si el ACL registro AWS WAF web está habilitado para una cuenta a través de Amazon Security Lake.

El registro mantiene la confiabilidad, la disponibilidad y el rendimiento de AWS WAF. Además, el registro es un requisito empresarial y de conformidad en muchas organizaciones. Al registrar el tráfico que analiza tu webACL, puedes solucionar problemas de comportamiento de las aplicaciones.

Corrección

Para activar el registro en una AWS WAF webACL, consulta Administrar el registro en una web ACL en la Guía para AWS WAF desarrolladores.

[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::WAFv2::RuleGroup

AWS Config regla: wafv2-rulegroup-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una AWS WAF regla o un grupo de reglas tienen habilitadas CloudWatch las métricas de Amazon. El control falla si la regla o el grupo de reglas no tienen CloudWatch las métricas habilitadas.

La configuración de las CloudWatch métricas de AWS WAF las reglas y los grupos de reglas proporciona visibilidad del flujo de tráfico. Puede ver qué ACL reglas se activan y qué solicitudes se aceptan y bloquean. Esta visibilidad puede ayudarle a identificar actividades maliciosas en los recursos asociados.

Corrección

Para habilitar CloudWatch las métricas en un grupo de AWS WAF reglas, invoca la UpdateRuleGroupAPI. Para habilitar CloudWatch las métricas en una AWS WAF regla, invoca la. UpdateWebACLAPI Establezca el campo CloudWatchMetricsEnabled como true. Al utilizar la AWS WAF consola para crear reglas o grupos de reglas, las CloudWatch métricas se habilitan automáticamente.