Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para AWS WAF
Estos AWS Security Hub CSPM controles evalúan el AWS WAF servicio y los recursos. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::WAF::WebACL`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si AWS WAF el registro está habilitado para una ACL web global. Este control falla si el registro no está habilitado para la ACL web.
El registro es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de AWS WAF todo el mundo. Es un requisito empresarial y de conformidad en muchas organizaciones, y permite solucionar problemas de comportamiento de las aplicaciones. También proporciona información detallada sobre el tráfico que analiza la ACL web a la que se conecta AWS WAF.
### Corrección
Para habilitar el registro de una ACL AWS WAF web, consulte [Registrar la información del tráfico de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) en la *Guía para AWS WAF desarrolladores*.
## [WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::WAFRegional::Rule`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una regla AWS WAF regional tiene al menos una condición. El control falla si no hay condiciones presentes en una regla.
Una regla de WAF Regional puede contener varias condiciones. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF Regional sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
### Corrección
Para añadir una condición a una regla vacía, consulta [Añadir y eliminar condiciones en una regla](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) en la *Guía para desarrolladores de AWS WAF *.
## [WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::WAFRegional::RuleGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un grupo de reglas AWS WAF regionales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.
Un grupo de reglas de WAF Regionales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas de WAF Regionales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
### Corrección
Para agregar reglas y condiciones de reglas a un grupo de reglas vacío, consulte [Agregar y eliminar reglas de un grupo de reglas AWS WAF clásico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) y [Agregar y eliminar condiciones en una regla](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) en la *Guía para AWS WAF desarrolladores*.
## [WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::WAFRegional::WebACL`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una ACL AWS WAF Classic Regional web contiene reglas de WAF o grupos de reglas de WAF. Este control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.
Una ACL web de WAF Regional puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.
### Corrección
Para agregar reglas o grupos de reglas a una ACL web regional AWS WAF clásica vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) en la Guía para *AWS WAF desarrolladores*.
## [WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::WAF::Rule`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una regla global contiene alguna condición. AWS WAF El control falla si no hay condiciones presentes en una regla.
Una regla de WAF global puede contener varias condiciones. Las condiciones de una regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF global sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
### Corrección
Para obtener instrucciones sobre cómo crear una regla y añadir condiciones, consulte [Creación de una regla y adición de condiciones](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) en la *Guía para desarrolladores de AWS WAF *.
## [WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIst.800-53.r5 CM-2
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::WAF::RuleGroup`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un grupo de reglas AWS WAF globales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.
Un grupo de reglas globales de WAF puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas globales de la WAF sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.
### Corrección
Para obtener instrucciones sobre cómo agregar una regla a un grupo de reglas, consulte [Creación de un grupo de reglas AWS WAF clásico](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) en la *Guía para AWS WAF desarrolladores*.
## [WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), (16), NIST.800-53.r5 SC-7 (21) NIST.800-53.r5 SC-7
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::WAF::WebACL`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una ACL web AWS WAF global contiene al menos una regla de WAF o un grupo de reglas de WAF. El control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.
Una ACL web global de WAF puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.
### Corrección
Para agregar reglas o grupos de reglas a una ACL web AWS WAF global vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html) en la Guía para *AWS WAF desarrolladores*. Para **Filtrar**, elija **Global (CloudFront)**.
## [WAF.10] AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
**Requisitos relacionados:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoría:** Proteger - Configuración de red segura
**Gravedad:** media
**Tipo de recurso:** `AWS::WAFv2::WebACL`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una lista de control de acceso web AWS WAF(ACL web) de la versión 2 contiene al menos una regla o un grupo de reglas. El control falla si una ACL web no contiene ninguna regla o grupo de reglas.
Una ACL web le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Una ACL web debe contener una colección de reglas y grupos de reglas que inspeccionen y controlen las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que se detecte ni se actúe en consecuencia, AWS WAF según la acción predeterminada.
### Corrección
Para agregar reglas o grupos de reglas a una ACL WAFV2 web vacía, consulte [Edición de una ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) en la *Guía para AWS WAF desarrolladores*.
## [WAF.11] El registro de ACL AWS WAF web debe estar habilitado
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NiST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
**Categoría:** Identificar - Registro
**Gravedad:** baja
**Tipo de recurso:** `AWS::WAFv2::WebACL`
**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``
**Tipo de programa:** Periódico
**Parámetros:** ninguno
Este control comprueba si el registro está activado para una lista de control de acceso web (ACL web) de la AWS WAF versión 2. Este control falla si el registro está desactivado para la ACL web.
**nota**
Este control no comprueba si el registro de ACL AWS WAF web está habilitado para una cuenta a través de Amazon Security Lake.
El registro mantiene la confiabilidad, la disponibilidad y el rendimiento de AWS WAF. Además, el registro es un requisito empresarial y de conformidad en muchas organizaciones. Al registrar el tráfico analizado por su ACL web, puede solucionar problemas de comportamiento de las aplicaciones.
### Corrección
Para activar el registro de una ACL AWS WAF web, consulte [Administrar el registro de una ACL web en la Guía para AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) *desarrolladores*.
## AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
**Requisitos relacionados:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIst.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIst.800-171.r2 3.14.6, NIst.800-171.r2 3.14.7
**Categoría:** Identificar - Registro
**Gravedad:** media
**Tipo de recurso:** `AWS::WAFv2::RuleGroup`
**AWS Config regla: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si una AWS WAF regla o un grupo de reglas tienen habilitadas CloudWatch las métricas de Amazon. El control falla si la regla o el grupo de reglas no tienen CloudWatch las métricas habilitadas.
La configuración de las CloudWatch métricas de AWS WAF las reglas y los grupos de reglas proporciona visibilidad del flujo de tráfico. Puede ver qué reglas de ACL se activan y qué solicitudes se aceptan y bloquean. Esta visibilidad puede ayudarle a identificar actividades maliciosas en los recursos asociados.
### Corrección
Para habilitar CloudWatch las métricas en un grupo de AWS WAF reglas, invoca la [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. Para habilitar CloudWatch las métricas en una AWS WAF regla, invoca la API [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html). Establezca el campo `CloudWatchMetricsEnabled` como `true`. Cuando utiliza la AWS WAF consola para crear reglas o grupos de reglas, las CloudWatch métricas se habilitan automáticamente.