Contrôles Security Hub pour API Gateway - AWS Security Hub
[APIGateway.1] La journalisation de REST la API passerelle et de WebSocket API l'exécution doit être activée[APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL[APIGateway.5] Les données REST API du cache de la API passerelle doivent être chiffrées au repos[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour API Gateway

Ces contrôles Security Hub évaluent le service et les ressources Amazon API Gateway.

Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.

[APIGateway.1] La journalisation de REST la API passerelle et de WebSocket API l'exécution doit être activée

Exigences connexes : NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource :AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS Config règle : api-gw-execution-logging-enabled

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

loggingLevel

Logging level (Niveau de journalisation)

Enum

ERROR, INFO

No default value

Ce contrôle vérifie si la journalisation est activée à toutes les étapes d'une Amazon API Gateway REST ou WebSocket API non. Le contrôle échoue si loggingLevel ce n'est pas le cas ERROR ou INFO pour toutes les étapes duAPI. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub produit un résultat positif si le niveau de journalisation est l'un ERROR ou l'autreINFO.

APILes journaux pertinents doivent être activés sur la passerelle REST ou les WebSocket API stages. APILa journalisation de la passerelle REST et de WebSocket API l'exécution fournit des enregistrements détaillés des demandes adressées à API Gateway REST et WebSocket API aux étapes. Les étapes incluent les réponses du backend API d'intégration, les réponses de l'autorisateur Lambda et le requestId AWS points de terminaison d'intégration.

Correction

Pour activer la journalisation REST et les WebSocket API opérations, voir Configurer la CloudWatch API journalisation à l'aide de la console API Gateway dans le Guide du développeur de API Gateway.

[APIGateway.2] REST API Les étapes de API passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend

Exigences connexes : NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ApiGateway::Stage

AWS Config règle : api-gw-ssl-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des SSL certificats sont configurés sur REST API les stages Amazon API Gateway. Les systèmes principaux utilisent ces certificats pour vérifier que les demandes entrantes proviennent de API Gateway.

APIRESTAPILes étapes de passerelle doivent être configurées avec SSL des certificats pour permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.

Correction

Pour obtenir des instructions détaillées sur la façon de générer et de configurer des REST API SSL certificats de API passerelle, consultez la section Générer et configurer un SSL certificat pour l'authentification principale dans le guide du développeur de API Gateway.

[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé

Exigences connexes : NIST.800-53.r5 CA-7

Catégorie : Détecter - Services de détection

Gravité : Faible

Type de ressource : AWS::ApiGateway::Stage

AWS Config règle : api-gw-xray-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si AWS X-Ray le suivi actif est activé pour vos REST API étapes Amazon API Gateway.

Le traçage actif X-Ray permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Les modifications des performances peuvent entraîner un manque de disponibilité duAPI. Le suivi actif X-Ray fournit des mesures en temps réel des demandes des utilisateurs qui transitent par le biais REST API des opérations de votre API passerelle et des services connectés.

Correction

Pour obtenir des instructions détaillées sur la façon d'activer le suivi actif X-Ray pour les REST API opérations de API passerelle, consultez le support de suivi actif d'Amazon API Gateway pour AWS X-Ray dans le .AWS X-Ray Guide du développeur.

[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL

Exigences connexes : NIST.800-53.r5 AC-4 (21)

Catégorie : Protéger > Services de protection

Gravité : Moyenne

Type de ressource : AWS::ApiGateway::Stage

AWS Config règle : api-gw-associated-with-waf

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un stage API Gateway utilise un AWS WAF liste de contrôle d'accès Web (ACL). Ce contrôle échoue si un AWS WAF web n'ACLest pas attaché à un stage REST API Gateway.

AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Il vous permet de configurer un ACL ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage API Gateway est associé à un AWS WAF Web ACL pour aider à le protéger contre les attaques malveillantes.

Correction

Pour plus d'informations sur l'utilisation de la console API Gateway pour associer un AWS WAF Site Web régional ACL avec un API stage API Gateway existant, voir Utilisation AWS WAF pour vous protéger APIs dans le guide du développeur de API Gateway.

[APIGateway.5] Les données REST API du cache de la API passerelle doivent être chiffrées au repos

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données au repos

Gravité : Moyenne

Type de ressource : AWS::ApiGateway::Stage

AWS Config règle : api-gw-cache-encrypted (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si toutes les méthodes des REST API stages API Gateway dont le cache est activé sont cryptées. Le contrôle échoue si l'une des méthodes d'un REST API stage API Gateway est configurée pour le cache et que le cache n'est pas crypté. Security Hub évalue le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode.

Le chiffrement des données au repos réduit le risque d'accès aux données stockées sur disque par un utilisateur non authentifié auprès de AWS. Il ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, API des autorisations sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.

APIRESTAPILes caches de passerelle doivent être chiffrés au repos pour renforcer la sécurité.

Correction

Pour configurer la API mise en cache pour une étape, consultez la section Activer la mise en cache d'Amazon API Gateway dans le guide du développeur de API Gateway. Dans Paramètres du cache, choisissez Chiffrer les données du cache.

[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation

Exigences connexes : .800-53.r5 CM-2 NIST.800-53.r5 AC-3, NIST .800-53.r5 CM-2 (2) NIST

Catégorie : Protéger > Gestion des accès sécurisés

Gravité : Moyenne

Type de ressource : AWS::ApiGatewayV2::Route

AWS Config règle : api-gwv2-authorization-type-configured

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

authorizationType

Type d'autorisation des API itinéraires

Enum

AWS_IAM, CUSTOM, JWT

Aucune valeur par défaut

Ce contrôle vérifie si les itinéraires Amazon API Gateway possèdent un type d'autorisation. Le contrôle échoue si la route API Gateway ne possède aucun type d'autorisation. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée si vous souhaitez que le contrôle soit transmis uniquement si l'itinéraire utilise le type d'autorisation spécifié dans le authorizationType paramètre.

APIGateway prend en charge plusieurs mécanismes de contrôle et de gestion de l'accès à votreAPI. En spécifiant un type d'autorisation, vous pouvez restreindre l'accès à votre API compte aux seuls utilisateurs ou processus autorisés.

Correction

Pour définir un type d'autorisation pour HTTPAPIs, consultez la section Contrôle et gestion de l'accès à une API passerelle intégrée HTTP API dans le Guide du développeur de API Gateway. Pour définir un type d'autorisation pour WebSocket APIs, consultez la section Contrôle et gestion de l'accès à une API passerelle intégrée WebSocket API dans le Guide du développeur de API Gateway.

[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

Exigences connexes : NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::ApiGatewayV2::Stage

AWS Config règle : api-gwv2-access-logs-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la journalisation des accès est configurée pour les stages Amazon API Gateway V2. Ce contrôle échoue si les paramètres du journal d'accès ne sont pas définis.

APILes journaux d'accès à la passerelle fournissent des informations détaillées sur les personnes qui ont accédé à votre compte API et sur la manière dont l'appelant y a accédé. API Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Activez ces journaux d'accès pour analyser les modèles de trafic et résoudre les problèmes.

Pour connaître les meilleures pratiques supplémentaires, consultez la section Surveillance REST APIs dans le guide du développeur de API Gateway.

Correction

Pour configurer la journalisation des accès, consultez la section Configurer la CloudWatch API journalisation à l'aide de la console API Gateway dans le Guide du développeur de API Gateway.