Contrôles Security Hub pour AWS WAF - AWS Security Hub
[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle[WAF.4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles[WAF.11] la ACL journalisation AWS WAF Web doit être activée[WAF.12] AWS WAF les règles doivent avoir des CloudWatch métriques activées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour AWS WAF

Ces AWS Security Hub contrôles évaluent le AWS WAF service et les ressources.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée

Exigences connexes : NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 PCI DSS

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::WAF::WebACL

Règle AWS Config  : waf-classic-logging-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la journalisation est activée pour un site Web AWS WAF mondialACL. Ce contrôle échoue si la journalisation n'est pas activée pour le WebACL.

La journalisation joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances à l' AWS WAF échelle mondiale. Il s'agit d'une exigence commerciale et de conformité dans de nombreuses organisations, qui vous permet de résoudre les problèmes liés au comportement des applications. Il fournit également des informations détaillées sur le trafic analysé par le site Web ACL auquel il est rattaché AWS WAF.

Correction

Pour activer la journalisation pour un AWS WAF site WebACL, consultez la section Enregistrement des informations relatives au ACL trafic Web dans le Guide du AWS WAF développeur.

[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition

Exigences connexes : NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFRegional::Rule

Règle AWS Config  : waf-regional-rule-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une règle AWS WAF régionale comporte au moins une condition. Le contrôle échoue si aucune condition n'est présente dans une règle.

Une règle WAF régionale peut contenir plusieurs conditions. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle WAF régionale sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.

Correction

Pour ajouter une condition à une règle vide, consultez la section Ajouter et supprimer des conditions dans une règle dans le Guide du AWS WAF développeur.

[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle

Exigences connexes : NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFRegional::RuleGroup

Règle AWS Config  : waf-regional-rulegroup-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un groupe de règles AWS WAF régional possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.

Un groupe de règles WAF régional peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles WAF régional ne comportant aucune règle, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.

Correction

Pour ajouter des règles et des conditions de règles à un groupe de règles vide, consultez les sections Ajouter et supprimer des règles dans un groupe de règles AWS WAF classique et Ajouter et supprimer des conditions dans une règle dans le Guide du AWS WAF développeur.

[WAF.4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFRegional::WebACL

Règle AWS Config  : waf-regional-webacl-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un AWS WAF Classic Regional site Web ACL contient des WAF règles ou des groupes de WAF règles. Ce contrôle échoue si un site Web ACL ne contient aucune règle ou groupe de WAF règles.

Un site Web WAF régional ACL peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si un site Web ACL est vide, le trafic Web peut passer sans être détecté ou traité WAF en fonction de l'action par défaut.

Correction

Pour ajouter des règles ou des groupes de règles à un site Web régional AWS WAF classique videACL, consultez la section Modifier un site Web ACL dans le guide du AWS WAF développeur.

[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAF::Rule

Règle AWS Config  : waf-global-rule-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une règle AWS WAF globale contient des conditions. Le contrôle échoue si aucune condition n'est présente dans une règle.

Une règle WAF globale peut contenir plusieurs conditions. Les conditions d'une règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle WAF globale sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.

Correction

Pour obtenir des instructions sur la création d'une règle et l'ajout de conditions, consultez la section Création d'une règle et ajout de conditions dans le guide du AWS WAF développeur.

[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAF::RuleGroup

Règle AWS Config  : waf-global-rulegroup-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un groupe de règles AWS WAF global possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.

Un groupe de règles WAF global peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles WAF global ne comportant aucune règle, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.

Correction

Pour obtenir des instructions sur l'ajout d'une règle à un groupe de règles, consultez la section Création d'un groupe de règles AWS WAF classique dans le guide du AWS WAF développeur.

[WAF.8] AWS WAF Le Web global classique ACLs doit avoir au moins une règle ou un groupe de règles

Exigences connexes : NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAF::WebACL

Règle AWS Config  : waf-global-webacl-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un site Web AWS WAF global ACL contient au moins une WAF WAF règle ou un groupe de règles. Le contrôle échoue si un site Web ACL ne contient aucune règle ou groupe de WAF règles.

Un site Web WAF global ACL peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si un site Web ACL est vide, le trafic Web peut passer sans être détecté ou traité WAF en fonction de l'action par défaut.

Correction

Pour ajouter des règles ou des groupes de règles à un site Web AWS WAF global videACL, consultez la section Modification d'un site Web ACL dans le guide du AWS WAF développeur. Pour Filtrer, choisissez Global (CloudFront).

[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFv2::WebACL

Règle AWS Config  : wafv2-webacl-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une liste de contrôle d'accès Web AWS WAF V2 (WebACL) contient au moins une règle ou un groupe de règles. Le contrôle échoue si un site Web ACL ne contient aucune règle ou groupe de règles.

Un site Web vous ACL permet de contrôler avec précision toutes les HTTP (S) requêtes Web auxquelles votre ressource protégée répond. Un site Web ACL doit contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si un site Web ACL est vide, le trafic Web peut passer sans être détecté ou traité AWS WAF en fonction de l'action par défaut.

Correction

Pour ajouter des règles ou des groupes de règles à un WAFV2 site Web videACL, consultez la section Modifier un site Web ACL dans le guide du AWS WAF développeur.

[WAF.11] la ACL journalisation AWS WAF Web doit être activée

Exigences connexes : NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), v4.0.1/10.4.2 PCI DSS

Catégorie : Identifier - Journalisation

Gravité : Faible

Type de ressource : AWS::WAFv2::WebACL

AWS Config règle : wafv2-logging-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la journalisation est activée pour une liste de contrôle d'accès Web AWS WAF V2 (WebACL). Ce contrôle échoue si la journalisation est désactivée pour le WebACL.

Note

Ce contrôle ne vérifie pas si la ACL journalisation AWS WAF Web est activée pour un compte via Amazon Security Lake.

La journalisation garantit la fiabilité, la disponibilité et les performances de AWS WAF. En outre, la journalisation est une exigence commerciale et de conformité dans de nombreuses organisations. En enregistrant le trafic analysé par votre site WebACL, vous pouvez résoudre les problèmes de comportement des applications.

Correction

Pour activer la journalisation pour un AWS WAF site WebACL, consultez la section Gestion de la journalisation pour un site Web ACL dans le guide du AWS WAF développeur.

[WAF.12] AWS WAF les règles doivent avoir des CloudWatch métriques activées

Exigences connexes : NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::WAFv2::RuleGroup

AWS Config règle : wafv2-rulegroup-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les CloudWatch métriques Amazon sont activées pour une AWS WAF règle ou un groupe de règles. Le contrôle échoue si les CloudWatch métriques ne sont pas activées pour la règle ou le groupe de règles.

La configuration de CloudWatch métriques sur AWS WAF les règles et les groupes de règles fournit une visibilité sur le flux de trafic. Vous pouvez voir quelles ACL règles sont déclenchées et quelles demandes sont acceptées et bloquées. Cette visibilité peut vous aider à identifier les activités malveillantes sur vos ressources associées.

Correction

Pour activer CloudWatch les métriques sur un groupe de AWS WAF règles, appelez le UpdateRuleGroupAPI. Pour activer CloudWatch les métriques sur une AWS WAF règle, invoquez le UpdateWebACLAPI. Réglez le CloudWatchMetricsEnabled champ surtrue. Lorsque vous utilisez la AWS WAF console pour créer des règles ou des groupes de règles, CloudWatch les métriques sont automatiquement activées.