Contrôles Security Hub pour AWS WAF - AWS Security Hub
[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles[WAF.11] La journalisation des ACL AWS WAF Web doit être activéeLes AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour AWS WAF

Ces AWS Security Hub contrôles évaluent le AWS WAF service et les ressources.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée

Exigences connexes : NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::WAF::WebACL

Règle AWS Config  : waf-classic-logging-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la journalisation est activée pour une ACL Web AWS WAF globale. Ce contrôle échoue si la journalisation n'est pas activée pour l'ACL Web.

La journalisation joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances à l' AWS WAF échelle mondiale. Il s'agit d'une exigence commerciale et de conformité dans de nombreuses organisations, qui vous permet de résoudre les problèmes liés au comportement des applications. Il fournit également des informations détaillées sur le trafic analysé par l'ACL Web qui y est attachée AWS WAF.

Correction

Pour activer la journalisation pour une ACL AWS WAF Web, consultez la section Enregistrement des informations de trafic d'une ACL Web dans le Guide du AWS WAF développeur.

[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition

Exigences connexes : NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFRegional::Rule

Règle AWS Config  : waf-regional-rule-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une règle AWS WAF régionale comporte au moins une condition. Le contrôle échoue si aucune condition n'est présente dans une règle.

Une règle régionale WAF peut contenir plusieurs conditions. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle régionale WAF sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.

Correction

Pour ajouter une condition à une règle vide, consultez la section Ajouter et supprimer des conditions dans une règle dans le Guide du AWS WAF développeur.

[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle

Exigences connexes : NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFRegional::RuleGroup

Règle AWS Config  : waf-regional-rulegroup-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un groupe de règles AWS WAF régional possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.

Un groupe de règles régional WAF peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles régional WAF sans règles, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en cours.

Correction

Pour ajouter des règles et des conditions de règles à un groupe de règles vide, consultez les sections Ajouter et supprimer des règles dans un groupe de règles AWS WAF classique et Ajouter et supprimer des conditions dans une règle dans le Guide du AWS WAF développeur.

[WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFRegional::WebACL

Règle AWS Config  : waf-regional-webacl-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une ACL AWS WAF Classic Regional Web contient des règles WAF ou des groupes de règles WAF. Ce contrôle échoue si une ACL Web ne contient aucune règle WAF ou aucun groupe de règles.

Une ACL Web régionale WAF peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut passer sans être détecté ou traité par WAF en fonction de l'action par défaut.

Correction

Pour ajouter des règles ou des groupes de règles à une ACL Web régionale AWS WAF classique vide, consultez la section Modification d'une ACL Web dans le guide du AWS WAF développeur.

[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAF::Rule

Règle AWS Config  : waf-global-rule-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une règle AWS WAF globale contient des conditions. Le contrôle échoue si aucune condition n'est présente dans une règle.

Une règle globale WAF peut contenir plusieurs conditions. Les conditions d'une règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune condition, le trafic passe sans inspection. Une règle globale WAF sans conditions, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.

Correction

Pour obtenir des instructions sur la création d'une règle et l'ajout de conditions, consultez la section Création d'une règle et ajout de conditions dans le guide du AWS WAF développeur.

[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAF::RuleGroup

Règle AWS Config  : waf-global-rulegroup-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un groupe de règles AWS WAF global possède au moins une règle. Le contrôle échoue si aucune règle n'est présente au sein d'un groupe de règles.

Un groupe de règles global WAF peut contenir plusieurs règles. Les conditions de la règle permettent d'inspecter le trafic et de prendre une action définie (autoriser, bloquer ou compter). Sans aucune règle, le trafic passe sans inspection. Un groupe de règles global WAF sans règles, mais dont le nom ou le tag suggère d'autoriser, de bloquer ou de compter, peut laisser supposer à tort que l'une de ces actions est en train de se produire.

Correction

Pour obtenir des instructions sur l'ajout d'une règle à un groupe de règles, consultez la section Création d'un groupe de règles AWS WAF classique dans le guide du AWS WAF développeur.

[WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles

Exigences connexes : NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAF::WebACL

Règle AWS Config  : waf-global-webacl-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une ACL Web AWS WAF globale contient au moins une règle WAF ou un groupe de règles WAF. Le contrôle échoue si une ACL Web ne contient aucune règle WAF ou aucun groupe de règles.

Une ACL Web globale WAF peut contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut passer sans être détecté ou traité par WAF en fonction de l'action par défaut.

Correction

Pour ajouter des règles ou des groupes de règles à une ACL Web AWS WAF globale vide, consultez la section Modification d'une ACL Web dans le manuel du AWS WAF développeur. Pour Filtrer, choisissez Global (CloudFront).

[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::WAFv2::WebACL

Règle AWS Config  : wafv2-webacl-not-empty

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une liste de contrôle d'accès Web (ACL Web) AWS WAF V2 contient au moins une règle ou un groupe de règles. Le contrôle échoue si une ACL Web ne contient aucune règle ou groupe de règles.

Une ACL Web vous permet de contrôler avec précision toutes les requêtes Web HTTP (S) auxquelles répond votre ressource protégée. Une ACL Web doit contenir un ensemble de règles et de groupes de règles qui inspectent et contrôlent les requêtes Web. Si une ACL Web est vide, le trafic Web peut être transmis sans être détecté ou traité AWS WAF en fonction de l'action par défaut.

Correction

Pour ajouter des règles ou des groupes de règles à une ACL WAFV2 Web vide, consultez la section Modification d'une ACL Web dans le manuel du AWS WAF développeur.

[WAF.11] La journalisation des ACL AWS WAF Web doit être activée

Exigences connexes : NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

Catégorie : Identifier - Journalisation

Gravité : Faible

Type de ressource : AWS::WAFv2::WebACL

AWS Config règle : wafv2-logging-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la journalisation est activée pour une liste de contrôle d'accès Web (ACL Web) AWS WAF V2. Ce contrôle échoue si la journalisation est désactivée pour l'ACL Web.

Note

Ce contrôle ne vérifie pas si la journalisation ACL AWS WAF Web est activée pour un compte via Amazon Security Lake.

La journalisation garantit la fiabilité, la disponibilité et les performances de AWS WAF. En outre, la journalisation est une exigence commerciale et de conformité dans de nombreuses organisations. En enregistrant le trafic analysé par votre ACL Web, vous pouvez résoudre les problèmes de comportement des applications.

Correction

Pour activer la journalisation pour une ACL AWS WAF Web, consultez la section Gestion de la journalisation pour une ACL Web dans le Guide du AWS WAF développeur.

Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch

Exigences connexes : NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::WAFv2::RuleGroup

AWS Config règle : wafv2-rulegroup-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les CloudWatch métriques Amazon sont activées pour une AWS WAF règle ou un groupe de règles. Le contrôle échoue si les CloudWatch métriques ne sont pas activées pour la règle ou le groupe de règles.

La configuration de CloudWatch métriques sur AWS WAF les règles et les groupes de règles fournit une visibilité sur le flux de trafic. Vous pouvez voir quelles règles ACL sont déclenchées et quelles demandes sont acceptées et bloquées. Cette visibilité peut vous aider à identifier les activités malveillantes sur vos ressources associées.

Correction

Pour activer CloudWatch les métriques sur un groupe de AWS WAF règles, appelez l' UpdateRuleGroupAPI. Pour activer CloudWatch les métriques sur une AWS WAF règle, appelez l'API UpdateWebACL. Réglez le CloudWatchMetricsEnabled champ surtrue. Lorsque vous utilisez la AWS WAF console pour créer des règles ou des groupes de règles, CloudWatch les métriques sont automatiquement activées.