Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol CSPM Security Hub untuk Amazon API Gateway
AWS Security Hub CSPM Kontrol ini mengevaluasi layanan dan sumber daya Amazon API Gateway. Kontrol mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat [Ketersediaan kontrol berdasarkan Wilayah](securityhub-regions.md#securityhub-regions-control-support).
## [APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan
**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:**`AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `loggingLevel` | Tingkat pencatatan log | Enum | `ERROR`, `INFO` | `No default value` |
Kontrol ini memeriksa apakah semua tahapan Amazon API Gateway REST atau WebSocket API telah mengaktifkan logging. Kontrol gagal jika `loggingLevel` tidak `ERROR` atau `INFO` untuk semua tahapan API. Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub CSPM menghasilkan temuan yang diteruskan jika tingkat logging salah satu atau`ERROR`. `INFO`
API Gateway REST atau WebSocket API tahapan harus mengaktifkan log yang relevan. API Gateway REST dan pencatatan eksekusi WebSocket API menyediakan catatan terperinci tentang permintaan yang dibuat ke API Gateway REST dan tahapan WebSocket API. Tahapannya meliputi respons backend integrasi API, respons otorisasi Lambda, dan titik akhir untuk integrasi. `requestId` AWS
### Remediasi
Untuk mengaktifkan logging untuk operasi REST dan WebSocket API, lihat [Mengatur pencatatan CloudWatch API menggunakan konsol API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) di *Panduan Pengembang API Gateway*.
## [APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend
**Persyaratan terkait:** NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ApiGateway::Stage`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah tahapan API Amazon API Gateway REST memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway.
Tahapan API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan tersebut berasal dari API Gateway.
### Remediasi
*Untuk petunjuk mendetail tentang cara membuat dan mengonfigurasi sertifikat SSL API Gateway REST API, lihat [Menghasilkan dan mengonfigurasi sertifikat SSL untuk autentikasi backend di Panduan Pengembang](https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html) API Gateway.*
## [APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran
**Persyaratan terkait:** NIST.800-53.r5 CA-7
**Kategori:** Deteksi > Layanan deteksi
**Tingkat keparahan:** Rendah
**Jenis sumber daya:** `AWS::ApiGateway::Stage`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah penelusuran AWS X-Ray aktif diaktifkan untuk tahapan API REST Amazon API Gateway Anda.
X-Ray active tracing memungkinkan respons yang lebih cepat terhadap perubahan kinerja pada infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. X-Ray active tracing menyediakan metrik real-time permintaan pengguna yang mengalir melalui operasi API API Gateway REST API dan layanan yang terhubung.
### Remediasi
Untuk petunjuk terperinci tentang cara mengaktifkan penelusuran aktif X-Ray untuk operasi API Gateway REST API, lihat [dukungan penelusuran aktif Amazon API Gateway AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html) di Panduan *AWS X-Ray Pengembang*.
## [APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF
**Persyaratan terkait:** NIST.800-53.r5 AC-4 (21)
**Kategori:** Lindungi > Layanan pelindung
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ApiGateway::Stage`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses AWS WAF web (ACL). Kontrol ini gagal jika ACL AWS WAF web tidak dilampirkan ke tahap REST API Gateway.
AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan ACL AWS WAF web untuk membantu melindunginya dari serangan berbahaya.
### Remediasi
Untuk informasi tentang cara menggunakan konsol API Gateway untuk mengaitkan ACL web AWS WAF Regional dengan tahap API Gateway API yang ada, lihat [Menggunakan AWS WAF untuk melindungi Anda APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html) di *Panduan Pengembang API Gateway*.
## [APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat
**Persyaratan terkait:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
**Kategori:** Lindungi > Perlindungan data > Enkripsi data saat istirahat
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ApiGateway::Stage`
**AWS Config aturan:** `api-gw-cache-encrypted` (aturan CSPM Security Hub kustom)
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah semua metode dalam tahapan API Gateway REST API yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Security Hub CSPM mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.
Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Ini menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.
Cache API Gateway REST API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
### Remediasi
Untuk mengonfigurasi cache API untuk suatu tahap, lihat [Mengaktifkan caching Amazon API Gateway di Panduan](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-caching.html#enable-api-gateway-caching) *Pengembang API Gateway*. Di **Pengaturan Cache**, pilih **Enkripsi data cache**.
## [APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
**Persyaratan terkait:** NIST.800-53.r5 AC-3, Nist.800-53.r5 CM-2, Nist.800-53.R5 CM-2 (2)
**Kategori:** Lindungi > Manajemen Akses Aman
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ApiGatewayV2::Route`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-authorization-type-configured.html)**
**Jenis jadwal:** Periodik
**Parameter:**
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
| --- | --- | --- | --- | --- |
| `authorizationType` | Jenis otorisasi rute API | Enum | `AWS_IAM`, `CUSTOM`, `JWT` | Tidak ada nilai default |
Kontrol ini memeriksa apakah rute Amazon API Gateway memiliki jenis otorisasi. Kontrol gagal jika rute API Gateway tidak memiliki jenis otorisasi apa pun. Secara opsional, Anda dapat memberikan nilai parameter khusus jika Anda ingin kontrol lulus hanya jika rute menggunakan jenis otorisasi yang ditentukan dalam parameter. `authorizationType`
API Gateway mendukung beberapa mekanisme untuk mengontrol dan mengelola akses ke API Anda. Dengan menentukan jenis otorisasi, Anda dapat membatasi akses ke API hanya untuk pengguna atau proses yang berwenang.
### Remediasi
Untuk menetapkan jenis otorisasi untuk HTTP APIs, lihat [Mengontrol dan mengelola akses ke API HTTP di API Gateway di](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api-access-control.html) *Panduan Pengembang API Gateway*. Untuk menetapkan jenis otorisasi WebSocket APIs, lihat [Mengontrol dan mengelola akses ke WebSocket API di API Gateway di](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api-control-access.html) *Panduan Pengembang API Gateway*.
## [APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
**Persyaratan terkait:** NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Kategori:** Identifikasi > Logging
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ApiGatewayV2::Stage`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/api-gwv2-access-logs-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah tahapan Amazon API Gateway V2 memiliki pencatatan akses yang dikonfigurasi. Kontrol ini gagal jika pengaturan log akses tidak ditentukan.
Log akses API Gateway memberikan informasi terperinci tentang siapa yang telah mengakses API Anda dan bagaimana penelepon mengakses API. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aktifkan log akses ini untuk menganalisis pola lalu lintas dan memecahkan masalah.
Untuk praktik terbaik lainnya, lihat [Memantau REST APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/rest-api-monitor.html) di *Panduan Pengembang API Gateway*.
### Remediasi
Untuk menyiapkan pencatatan akses, lihat [Menyiapkan pencatatan CloudWatch API menggunakan konsol API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console) di *Panduan Pengembang API Gateway*.
## [APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi
**Kategori:** Lindungi > Perlindungan Data > Enkripsi data-in-transit
**Tingkat keparahan:** Sedang
**Jenis sumber daya:** `AWS::ApiGatewayV2::Integration`
**AWS Config aturan: [https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/apigatewayv2-integration-private-https-enabled.html)**
**Jenis jadwal:** Perubahan dipicu
**Parameter:** Tidak ada
Kontrol ini memeriksa apakah integrasi API Gateway V2 telah mengaktifkan HTTPS untuk koneksi pribadi. Kontrol gagal jika koneksi pribadi tidak memiliki TLS yang dikonfigurasi.
VPC Links menghubungkan API Gateway ke sumber daya pribadi. Sementara VPC Links membuat konektivitas pribadi, mereka tidak secara inheren mengenkripsi data. Mengkonfigurasi TLS memastikan penggunaan HTTPS untuk end-to-end enkripsi dari klien melalui API Gateway ke backend. Tanpa TLS, lalu lintas API sensitif mengalir tidak terenkripsi di seluruh koneksi pribadi. Enkripsi HTTPS melindungi lalu lintas melalui koneksi pribadi dari intersepsi data, man-in-the-middle serangan, dan paparan kredenal.
### Remediasi
Untuk mengaktifkan enkripsi saat transit untuk koneksi pribadi dalam Integrasi API Gateway v2, lihat [Memperbarui integrasi pribadi](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html#set-up-private-integration-update) di *Panduan Pengembang Amazon API Gateway*. Konfigurasikan [konfigurasi TLS](https://docs.aws.amazon.com/apigatewayv2/latest/api-reference/apis-apiid-integrations-integrationid.html#apis-apiid-integrations-integrationid-model-tlsconfig) sehingga integrasi pribadi menggunakan protokol HTTPS.