Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk AWS WAF
Ini AWS Security Hub kontrol mengevaluasi AWS WAF layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[WAF.1] AWS WAF ACLPencatatan Web Global Klasik harus diaktifkan
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::WebACL
AWS Config aturan: waf-classic-logging-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah pencatatan diaktifkan untuk AWS WAF web globalACL. Kontrol ini gagal jika logging tidak diaktifkan untuk webACL.
Logging merupakan bagian penting dari menjaga keandalan, ketersediaan, dan kinerja AWS WAF secara global. Ini adalah persyaratan bisnis dan kepatuhan di banyak organisasi, dan memungkinkan Anda untuk memecahkan masalah perilaku aplikasi. Ini juga memberikan informasi rinci tentang lalu lintas yang dianalisis oleh web ACL yang dilampirkan AWS WAF.
Remediasi
Untuk mengaktifkan pencatatan untuk AWS WAF webACL, lihat Mencatat informasi ACL lalu lintas web di AWS WAF Panduan Pengembang.
[WAF.2] AWS WAF Aturan Regional Klasik harus memiliki setidaknya satu syarat
Persyaratan terkait: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFRegional::Rule
AWS Config aturan: waf-regional-rule-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF Aturan regional memiliki setidaknya satu syarat. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.
Aturan WAF Regional dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan WAF Regional tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk menambahkan kondisi ke aturan kosong, lihat Menambahkan dan menghapus kondisi dalam aturan di AWS WAF Panduan Pengembang.
[WAF.3] AWS WAF Kelompok aturan Regional klasik harus memiliki setidaknya satu aturan
Persyaratan terkait: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFRegional::RuleGroup
AWS Config aturan: waf-regional-rulegroup-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF Kelompok aturan regional memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.
Grup aturan WAF Regional dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Kelompok aturan WAF Regional tanpa aturan, tetapi dengan nama atau tag yang menyarankan mengizinkan, memblokir, atau menghitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk menambahkan aturan dan ketentuan aturan ke grup aturan kosong, lihat Menambahkan dan menghapus aturan dari AWS WAF Grup aturan klasik dan Menambahkan dan menghapus kondisi dalam aturan di AWS WAF Panduan Pengembang.
[WAF.4] AWS WAF Web Regional Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFRegional::WebACL
AWS Config aturan: waf-regional-webacl-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF Classic Regional web ACL berisi WAF aturan atau kelompok WAF aturan apa pun. Kontrol ini gagal jika web ACL tidak berisi WAF aturan atau grup aturan apa pun.
Web WAF Regional ACL dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika web ACL kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti dengan WAF tergantung pada tindakan default.
Remediasi
Untuk menambahkan aturan atau grup aturan ke kosong AWS WAF Web Regional KlasikACL, lihat Mengedit Web ACL di AWS WAF Panduan Pengembang.
[WAF.6] AWS WAF Aturan global klasik harus memiliki setidaknya satu syarat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::Rule
AWS Config aturan: waf-global-rule-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF aturan global berisi kondisi apa pun. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.
Aturan WAF global dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan WAF global tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk petunjuk cara membuat aturan dan menambahkan kondisi, lihat Membuat aturan dan menambahkan kondisi di AWS WAF Panduan Pengembang.
[WAF.7] AWS WAF Kelompok aturan global klasik harus memiliki setidaknya satu aturan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::RuleGroup
AWS Config aturan: waf-global-rulegroup-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF Kelompok aturan global memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.
Grup aturan WAF global dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Grup aturan WAF global tanpa aturan, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk petunjuk cara menambahkan aturan ke grup aturan, lihat Membuat AWS WAF Kelompok aturan klasik di AWS WAF Panduan Pengembang.
[WAF.8] AWS WAF Web global klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Persyaratan terkait: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::WebACL
AWS Config aturan: waf-global-webacl-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF web global ACL berisi setidaknya satu WAF aturan atau kelompok WAF aturan. Kontrol gagal jika web ACL tidak berisi WAF aturan atau grup aturan apa pun.
Sebuah web WAF global ACL dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika web ACL kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti dengan WAF tergantung pada tindakan default.
Remediasi
Untuk menambahkan aturan atau grup aturan ke kosong AWS WAF web globalACL, lihat Mengedit web ACL di AWS WAF Panduan Pengembang. Untuk Filter, pilih Global (CloudFront).
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFv2::WebACL
AWS Config aturan: wafv2-webacl-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF Daftar kontrol akses web V2 (webACL) berisi setidaknya satu aturan atau grup aturan. Kontrol gagal jika web ACL tidak berisi aturan atau grup aturan apa pun.
Web ACL memberi Anda kontrol halus atas semua permintaan web HTTP (S) yang ditanggapi oleh sumber daya terlindungi Anda. Web ACL harus berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika web ACL kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti oleh AWS WAF tergantung pada tindakan default.
Remediasi
Untuk menambahkan aturan atau grup aturan ke WAFV2 web kosongACL, lihat Mengedit Web ACL di AWS WAF Panduan Pengembang.
[WAF.11] AWS WAF ACLpencatatan web harus diaktifkan
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::WAFv2::WebACL
AWS Config aturan: wafv2-logging-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah logging diaktifkan untuk AWS WAF Daftar kontrol akses web V2 (webACL). Kontrol ini gagal jika logging dinonaktifkan untuk webACL.
catatan
Kontrol ini tidak memeriksa apakah AWS WAF ACLpencatatan web diaktifkan untuk akun melalui Amazon Security Lake.
Logging mempertahankan keandalan, ketersediaan, dan kinerja AWS WAF. Selain itu, penebangan adalah persyaratan bisnis dan kepatuhan di banyak organisasi. Dengan mencatat lalu lintas yang dianalisis oleh web AndaACL, Anda dapat memecahkan masalah perilaku aplikasi.
Remediasi
Untuk mengaktifkan logging untuk AWS WAF webACL, lihat Mengelola logging untuk web ACL di AWS WAF Panduan Pengembang.
[WAF.12] AWS WAF aturan harus mengaktifkan CloudWatch metrik
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFv2::RuleGroup
AWS Config aturan: wafv2-rulegroup-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF grup aturan atau aturan mengaktifkan CloudWatch metrik Amazon. Kontrol gagal jika aturan atau grup aturan tidak mengaktifkan CloudWatch metrik.
Mengkonfigurasi CloudWatch metrik pada AWS WAF aturan dan kelompok aturan memberikan visibilitas ke arus lalu lintas. Anda dapat melihat ACL aturan mana yang dipicu dan permintaan mana yang diterima dan diblokir. Visibilitas ini dapat membantu Anda mengidentifikasi aktivitas berbahaya pada sumber daya terkait Anda.
Remediasi
Untuk mengaktifkan CloudWatch metrik pada AWS WAF kelompok aturan, panggil. UpdateRuleGroupAPI Untuk mengaktifkan CloudWatch metrik pada AWS WAF aturan, memohon. UpdateWebACLAPI Atur CloudWatchMetricsEnabled bidang ketrue. Saat Anda menggunakan AWS WAF konsol untuk membuat aturan atau grup aturan, CloudWatch metrik diaktifkan secara otomatis.
