Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Security Hub untuk AWS WAF
AWS Security Hub Kontrol ini mengevaluasi AWS WAF layanan dan sumber daya.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[WAF.1] Pencatatan ACL Web Global AWS WAF Klasik harus diaktifkan
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::WebACL
AWS Config aturan: waf-classic-logging-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah logging diaktifkan untuk ACL web AWS WAF global. Kontrol ini gagal jika logging tidak diaktifkan untuk ACL web.
Logging adalah bagian penting untuk menjaga keandalan, ketersediaan, dan kinerja AWS WAF global. Ini adalah persyaratan bisnis dan kepatuhan di banyak organisasi, dan memungkinkan Anda untuk memecahkan masalah perilaku aplikasi. Ini juga memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web yang dilampirkan AWS WAF.
Remediasi
Untuk mengaktifkan pencatatan untuk ACL AWS WAF web, lihat Mencatat informasi lalu lintas ACL web di Panduan AWS WAF Pengembang.
[WAF.2] Aturan Regional AWS WAF Klasik harus memiliki setidaknya satu syarat
Persyaratan terkait: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFRegional::Rule
AWS Config aturan: waf-regional-rule-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah aturan AWS WAF Regional memiliki setidaknya satu syarat. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.
Aturan Regional WAF dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan Regional WAF tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk menambahkan kondisi ke aturan kosong, lihat Menambahkan dan menghapus kondisi dalam aturan di Panduan AWS WAF Pengembang.
[WAF.3] Kelompok aturan Regional AWS WAF Klasik harus memiliki setidaknya satu aturan
Persyaratan terkait: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFRegional::RuleGroup
AWS Config aturan: waf-regional-rulegroup-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kelompok aturan AWS WAF Regional memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.
Grup aturan Regional WAF dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Kelompok aturan Regional WAF tanpa aturan, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk menambahkan aturan dan ketentuan aturan ke grup aturan kosong, lihat Menambahkan dan menghapus aturan dari grup aturan AWS WAF Klasik serta Menambahkan dan menghapus kondisi dalam aturan di Panduan AWS WAF Pengembang.
[WAF.4] Web Regional AWS WAF Klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFRegional::WebACL
AWS Config aturan: waf-regional-webacl-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ACL AWS WAF Classic Regional web berisi aturan WAF atau grup aturan WAF. Kontrol ini gagal jika ACL web tidak berisi aturan WAF atau grup aturan.
ACL web Regional WAF dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti oleh WAF tergantung pada tindakan default.
Remediasi
Untuk menambahkan aturan atau grup aturan ke ACL web Regional AWS WAF Klasik kosong, lihat Mengedit ACL Web di Panduan AWS WAF Pengembang.
[WAF.6] Aturan global AWS WAF klasik harus memiliki setidaknya satu syarat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::Rule
AWS Config aturan: waf-global-rule-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah aturan AWS WAF global berisi kondisi apa pun. Kontrol gagal jika tidak ada kondisi dalam suatu aturan.
Aturan global WAF dapat berisi beberapa kondisi. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa kondisi apa pun, lalu lintas berlalu tanpa inspeksi. Aturan global WAF tanpa kondisi, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk petunjuk cara membuat aturan dan menambahkan kondisi, lihat Membuat aturan dan menambahkan kondisi di Panduan AWS WAF Pengembang.
[WAF.7] Kelompok aturan global AWS WAF klasik harus memiliki setidaknya satu aturan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::RuleGroup
AWS Config aturan: waf-global-rulegroup-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah grup aturan AWS WAF global memiliki setidaknya satu aturan. Kontrol gagal jika tidak ada aturan dalam kelompok aturan.
Grup aturan global WAF dapat berisi beberapa aturan. Ketentuan aturan memungkinkan inspeksi lalu lintas dan mengambil tindakan yang ditentukan (izinkan, blokir, atau hitung). Tanpa aturan apa pun, lalu lintas berlalu tanpa inspeksi. Grup aturan global WAF tanpa aturan, tetapi dengan nama atau tag yang menyarankan izinkan, blokir, atau hitung, dapat menyebabkan asumsi yang salah bahwa salah satu tindakan tersebut terjadi.
Remediasi
Untuk petunjuk cara menambahkan aturan ke grup aturan, lihat Membuat grup aturan AWS WAF Klasik di Panduan AWS WAF Pengembang.
[WAF.8] Web global AWS WAF klasik ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Persyaratan terkait: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAF::WebACL
AWS Config aturan: waf-global-webacl-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah ACL web AWS WAF global berisi setidaknya satu aturan WAF atau grup aturan WAF. Kontrol gagal jika ACL web tidak berisi aturan WAF atau grup aturan.
ACL web global WAF dapat berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti oleh WAF tergantung pada tindakan default.
Remediasi
Untuk menambahkan aturan atau grup aturan ke ACL web AWS WAF global yang kosong, lihat Mengedit ACL web di Panduan AWS WAF Pengembang. Untuk Filter, pilih Global (CloudFront).
[WAF.10] AWS WAF web ACLs harus memiliki setidaknya satu aturan atau kelompok aturan
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), Nist.800-53.R5 CM-2
Kategori: Lindungi > Konfigurasi jaringan aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFv2::WebACL
AWS Config aturan: wafv2-webacl-not-empty
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah daftar kontrol akses web AWS WAF V2 (web ACL) berisi setidaknya satu aturan atau grup aturan. Kontrol gagal jika ACL web tidak berisi aturan atau grup aturan apa pun.
ACL web memberi Anda kontrol halus atas semua permintaan web HTTP (S) yang ditanggapi oleh sumber daya Anda yang dilindungi. ACL web harus berisi kumpulan aturan dan kelompok aturan yang memeriksa dan mengontrol permintaan web. Jika ACL web kosong, lalu lintas web dapat lewat tanpa terdeteksi atau ditindaklanjuti dengan AWS WAF tergantung pada tindakan default.
Remediasi
Untuk menambahkan aturan atau grup aturan ke ACL WAFV2 web kosong, lihat Mengedit ACL Web di Panduan AWS WAF Pengembang.
[WAF.11] pencatatan ACL AWS WAF web harus diaktifkan
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
Kategori: Identifikasi > Logging
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::WAFv2::WebACL
AWS Config aturan: wafv2-logging-enabled
Jenis jadwal: Periodik
Parameter: Tidak ada
Kontrol ini memeriksa apakah logging diaktifkan untuk daftar kontrol akses web AWS WAF V2 (web ACL). Kontrol ini gagal jika logging dinonaktifkan untuk ACL web.
catatan
Kontrol ini tidak memeriksa apakah pencatatan ACL AWS WAF web diaktifkan untuk akun melalui Amazon Security Lake.
Logging mempertahankan keandalan, ketersediaan, dan kinerja AWS WAF. Selain itu, penebangan adalah persyaratan bisnis dan kepatuhan di banyak organisasi. Dengan mencatat lalu lintas yang dianalisis oleh ACL web Anda, Anda dapat memecahkan masalah perilaku aplikasi.
Remediasi
Untuk mengaktifkan logging untuk ACL AWS WAF web, lihat Mengelola logging untuk ACL web di Panduan AWS WAF Pengembang.
AWS WAF Aturan [WAF.12] harus mengaktifkan metrik CloudWatch
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::WAFv2::RuleGroup
AWS Config aturan: wafv2-rulegroup-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah AWS WAF aturan atau grup aturan mengaktifkan CloudWatch metrik Amazon. Kontrol gagal jika aturan atau grup aturan tidak mengaktifkan CloudWatch metrik.
Mengkonfigurasi CloudWatch metrik pada AWS WAF aturan dan grup aturan memberikan visibilitas ke arus lalu lintas. Anda dapat melihat aturan ACL mana yang dipicu dan permintaan mana yang diterima dan diblokir. Visibilitas ini dapat membantu Anda mengidentifikasi aktivitas berbahaya pada sumber daya terkait.
Remediasi
Untuk mengaktifkan CloudWatch metrik pada grup AWS WAF aturan, panggil API. UpdateRuleGroup Untuk mengaktifkan CloudWatch metrik pada AWS WAF aturan, panggil UpdateWebACL API. Atur CloudWatchMetricsEnabled bidang ketrue. Saat Anda menggunakan AWS WAF konsol untuk membuat aturan atau grup aturan, CloudWatch metrik diaktifkan secara otomatis.
