Best practice di sicurezza in Amazon API Gateway - Amazon API Gateway

Best practice di sicurezza in Amazon API Gateway

API Gateway fornisce una serie di caratteristiche di sicurezza che occorre valutare durante lo sviluppo e l'implementazione delle policy di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l'ambiente, gestiscile come considerazioni utili anziché prescrizioni.

Implementazione dell'accesso con privilegi minimi

Utilizzare le policy IAM per implementare l'accesso con privilegi minimi per la creazione, la lettura, l'aggiornamento o l'eliminazione delle API di API Gateway. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon API Gateway. API Gateway offre diverse opzioni per controllare l'accesso alle API create. Per ulteriori informazioni, consulta Controllo e gestione degli accessi alle REST API in Gateway API, Controllo e gestione degli accessi alle API WebSocket in Gateway API e Controllo degli accessi alle API HTTP con provider di autorizzazioni JWT in Gateway API.

Implementare la registrazione

Utilizzare CloudWatch Logs o Amazon Data Firehose per registrare i log delle richieste alle API. Per ulteriori informazioni, consulta Monitoraggio delle REST API in Gateway API, Configurazione della registrazione dei log per le API WebSocket in Gateway API e Configurazione della registrazione dei log per le API HTTP in Gateway API.

Implementazione degli allarmi Amazon CloudWatch

Utilizzando gli allarmi di CloudWatch, è possibile osservare un singolo parametro per il periodo di tempo specificato. Se il parametro supera una determinata soglia, viene inviata una notifica a un argomento Amazon Simple Notification Service o alla policy AWS Auto Scaling. Gli allarmi CloudWatch non richiamano azioni quando una metrica si trova in uno stato particolare. È necessario invece cambiare lo stato e mantenerlo per un numero di periodi specificato. Per ulteriori informazioni, consulta Monitoraggio dell'esecuzione della REST API con le metriche Amazon CloudWatch.

Abilitazione di AWS CloudTrail

CloudTrail fornisce un record delle operazioni eseguite da un utente, un ruolo o un servizio AWS in API Gateway. Le informazioni raccolte da CloudTrail consentono di determinare la richiesta effettuata ad API Gateway, l'indirizzo IP da cui è partita la richiesta, l'autore della richiesta, il momento in cui è stata eseguita e altri dettagli. Per ulteriori informazioni, consulta Registrazione dei log delle chiamate API di Gateway Amazon API tramite AWS CloudTrail.

Abilitazione di AWS Config

AWS Config fornisce una panoramica dettagliata della configurazione delle risorse AWS nel tuo account. Puoi vedere in che modo le risorse sono correlate, ottenere una cronologia delle modifiche alla configurazione ed esaminare come cambiano le relazioni e le configurazioni nel tempo. Puoi utilizzare AWS Config per definire regole che valutano le configurazioni delle risorse per la conformità dei dati. Le regole AWS Config rappresentano le impostazioni di configurazione ideali per le risorse API Gateway. Se una risorsa viola una regola e viene contrassegnata come non conforme, AWS Config può avvisare l'utente utilizzando un argomento Amazon Simple Notification Service (Amazon SNS). Per informazioni dettagliate, consultare Monitoraggio della configurazione API di API Gateway con AWS Config.

Utilizzare AWS Security Hub

Monitora l'utilizzo di API Gateway riguardo alle best practice di sicurezza utilizzando AWS Security Hub. Security Hub utilizza controlli di sicurezza per valutare le configurazioni delle risorse e gli standard di sicurezza per aiutarti a rispettare vari framework di conformità. Per ulteriori informazioni sull'utilizzo di Security Hub volto a valutare le risorse Lambda, consulta i controlli di Amazon API Gateway nella Guida per l'utente di AWS Security Hub.