Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli del Security Hub per API Gateway
Questi controlli del Security Hub valutano il servizio e le risorse di Amazon API Gateway.
Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati
Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)
Categoria: Identificazione > Registrazione
Gravità: media
AWS::ApiGateway::StageTipo di risorsa:, AWS::ApiGatewayV2::Stage
Regola AWS Config : api-gw-execution-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Livello di logging |
Enum |
|
|
Questo controllo verifica se la registrazione è abilitata in tutte le fasi di un REST o di un' WebSocket API di Amazon API Gateway. Il controllo fallisce se loggingLevel non lo è ERROR o INFO per tutte le fasi dell'API. A meno che non si forniscano valori di parametri personalizzati per indicare che un tipo di registro specifico deve essere abilitato, Security Hub produce un risultato positivo se il livello di registrazione è uno ERROR o INFO l'altro.
API Gateway WebSocket REST o le fasi API devono avere i log pertinenti abilitati. La registrazione REST e l'esecuzione delle WebSocket API di API Gateway forniscono registrazioni dettagliate delle richieste effettuate alle fasi REST e API di WebSocket API Gateway. Le fasi includono le risposte di backend di integrazione delle API, le risposte di autorizzazione Lambda e gli endpoint per requestId l' AWS integrazione.
Correzione
Per abilitare la registrazione per le operazioni WebSocket REST e API, consulta Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway nella API Gateway Developer Guide.
[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend
Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4), (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::ApiGateway::Stage
Regola AWS Config : api-gw-ssl-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se le fasi API REST di Amazon API Gateway hanno certificati SSL configurati. I sistemi di backend utilizzano questi certificati per autenticare che le richieste in entrata provengano da API Gateway.
Le fasi API REST di API Gateway devono essere configurate con certificati SSL per consentire ai sistemi di backend di autenticare che le richieste provengono da API Gateway.
Correzione
Per istruzioni dettagliate su come generare e configurare i certificati SSL API REST API Gateway, consulta Generare e configurare un certificato SSL per l'autenticazione di backend nella Guida per sviluppatori di API Gateway.
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
Requisiti correlati: NIST.800-53.r5 CA-7
Categoria: Rilevamento > Servizi di rilevamento
Gravità: bassa
Tipo di risorsa: AWS::ApiGateway::Stage
Regola AWS Config : api-gw-xray-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se il tracciamento AWS X-Ray attivo è abilitato per le fasi dell'API REST di Amazon API Gateway.
Il tracciamento attivo a raggi X consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Le variazioni delle prestazioni potrebbero comportare una mancanza di disponibilità dell'API. Il tracciamento attivo di X-Ray fornisce metriche in tempo reale delle richieste degli utenti che fluiscono attraverso le operazioni dell'API REST dell'API Gateway e i servizi connessi.
Correzione
Per istruzioni dettagliate su come abilitare il tracciamento attivo a raggi X per le operazioni dell'API REST di API Gateway, consulta il supporto per il tracciamento attivo di Amazon API Gateway AWS X-Ray nella Developer Guide.AWS X-Ray
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
Requisiti correlati: NIST.800-53.r5 AC-4 (21)
Categoria: Proteggi > Servizi di protezione
Gravità: media
Tipo di risorsa: AWS::ApiGateway::Stage
Regola AWS Config : api-gw-associated-with-waf
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una fase API Gateway utilizza una lista di controllo degli accessi AWS WAF Web (ACL). Questo controllo ha esito negativo se un ACL AWS WAF Web non è collegato a uno stadio REST API Gateway.
AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare un ACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la fase API Gateway sia associata a un ACL AWS WAF Web per proteggerla da attacchi dannosi.
Correzione
Per informazioni su come utilizzare la console API Gateway per associare un ACL web AWS WAF regionale a una fase API Gateway API esistente, consulta Using AWS WAF to protect your APIs nella API Gateway Developer Guide.
[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Categoria: Protezione > Protezione dei dati > Crittografia dei dati inattivi
Gravità: media
Tipo di risorsa: AWS::ApiGateway::Stage
AWS Config regola: api-gw-cache-encrypted (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se tutti i metodi nelle fasi API REST di API Gateway con cache abilitata sono crittografati. Il controllo ha esito negativo se un metodo in una fase API REST API Gateway è configurato per la cache e la cache non è crittografata. Security Hub valuta la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo.
La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decrittografare i dati prima che possano essere letti.
Le cache delle API REST di API Gateway devono essere crittografate quando sono inattive per un ulteriore livello di sicurezza.
Correzione
Per configurare la memorizzazione nella cache delle API per una fase, consulta Abilita la memorizzazione nella cache di Amazon API Gateway nella API Gateway Developer Guide. In Impostazioni cache, scegli Crittografa i dati della cache.
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
Requisiti correlati: NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
Categoria: Protezione > Gestione sicura degli accessi
Gravità: media
Tipo di risorsa: AWS::ApiGatewayV2::Route
AWS Config regola: api-gwv2-authorization-type-configured
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Tipo | Valori personalizzati consentiti | Valore predefinito di Security Hub |
|---|---|---|---|---|
|
|
Tipo di autorizzazione dei percorsi API |
Enum |
|
Nessun valore predefinito |
Questo controllo verifica se le route Amazon API Gateway hanno un tipo di autorizzazione. Il controllo fallisce se la route API Gateway non ha alcun tipo di autorizzazione. Facoltativamente, puoi fornire un valore di parametro personalizzato se desideri che il controllo passi solo se la route utilizza il tipo di autorizzazione specificato nel authorizationType parametro.
API Gateway supporta più meccanismi per controllare e gestire l'accesso all'API. Specificando un tipo di autorizzazione, puoi limitare l'accesso all'API solo agli utenti o ai processi autorizzati.
Correzione
Per impostare un tipo di autorizzazione per HTTP APIs, consulta Controllare e gestire l'accesso a un'API HTTP in API Gateway nella API Gateway Developer Guide. Per impostare un tipo di autorizzazione per WebSocket APIs, consulta Controllare e gestire l'accesso a un' WebSocket API in API Gateway nella API Gateway Developer Guide.
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
Requisiti correlati: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::ApiGatewayV2::Stage
AWS Config regola: api-gwv2-access-logs-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se nelle fasi di Amazon API Gateway V2 è configurata la registrazione degli accessi. Questo controllo fallisce se le impostazioni del log di accesso non sono definite.
I log di accesso all'API Gateway forniscono informazioni dettagliate su chi ha effettuato l'accesso all'API e su come il chiamante ha effettuato l'accesso all'API. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Abilita questi log di accesso per analizzare i modelli di traffico e risolvere i problemi.
Per ulteriori best practice, consulta Monitoring REST APIs nella API Gateway Developer Guide.
Correzione
Per configurare la registrazione degli accessi, consulta Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway nella Guida per sviluppatori di API Gateway.
