Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli Security Hub per API Gateway

Questi controlli del Security Hub valutano il servizio e le risorse Amazon API Gateway.

Questi controlli potrebbero non essere disponibili tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.

[APIGateway.1] Il API gateway REST e la registrazione WebSocket API dell'esecuzione devono essere abilitati

Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Categoria: Identificazione > Registrazione

Gravità: media

AWS::ApiGateway::StageTipo di risorsa:, AWS::ApiGatewayV2::Stage

Regola AWS Config : api-gw-execution-logging-enabled

Tipo di pianificazione: modifica attivata

Parametri:

Questo controllo verifica se tutte le fasi di Amazon API Gateway REST o WebSocket API se la registrazione è abilitata. Il controllo fallisce se loggingLevel non lo è ERROR o INFO per tutte le fasi di. API A meno che non si forniscano valori di parametri personalizzati per indicare che un tipo di registro specifico deve essere abilitato, Security Hub produce un risultato positivo se il livello di registrazione è uno ERROR o INFO l'altro.

APIIl gateway REST o gli WebSocket API stage devono avere i log pertinenti abilitati. API La registrazione WebSocket API del gateway REST e dell'esecuzione fornisce registrazioni dettagliate delle richieste effettuate a API Gateway REST e delle WebSocket API fasi. Le fasi includono le risposte del backend di API integrazione, le risposte di autorizzazione Lambda e gli endpoint per requestId l' AWS integrazione.

Correzione

Per abilitare la registrazione REST e WebSocket API le operazioni, consulta Configurare la CloudWatch API registrazione utilizzando la console API Gateway nella Gateway Developer Guide. API

[APIGateway.2] REST API Le fasi del API gateway devono essere configurate per utilizzare i SSL certificati per l'autenticazione del backend

Requisiti correlati: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit

Gravità: media

Tipo di risorsa: AWS::ApiGateway::Stage

Regola AWS Config : api-gw-ssl-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se le REST API fasi di Amazon API Gateway hanno SSL certificati configurati. I sistemi di backend utilizzano questi certificati per verificare che le richieste in entrata provengano da Gateway. API

APIRESTAPILe fasi del gateway devono essere configurate con SSL certificati per consentire ai sistemi di backend di autenticare che le richieste provengono da Gateway. API

Correzione

Per istruzioni dettagliate su come generare e configurare i REST API SSL certificati API Gateway, consulta Generare e configurare un SSL certificato per l'autenticazione di backend nella APIGateway Developer Guide.

[APIGateway.3] Le REST API fasi del API gateway devono avere AWS X-Ray la traccia abilitata

Requisiti correlati: NIST.800-53.r5 CA-7

Categoria: Rilevamento > Servizi di rilevamento

Gravità: bassa

Tipo di risorsa: AWS::ApiGateway::Stage

Regola AWS Config : api-gw-xray-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se il tracciamento AWS X-Ray attivo è abilitato per le REST API fasi di Amazon API Gateway.

Il tracciamento attivo a raggi X consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Le variazioni delle prestazioni potrebbero comportare una mancanza di disponibilità di. API Il tracciamento attivo a raggi X fornisce metriche in tempo reale delle richieste degli utenti che fluiscono attraverso le REST API operazioni del API gateway e i servizi connessi.

Correzione

Per istruzioni dettagliate su come abilitare il tracciamento attivo a raggi X per le REST API operazioni del API gateway, consulta il supporto per il tracciamento attivo di Amazon API Gateway AWS X-Ray nella Developer Guide.AWS X-Ray

[APIGateway.4] Il API gateway deve essere associato a un sito Web WAF ACL

Requisiti correlati: NIST.800-53.r5 AC-4 (21)

Categoria: Proteggi > Servizi di protezione

Gravità: media

Tipo di risorsa: AWS::ApiGateway::Stage

Regola AWS Config : api-gw-associated-with-waf

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se una fase API Gateway utilizza una lista di controllo degli accessi AWS WAF Web (ACL). Questo controllo ha esito negativo se un AWS WAF Web non ACL è collegato a uno stadio REST API Gateway.

AWS WAF è un firewall per applicazioni Web che aiuta a proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare unACL, ossia un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili definite dall'utente. Assicurati che la fase API Gateway sia associata ACL a un AWS WAF Web per proteggerla da attacchi dannosi.

Correzione

Per informazioni su come utilizzare la console API Gateway per associare un Web AWS WAF ACL regionale a una API fase API Gateway esistente, consulta Using AWS WAF to protect your APIs nella APIGateway Developer Guide.

[APIGateway.5] I dati REST API della cache del API gateway devono essere crittografati quando sono inattivi

Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoria: Protezione > Protezione dei dati > Crittografia dei dati inattivi

Gravità: media

Tipo di risorsa: AWS::ApiGateway::Stage

AWS Config regola: api-gw-cache-encrypted (regola Security Hub personalizzata)

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se tutti i metodi nelle REST API fasi del API Gateway che hanno la cache abilitata sono crittografati. Il controllo ha esito negativo se un metodo in una REST API fase API Gateway è configurato per la memorizzazione nella cache e la cache non è crittografata. Security Hub valuta la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo.

La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie API le autorizzazioni per decrittografare i dati prima che possano essere letti.

APIRESTAPILe cache del gateway devono essere crittografate quando sono inattive per un ulteriore livello di sicurezza.

Correzione

Per configurare la API memorizzazione nella cache per una fase, consulta Enable Amazon API Gateway caching nella APIGateway Developer Guide. In Impostazioni cache, scegli Crittografa i dati della cache.

[APIGateway.8] Le route API gateway devono specificare un tipo di autorizzazione

Requisiti correlati: NIST.800-53.r5 AC-3, NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Protezione > Gestione sicura degli accessi

Gravità: media

Tipo di risorsa: AWS::ApiGatewayV2::Route

AWS Config regola: api-gwv2-authorization-type-configured

Tipo di pianificazione: periodica

Parametri:

Questo controllo verifica se le route Amazon API Gateway hanno un tipo di autorizzazione. Il controllo fallisce se la route API Gateway non ha alcun tipo di autorizzazione. Facoltativamente, è possibile fornire un valore di parametro personalizzato se si desidera che il controllo passi solo se la route utilizza il tipo di autorizzazione specificato nel authorizationType parametro.

APIGateway supporta diversi meccanismi per il controllo e la gestione dell'accesso a. API Specificando un tipo di autorizzazione, è possibile limitare l'accesso API ai soli utenti o processi autorizzati.

Correzione

Per impostare un tipo di autorizzazione per HTTPAPIs, consulta Controllare e gestire l'accesso a un API gateway HTTP API nella Gateway Developer Guide. API Per impostare un tipo di autorizzazione per WebSocket APIs, consulta Controllare e gestire l'accesso a un API gateway WebSocket API nella Gateway Developer Guide. API

[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages

Requisiti correlati: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), v4.0.1/10.4.2 PCI DSS

Categoria: Identificazione > Registrazione

Gravità: media

Tipo di risorsa: AWS::ApiGatewayV2::Stage

AWS Config regola: api-gwv2-access-logs-enabled

Tipo di pianificazione: modifica attivata

Parametri: nessuno

Questo controllo verifica se nelle fasi di Amazon API Gateway V2 è configurata la registrazione degli accessi. Questo controllo fallisce se le impostazioni del log di accesso non sono definite.

APII registri di accesso al gateway forniscono informazioni dettagliate su chi ha effettuato l'accesso al tuo API e su come il chiamante ha effettuato l'accesso al. API Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Abilita questi registri di accesso per analizzare i modelli di traffico e risolvere i problemi.

Per ulteriori best practice, consulta Monitoring REST APIs nella APIGateway Developer Guide.

Correzione

Per configurare la registrazione degli accessi, consulta Configurare la CloudWatch API registrazione utilizzando la console API Gateway nella Gateway Developer API Guide.