Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlli CSPM Security Hub per AWS WAF
Questi AWS Security Hub CSPM controlli valutano il AWS WAF servizio e le risorse. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta [Disponibilità dei controlli per regione](securityhub-regions.md#securityhub-regions-control-support).
## [WAF.1] La registrazione ACL Global Web AWS WAF classica deve essere abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la registrazione è abilitata per un ACL web AWS WAF globale. Questo controllo ha esito negativo se la registrazione non è abilitata per l'ACL Web.
La registrazione è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni a livello globale. AWS WAF È un requisito aziendale e di conformità in molte organizzazioni e consente di risolvere i problemi relativi al comportamento delle applicazioni. Fornisce inoltre informazioni dettagliate sul traffico analizzato dall'ACL Web a cui è allegato. AWS WAF
### Correzione
*Per abilitare la registrazione per un ACL AWS WAF Web, consulta la sezione [Registrazione delle informazioni sul traffico ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html) nella Developer Guide.AWS WAF *
## [WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFRegional::Rule`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una regola AWS WAF regionale ha almeno una condizione. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.
Una regola regionale WAF può contenere più condizioni. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola regionale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe indurre a supporre erroneamente che una di queste azioni si stia verificando.
### Correzione
*Per aggiungere una condizione a una regola vuota, consulta [Aggiungere e rimuovere condizioni in una regola nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) per gli sviluppatori.AWS WAF *
## [WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFRegional::RuleGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di regole AWS WAF regionali ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.
Un gruppo di regole regionali WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole regionali WAF privo di regole, ma con un nome o un tag che suggerisce l'autorizzazione, il blocco o il numero, potrebbe indurre a supporre erroneamente che una di queste azioni sia in corso.
### Correzione
*Per aggiungere regole e condizioni di regole a un gruppo di regole vuoto, consulta [Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico e Aggiungere e rimuovere condizioni in una regola](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html) [nella Guida](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html) per gli sviluppatori.AWS WAF *
## [WAF.4] Il sito Web regionale AWS WAF classico ACLs deve avere almeno una regola o un gruppo di regole
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFRegional::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un ACL AWS WAF Classic regionale Web contiene regole WAF o gruppi di regole WAF. Questo controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.
Un ACL web WAF regionale può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL web è vuoto, il traffico web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.
### Correzione
*Per aggiungere regole o gruppi di regole a un ACL web regionale AWS WAF classico vuoto, consulta [Modifica di un ACL Web nella Guida per gli sviluppatori](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html).AWS WAF *
## [WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::Rule`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una regola AWS WAF globale contiene condizioni. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.
Una regola globale WAF può contenere più condizioni. Le condizioni di una regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola globale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.
### Correzione
*Per istruzioni sulla creazione di una regola e sull'aggiunta di condizioni, consulta [Creazione di una regola e aggiunta di condizioni](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html) nella Guida per gli sviluppatori.AWS WAF *
## [WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::RuleGroup`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un gruppo di regole AWS WAF globale ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.
Un gruppo di regole globale WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole globale WAF senza regole, ma con un nome o un tag che suggerisce di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.
### Correzione
*Per istruzioni sull'aggiunta di una regola a un gruppo di regole, consulta [Creating an AWS WAF Classic rule group](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html) nella Developer Guide.AWS WAF *
## [WAF.8] Il Web globale AWS WAF classico ACLs dovrebbe avere almeno una regola o un gruppo di regole
**Requisiti correlati:** NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), (21) NIST.800-53.r5 SC-7
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAF::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un ACL web AWS WAF globale contiene almeno una regola WAF o un gruppo di regole WAF. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.
Un ACL web globale WAF può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.
### Correzione
*Per aggiungere regole o gruppi di regole a un ACL web AWS WAF globale vuoto, consulta [Modifica di un ACL web nella Guida per gli sviluppatori](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html).AWS WAF * Per **Filtro**, scegliete **Globale () CloudFront**.
## [WAF.10] AWS WAF web ACLs dovrebbe avere almeno una regola o un gruppo di regole
**Requisiti correlati:** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Categoria:** Protezione > Configurazione di rete protetta
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFv2::WebACL`
**Regola AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL) contiene almeno una regola o un gruppo di regole. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole.
Un ACL Web offre un controllo dettagliato su tutte le richieste Web HTTP (S) a cui risponde la risorsa protetta. Un ACL Web deve contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste Web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato, AWS WAF a seconda dell'azione predefinita.
### Correzione
*Per aggiungere regole o gruppi di regole a un ACL WAFV2 web vuoto, consulta [Modifica di un ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html) nella Guida per gli AWS WAF sviluppatori.*
## [WAF.11] La registrazione AWS WAF web ACL deve essere abilitata
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 NIST.800-53.r5 SC-7 SI-7 (8), PCI DSS v4.0.1/10.4.2
**Categoria:** Identificazione > Registrazione
**Gravità: ** bassa
**Tipo di risorsa:** `AWS::WAFv2::WebACL`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``
**Tipo di pianificazione:** periodica
**Parametri:** nessuno
Questo controllo verifica se la registrazione è attivata per un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL). Questo controllo ha esito negativo se la registrazione è disattivata per l'ACL Web.
**Nota**
Questo controllo non verifica se la registrazione AWS WAF Web ACL è abilitata per un account tramite Amazon Security Lake.
La registrazione mantiene l'affidabilità, la disponibilità e le prestazioni di. AWS WAF Inoltre, la registrazione è un requisito aziendale e di conformità in molte organizzazioni. Registrando il traffico analizzato dall'ACL Web, è possibile risolvere i problemi relativi al comportamento delle applicazioni.
### Correzione
*Per attivare la registrazione per un ACL AWS WAF Web, consulta [Managing logging for](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) a Web ACL nella Developer Guide.AWS WAF *
## Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
**Requisiti correlati:** NIST.800-53.r5 AC-4 (26), (10), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7
**Categoria:** Identificazione > Registrazione
**Gravità:** media
**Tipo di risorsa:** `AWS::WAFv2::RuleGroup`
**AWS Config regola: [https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``
**Tipo di pianificazione:** modifica attivata
**Parametri:** nessuno
Questo controllo verifica se una AWS WAF regola o un gruppo di regole ha le CloudWatch metriche Amazon abilitate. Il controllo fallisce se la regola o il gruppo di regole non ha le CloudWatch metriche abilitate.
La configurazione delle CloudWatch metriche su AWS WAF regole e gruppi di regole offre visibilità sul flusso di traffico. Puoi vedere quali regole ACL vengono attivate e quali richieste vengono accettate e bloccate. Questa visibilità può aiutarti a identificare attività dannose sulle risorse associate.
### Correzione
Per abilitare le CloudWatch metriche su un gruppo di AWS WAF regole, richiama l'[ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API. [Per abilitare le CloudWatch metriche su una AWS WAF regola, richiama l'API ACL. UpdateWeb](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) Imposta il campo su. `CloudWatchMetricsEnabled` `true` Quando utilizzi la AWS WAF console per creare regole o gruppi di regole, le CloudWatch metriche vengono abilitate automaticamente.