기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

API게이트웨이를 위한 Security Hub 컨트롤

이러한 Security Hub 컨트롤은 Amazon API Gateway 서비스 및 리소스를 평가합니다.

이러한 제어 기능을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.

[APIGateway.1] API 게이트웨이 REST 및 WebSocket API 실행 로깅을 활성화해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS Config 규칙: api-gw-execution-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon API Gateway의 모든 단계 REST 또는 WebSocket API 로깅이 활성화되었는지 여부를 확인합니다. loggingLevel그렇지 않으면 제어가 ERROR 실패하거나 INFO 모든 단계에서 제어가 API 실패합니다. 특정 로그 유형을 활성화해야 함을 나타내는 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 로깅 수준이 ERROR 또는 INFO인 경우 경과 통과를 생성합니다.

API게이트웨이 REST 또는 WebSocket API 스테이지에는 관련 로그가 활성화되어 있어야 합니다. API게이트웨이 REST 및 WebSocket API 실행 로깅은 API 게이트웨이 REST 및 WebSocket API 스테이지에 대한 요청의 세부 기록을 제공합니다. 단계에는 API 통합 백엔드 응답, Lambda 권한 부여자 응답 등이 포함됩니다. requestId AWS 통합 엔드포인트.

이제 Security Hub가 와 통합되었습니다

REST및 WebSocket API 작업에 대한 로깅을 활성화하려면 Gateway 개발자 안내서의 API Gateway 콘솔을 사용하여 CloudWatch API 로깅 설정을 참조하십시오. API

[APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2

카테고리: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-ssl-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon API Gateway REST API 스테이지에 SSL 인증서가 구성되어 있는지 확인합니다. 백엔드 시스템은 이러한 인증서를 사용하여 Gateway에서 API 들어오는 요청이 들어왔음을 인증합니다.

API게이트웨이에서 시작된 요청을 백엔드 시스템이 SSL 인증할 수 있도록 게이트웨이 REST API 단계를 인증서로 구성해야 합니다. API

이제 Security Hub가 와 통합되었습니다

API게이트웨이 REST API SSL 인증서를 생성하고 구성하는 방법에 대한 자세한 지침은 게이트웨이 개발자 안내서의 API백엔드 인증을 위한 SSL 인증서 생성 및 구성을 참조하십시오.

[APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

관련 요구 사항: NIST.800-53.r5 CA-7

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-xray-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 다음을 확인합니다. AWS X-Ray Amazon API Gateway REST API 단계에서 액티브 트레이싱이 활성화됩니다.

X-Ray 활성 추적을 통해 기본 인프라의 성능 변화에 보다 신속하게 대응할 수 있습니다. 성능 변화로 인해 가용성이 떨어질 수 있습니다. API X-Ray Active Tracing은 API 게이트웨이 REST API 운영 및 커넥티드 서비스를 통해 전달되는 사용자 요청에 대한 실시간 지표를 제공합니다.

이제 Security Hub가 와 통합되었습니다

API게이트웨이 REST API 작업에 대한 X-Ray 활성 추적을 활성화하는 방법에 대한 자세한 지침은 Amazon API Gateway 활성 추적 지원을 참조하십시오. AWS X-Ray의 AWS X-Ray 개발자 안내서.

[APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

관련 요구 사항: NIST.800-53.r5 AC-4 (21)

범주: 보호 > 보호 서비스

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-associated-with-waf

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 API 게이트웨이 스테이지가 다음을 사용하는지 여부를 확인합니다. AWS WAF 웹 액세스 제어 목록 (ACL). 다음과 같은 경우 이 제어가 실패합니다. AWS WAF ACL웹이 REST API 게이트웨이 스테이지에 연결되어 있지 않습니다.

AWS WAF 웹 애플리케이션을 보호하고 APIs 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 이를 통해 사용자가 정의한 ACL 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 일련의 규칙인 를 구성할 수 있습니다. API게이트웨이 단계가 다음과 연결되어 있는지 확인하십시오. AWS WAF 웹은 악의적인 공격으로부터 보호하는 ACL 데 도움이 됩니다.

이제 Security Hub가 와 통합되었습니다

API게이트웨이 콘솔을 사용하여 연결하는 방법에 대한 자세한 내용은 AWS WAF 기존 API 게이트웨이 API 단계를 ACL 사용한 지역 웹은 사용을 참조하십시오. AWS WAFAPIGateway 개발자 안내서에서 사용자를 보호하십시오 APIs.

[APIGateway.5] API 게이트웨이 REST API 캐시 데이터는 유휴 상태에서 암호화해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-cache-encrypted (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 API 게이트웨이 REST API 단계에서 캐시가 활성화된 모든 메서드가 암호화되었는지 여부를 확인합니다. API게이트웨이 REST API 단계의 메서드가 캐시하도록 구성되어 있고 캐시가 암호화되지 않은 경우 제어가 실패합니다. Security Hub는 특정 방법에 대해 캐싱이 활성화된 경우에만 해당 방법의 암호화를 평가합니다.

저장된 데이터를 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. AWS. 또 다른 액세스 제어 세트를 추가하여 승인되지 않은 사용자의 데이터 액세스를 제한합니다. 예를 들어 데이터를 읽을 수 있으려면 먼저 데이터를 해독할 수 있는 API 권한이 필요합니다.

API보안을 강화하려면 게이트웨이 REST API 캐시를 유휴 상태에서 암호화해야 합니다.

이제 Security Hub가 와 통합되었습니다

단계에 대한 API 캐싱을 구성하려면 Gateway 개발자 안내서의 Amazon API Gateway 캐싱 활성화를 참조하십시오. API 캐시 설정에서 캐시 데이터 암호화를 선택합니다.

[APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-3, NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::ApiGatewayV2::Route

AWS Config 규칙: api-gwv2-authorization-type-configured

스케줄 유형: 주기적

파라미터:

이 컨트롤은 Amazon API Gateway 라우트에 권한 부여 유형이 있는지 확인합니다. API게이트웨이 경로에 권한 부여 유형이 없는 경우 제어가 실패합니다. 필요에 따라, 경로가 파라미터에 지정된 인증 유형을 사용하는 경우에만 제어가 전달되도록 하려면 사용자 지정 authorizationType 파라미터 값을 제공할 수 있습니다.

API게이트웨이는 사용자 액세스를 제어하고 관리하기 위한 여러 메커니즘을 지원합니다API. 권한 부여 유형을 지정하면 승인된 사용자 또는 프로세스로만 API 액세스를 제한할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

권한 부여 유형을 설정하려면 게이트웨이 개발자 안내서의 내부 API게이트웨이에 대한 액세스 제어 및 관리를 참조하십시오. HTTP APIs HTTP API API 권한 부여 유형을 설정하려면 APIAPI게이트웨이 개발자 안내서의 WebSocket API Gateway에 대한 액세스 제어 및 관리를 참조하십시오. WebSocket APIs

[APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::ApiGatewayV2::Stage

AWS Config 규칙: api-gwv2-access-logs-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon API Gateway V2 스테이지에 액세스 로깅이 구성되어 있는지 확인합니다. 액세스 로그 설정이 정의되지 않은 경우 이 제어가 실패합니다.

API게이트웨이 액세스 로그는 누가 게이트웨이에 API 액세스했고 호출자가 어떻게 액세스했는지에 대한 자세한 정보를 제공합니다. API 이러한 로그는 보안 및 액세스 감사, 포렌식 조사와 같은 목적에 유용합니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

추가 모범 사례는 APIGateway 개발자 안내서의 REST APIs 모니터링을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

액세스 로깅을 설정하려면 Gateway 개발자 안내서의 API Gateway 콘솔을 사용하여 CloudWatch API 로깅 설정을 참조하십시오. API