As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para API Gateway

Esses controles do Security Hub avaliam o serviço e os recursos do Amazon API Gateway.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::ApiGateway::Stage,AWS::ApiGatewayV2::Stage

Regra do AWS Config : api-gw-execution-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros:

Esse controle verifica se todos os estágios de um Amazon API Gateway REST ou WebSocket API se o registro está ativado. O controle falha se loggingLevel não INFO for ERROR ou em todos os estágios doAPI. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub produzirá uma descoberta aprovada se o nível de registro em log for ERROR ou INFO.

APIO gateway REST ou os WebSocket API estágios devem ter os registros relevantes habilitados. API O gateway REST e o registro de WebSocket API execução fornecem registros detalhados das solicitações feitas ao API Gateway REST e aos WebSocket API estágios. Os estágios incluem respostas de back-end de API integração, respostas do autorizador Lambda e requestId endpoints de integração. AWS

Correção

Para habilitar o registro REST e WebSocket API as operações, consulte Configurar o CloudWatch API registro usando o console do API Gateway no Guia do desenvolvedor do API Gateway.

[APIGateway.2] Os REST API estágios do API gateway devem ser configurados para usar SSL certificados para autenticação de back-end

Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit

Severidade: média

Tipo de recurso: AWS::ApiGateway::Stage

Regra do AWS Config : api-gw-ssl-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os REST API estágios do Amazon API Gateway têm SSL certificados configurados. Os sistemas de back-end usam esses certificados para autenticar que as solicitações recebidas são do Gateway. API

APIOs REST API estágios do gateway devem ser configurados com SSL certificados para permitir que os sistemas de back-end autentiquem que as solicitações são originárias do Gateway. API

Correção

Para obter instruções detalhadas sobre como gerar e configurar REST API SSL certificados do API Gateway, consulte Gerar e configurar um SSL certificado para autenticação de back-end no Guia do desenvolvedor do API Gateway.

[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado

Requisitos relacionados: NIST.800-53.r5 CA-7

Categoria: Detectar > Serviços de detecção

Severidade: baixa

Tipo de recurso: AWS::ApiGateway::Stage

Regra do AWS Config : api-gw-xray-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se o rastreamento AWS X-Ray ativo está habilitado para seus REST API estágios do Amazon API Gateway.

O rastreamento ativo X-Ray permite uma resposta mais rápida às alterações de desempenho na infraestrutura subjacente. Mudanças no desempenho podem resultar na falta de disponibilidade doAPI. O rastreamento ativo do X-Ray fornece métricas em tempo real das solicitações do usuário que fluem pelas REST API operações do API Gateway e pelos serviços conectados.

Correção

Para obter instruções detalhadas sobre como habilitar o rastreamento ativo do X-Ray para REST API operações do API Gateway, consulte o suporte ao rastreamento ativo do Amazon API Gateway AWS X-Ray no Guia do AWS X-Ray desenvolvedor.

[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL

Requisitos relacionados: NIST.800-53.r5 AC-4 (21)

Categoria: Proteger > Serviços de proteção

Severidade: média

Tipo de recurso: AWS::ApiGateway::Stage

Regra do AWS Config : api-gw-associated-with-waf

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à AWS WAF web (ACL). Esse controle falha se uma AWS WAF web não ACL estiver conectada a um estágio do REST API Gateway.

AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Ele permite que você configure umACL, que é um conjunto de regras que permite, bloqueia ou conta solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio do API Gateway esteja associado a uma AWS WAF web ACL para ajudar a protegê-lo contra ataques maliciosos.

Correção

Para obter informações sobre como usar o console do API Gateway para associar uma web AWS WAF ACL regional a um API estágio existente do API Gateway, consulte Usando AWS WAF para proteger seu APIs no Guia do desenvolvedor do API Gateway.

[APIGateway.5] Os dados REST API do cache do API gateway devem ser criptografados em repouso

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6)

Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso

Severidade: média

Tipo de recurso: AWS::ApiGateway::Stage

Regra AWS Config : api-gw-cache-encrypted (regra personalizada do Security Hub)

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se todos os métodos nos REST API estágios do API Gateway que têm o cache ativado estão criptografados. O controle falhará se algum método em um REST API estágio do API Gateway estiver configurado para armazenar em cache e o cache não estiver criptografado. O Security Hub avalia a criptografia de um método específico somente quando o armazenamento em cache estiver habilitado para esse método.

Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS Ele adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, são necessárias API permissões para descriptografar os dados antes que eles possam ser lidos.

APIRESTAPIOs caches do gateway devem ser criptografados em repouso para uma camada adicional de segurança.

Correção

Para configurar o armazenamento em API cache para um estágio, consulte Habilitar o armazenamento em cache do Amazon API Gateway no Guia do desenvolvedor do API Gateway. Em Configurações de cache, escolha Criptografar dados de cache.

[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização

Requisitos relacionados: NIST.800-53.r5 AC-3, NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

Categoria: Proteger > Gerenciamento de acesso seguro

Severidade: média

Tipo de recurso: AWS::ApiGatewayV2::Route

AWS Config regra: api-gwv2-authorization-type-configured

Tipo de programação: Periódico

Parâmetros:

Esse controle verifica se as rotas do Amazon API Gateway têm um tipo de autorização. O controle falhará se a rota do API Gateway não tiver nenhum tipo de autorização. Opcionalmente, é possível fornecer um valor de parâmetro personalizado se quiser que o controle passe somente se a rota usar o tipo de autorização especificado no parâmetro authorizationType.

APIO Gateway suporta vários mecanismos para controlar e gerenciar o acesso ao seuAPI. Ao especificar um tipo de autorização, você pode restringir o acesso somente API a usuários ou processos autorizados.

Correção

Para definir um tipo de autorização para HTTPAPIs, consulte Controle e gerenciamento do acesso a um API gateway HTTP API no Guia do desenvolvedor do API Gateway. Para definir um tipo de autorização para WebSocket APIs, consulte Controlar e gerenciar o acesso a um WebSocket API no API Gateway no Guia do desenvolvedor do API Gateway.

[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2

Requisitos relacionados: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 PCI DSS

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::ApiGatewayV2::Stage

AWS Config regra: api-gwv2-access-logs-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se os estágios do Amazon API Gateway V2 têm o registro de acesso configurado. Esse controle falhará se as configurações do log de acesso não estiverem definidas.

APIOs registros de acesso ao gateway fornecem informações detalhadas sobre quem acessou o seu API e como o chamador acessou o. API Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Habilite esses logs de acesso para analisar padrões de tráfego e solucionar problemas.

Para obter mais práticas recomendadas, consulte Monitoramento REST APIs no Guia do desenvolvedor do API Gateway.

Correção

Para configurar o registro de acesso, consulte Configurar o CloudWatch API registro usando o console do API Gateway no Guia do desenvolvedor do API Gateway.