As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para AWS WAF

Esses AWS Security Hub controles avaliam o AWS WAF serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

Requisitos relacionados: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8), v4.0.1/10.4.2 PCI DSS

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::WAF::WebACL

Regra do AWS Config : waf-classic-logging-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o registro está habilitado para uma web AWS WAF globalACL. Esse controle falhará se o registro não estiver habilitado para a webACL.

O registro é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho AWS WAF global. É um requisito comercial e de conformidade em muitas organizações e permite solucionar problemas de comportamento de aplicativos. Ele também fornece informações detalhadas sobre o tráfego que é analisado pela web ACL conectada AWS WAF.

Correção

Para ativar o registro em uma AWS WAF webACL, consulte Registro de informações de ACL tráfego na web no Guia do AWS WAF desenvolvedor.

[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::WAFRegional::Rule

Regra do AWS Config : waf-regional-rule-not-empty

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma regra AWS WAF regional tem pelo menos uma condição. O controle falhará se nenhuma condição estiver presente em uma regra.

Uma regra WAF regional pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra WAF regional sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

Correção

Para adicionar uma condição a uma regra vazia, consulte Adicionar e remover condições em uma regra no Guia do desenvolvedor do AWS WAF .

[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::WAFRegional::RuleGroup

Regra do AWS Config : waf-regional-rulegroup-not-empty

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um grupo de regras AWS WAF regionais tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.

Um grupo de regras WAF regionais pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras WAF regionais sem regras, mas com um nome ou tag sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

Correção

Para adicionar regras e condições de regras a um grupo de regras vazio, consulte Adicionar e excluir regras de um grupo de regras AWS WAF clássico e Adicionar e remover condições em uma regra no Guia do AWS WAF desenvolvedor.

[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::WAFRegional::WebACL

Regra do AWS Config : waf-regional-webacl-not-empty

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma AWS WAF Classic regional web ACL contém WAF regras ou grupos de WAF regras. Esse controle falhará se uma web ACL não contiver WAF regras ou grupos de regras.

Uma web WAF regional ACL pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma web ACL estiver vazia, o tráfego da web pode passar sem ser detectado ou manipulado, WAF dependendo da ação padrão.

Correção

Para adicionar regras ou grupos de regras a uma web regional AWS WAF clássica vaziaACL, consulte Editando uma Web ACL no Guia do AWS WAF Desenvolvedor.

[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::WAF::Rule

Regra do AWS Config : waf-global-rule-not-empty

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma regra AWS WAF global contém alguma condição. O controle falhará se nenhuma condição estiver presente em uma regra.

Uma regra WAF global pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra WAF global sem condições, mas com um nome ou tag sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

Correção

Para obter instruções sobre como criar uma regra e adicionar condições, consulte Criar uma regra e adicionar condições no Guia do desenvolvedor do AWS WAF .

[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::WAF::RuleGroup

Regra do AWS Config : waf-global-rulegroup-not-empty

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se um grupo de regras AWS WAF global tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.

Um grupo de regras WAF global pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras WAF global sem regras, mas com um nome ou tag sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.

Correção

Para obter instruções sobre como adicionar uma regra a um grupo de regras, consulte Criação de um grupo de regras AWS WAF clássico no Guia do AWS WAF desenvolvedor.

[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::WAF::WebACL

Regra do AWS Config : waf-global-webacl-not-empty

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma web AWS WAF global ACL contém pelo menos uma WAF WAF regra ou grupo de regras. O controle falhará se uma web ACL não contiver WAF regras ou grupos de regras.

Uma web WAF global ACL pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma web ACL estiver vazia, o tráfego da web pode passar sem ser detectado ou manipulado, WAF dependendo da ação padrão.

Correção

Para adicionar regras ou grupos de regras a uma Web AWS WAF global vaziaACL, consulte Edição de uma Web ACL no Guia do AWS WAF Desenvolvedor. Em Filtro, escolha Global (CloudFront).

[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Categoria: Proteger > Configuração de rede segura

Severidade: média

Tipo de recurso: AWS::WAFv2::WebACL

Regra do AWS Config : wafv2-webacl-not-empty

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma lista de controle de acesso à web AWS WAF V2 (webACL) contém pelo menos uma regra ou grupo de regras. O controle falhará se uma web ACL não contiver regras ou grupos de regras.

Uma web ACL oferece um controle refinado sobre todas as HTTP (S) solicitações da web às quais seu recurso protegido responde. Uma web ACL deve conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma web ACL estiver vazia, o tráfego da web pode passar sem ser detectado ou manipulado, AWS WAF dependendo da ação padrão.

Correção

Para adicionar regras ou grupos de regras a uma WAFV2 Web vaziaACL, consulte Editando uma Web ACL no Guia do AWS WAF Desenvolvedor.

[WAF.11] o ACL registro AWS WAF na web deve estar ativado

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), v4.0.1/10.4.2 PCI DSS

Categoria: Identificar > Registro em log

Severidade: baixa

Tipo de recurso: AWS::WAFv2::WebACL

AWS Config regra: wafv2-logging-enabled

Tipo de programação: Periódico

Parâmetros: nenhum

Esse controle verifica se o registro está ativado para uma lista de controle de acesso à web AWS WAF V2 (webACL). Esse controle falhará se o registro for desativado para a webACL.

O registro mantém a confiabilidade, a disponibilidade e o desempenho do AWS WAF. Além disso, o registro em log é um requisito comercial e de conformidade em muitas organizações. Ao registrar o tráfego que é analisado pela sua webACL, você pode solucionar problemas de comportamento do aplicativo.

Correção

Para ativar o registro em uma AWS WAF WebACL, consulte Gerenciamento de registros em uma Web ACL no Guia do AWS WAF Desenvolvedor.

[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas

Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)

Categoria: Identificar > Registro em log

Severidade: média

Tipo de recurso: AWS::WAFv2::RuleGroup

AWS Config regra: wafv2-rulegroup-logging-enabled

Tipo de programação: acionado por alterações

Parâmetros: nenhum

Esse controle verifica se uma AWS WAF regra ou grupo de regras tem CloudWatch métricas da Amazon ativadas. O controle falhará se a regra ou o grupo de regras não tiver CloudWatch métricas ativadas.

A configuração de CloudWatch métricas em AWS WAF regras e grupos de regras fornece visibilidade do fluxo de tráfego. Você pode ver quais ACL regras são acionadas e quais solicitações são aceitas e bloqueadas. Essa visibilidade pode ajudar você a identificar atividades maliciosas nos recursos associados.

Correção

Para ativar CloudWatch métricas em um grupo de AWS WAF regras, invoque o. UpdateRuleGroupAPI Para ativar CloudWatch métricas em uma AWS WAF regra, invoque o. UpdateWebACLAPI Defina o campo CloudWatchMetricsEnabled como true. Quando você usa o AWS WAF console para criar regras ou grupos de regras, as CloudWatch métricas são ativadas automaticamente.