As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para AWS WAF
Esses AWS Security Hub controles avaliam o AWS WAF serviço e os recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::WAF::WebACL
Regra do AWS Config : waf-classic-logging-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o registro está habilitado para uma Web ACL AWS WAF global. Esse controle falhará se o registro em log não estiver habilitado para a ACL da web.
O registro em log é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho AWS WAF global. É um requisito comercial e de conformidade em muitas organizações e permite solucionar problemas de comportamento de aplicativos. Ele também fornece informações detalhadas sobre o tráfego que é analisado pela ACL da web que está associada ao AWS WAF.
Correção
Para ativar o registro de uma ACL AWS WAF da web, consulte Registro de informações de tráfego da ACL da web no Guia do AWS WAF desenvolvedor.
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFRegional::Rule
Regra do AWS Config : waf-regional-rule-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma regra AWS WAF regional tem pelo menos uma condição. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra regional do WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra regional do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para adicionar uma condição a uma regra vazia, consulte Adicionar e remover condições em uma regra no Guia do desenvolvedor do AWS WAF .
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFRegional::RuleGroup
Regra do AWS Config : waf-regional-rulegroup-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um grupo de regras AWS WAF regionais tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF regional pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras regionais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para adicionar regras e condições de regras a um grupo de regras vazio, consulte Adicionar e excluir regras de um grupo de regras AWS WAF clássico e Adicionar e remover condições em uma regra no Guia do AWS WAF desenvolvedor.
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFRegional::WebACL
Regra do AWS Config : waf-regional-webacl-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma AWS WAF Classic regional Web ACL contém alguma regra WAF ou grupos de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.
Uma ACL da web do WAF Regional pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.
Correção
Para adicionar regras ou grupos de regras a uma ACL da web regional AWS WAF clássica vazia, consulte Editando uma ACL da Web no Guia do AWS WAF desenvolvedor.
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAF::Rule
Regra do AWS Config : waf-global-rule-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma regra AWS WAF global contém alguma condição. O controle falhará se nenhuma condição estiver presente em uma regra.
Uma regra global WAF pode conter várias condições. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer condições, o tráfego passa sem inspeção. Uma regra global do WAF sem condições, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para obter instruções sobre como criar uma regra e adicionar condições, consulte Criar uma regra e adicionar condições no Guia do desenvolvedor do AWS WAF .
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAF::RuleGroup
Regra do AWS Config : waf-global-rulegroup-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um grupo de regras AWS WAF global tem pelo menos uma regra. O controle falhará se não houver regras no grupo de regras.
Um grupo de regras WAF Global pode conter várias regras. As condições da regra permitem a inspeção do tráfego e a execução de uma ação definida (permitir, bloquear ou contar). Sem quaisquer regras, o tráfego passa sem inspeção. Um grupo de regras globais do WAF sem regras, mas com um nome ou etiqueta sugerindo permitir, bloquear ou contar, pode levar à suposição errada de que uma dessas ações está ocorrendo.
Correção
Para obter instruções sobre como adicionar uma regra a um grupo de regras, consulte Criação de um grupo de regras AWS WAF clássico no Guia do AWS WAF desenvolvedor.
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Requisitos relacionados: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAF::WebACL
Regra do AWS Config : waf-global-webacl-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma Web ACL AWS WAF global contém pelo menos uma regra WAF ou um grupo de regras WAF. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras do WAF.
Uma ACL da web global do WAF pode conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou acionado pelo WAF, dependendo da ação padrão.
Correção
Para adicionar regras ou grupos de regras a uma ACL da web AWS WAF global vazia, consulte Edição de uma ACL da web no Guia do AWS WAF desenvolvedor. Em Filtro, escolha Global (CloudFront).
[WAF.10] AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Proteger > Configuração de rede segura
Severidade: média
Tipo de recurso: AWS::WAFv2::WebACL
Regra do AWS Config : wafv2-webacl-not-empty
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma lista de controle de acesso à web AWS WAF V2 (Web ACL) contém pelo menos uma regra ou grupo de regras. Esse controle falhará se uma ACL da web não contiver nenhuma regra ou grupo de regras.
A web ACL é um recurso que oferece controle detalhado sobre todas as solicitações web HTTP (S) às quais o recurso protegido responde. Uma web ACL deve conter uma coleção de regras e grupos de regras que inspecionam e controlam solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web poderá passar sem ser detectado ou manipulado, AWS WAF dependendo da ação padrão.
Correção
Para adicionar regras ou grupos de regras a uma WAFV2 Web ACL vazia, consulte Editando uma Web ACL no Guia do AWS WAF Desenvolvedor.
[WAF.11] O registro de ACL AWS WAF da web deve estar ativado
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Severidade: baixa
Tipo de recurso: AWS::WAFv2::WebACL
AWS Config regra: wafv2-logging-enabled
Tipo de programação: Periódico
Parâmetros: nenhum
Esse controle verifica se o registro está ativado para uma lista de controle de acesso à web AWS WAF V2 (Web ACL). Esse controle falhará se o registro em log não estiver habilitado para a web ACL.
nota
Esse controle não verifica se o registro de ACL AWS WAF na web está habilitado para uma conta por meio do Amazon Security Lake.
O registro mantém a confiabilidade, a disponibilidade e o desempenho do AWS WAF. Além disso, o registro em log é um requisito comercial e de conformidade em muitas organizações. Ao registrar em log o tráfego que é analisado pela sua ACL da web, você pode solucionar problemas de comportamento do aplicativo.
Correção
Para ativar o registro de uma ACL AWS WAF da web, consulte Gerenciando o registro de uma ACL da web no Guia do AWS WAF desenvolvedor.
As AWS WAF regras [WAF.12] devem ter métricas habilitadas CloudWatch
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-7 (8)
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::WAFv2::RuleGroup
AWS Config regra: wafv2-rulegroup-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se uma AWS WAF regra ou grupo de regras tem CloudWatch métricas da Amazon ativadas. O controle falhará se a regra ou o grupo de regras não tiver CloudWatch métricas ativadas.
A configuração de CloudWatch métricas em AWS WAF regras e grupos de regras fornece visibilidade do fluxo de tráfego. Você pode ver quais regras de ACL são acionadas e quais solicitações são aceitas e bloqueadas. Essa visibilidade pode ajudar você a identificar atividades maliciosas nos recursos associados.
Correção
Para ativar CloudWatch métricas em um grupo de AWS WAF regras, invoque a UpdateRuleGroupAPI. Para ativar CloudWatch métricas em uma AWS WAF regra, invoque a API da UpdateWebACL. Defina o campo CloudWatchMetricsEnabled como true. Quando você usa o AWS WAF console para criar regras ou grupos de regras, as CloudWatch métricas são ativadas automaticamente.
