API网关的 Security Hub 控件 - AWS Security Hub
[APIGateway.1] 应启用API网关REST和 WebSocket API执行日志记录[APIGateway.2] 应将API网关RESTAPI阶段配置为使用SSL证书进行后端身份验证[APIGateway.3] API 网关RESTAPI阶段应启用跟 AWS X-Ray 踪[APIGateway.4] API 网关应与 Web 关联 WAF ACL[APIGateway.5] API 网关RESTAPI缓存数据应在静态时加密[APIGateway.8] API 网关路由应指定授权类型[APIGateway.9] 应为API网关 V2 阶段配置访问日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

API网关的 Security Hub 控件

这些 Security Hub 控件用于评估 Amazon API Gateway 服务和资源。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[APIGateway.1] 应启用API网关REST和 WebSocket API执行日志记录

相关要求: NIST.800-53.r5 AC-4(26)、、 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-7 (8)

类别:识别 > 日志记录

严重性:

资源类型:AWS::ApiGateway::StageAWS::ApiGatewayV2::Stage

AWS Config 规则:api-gw-execution-logging-enabled

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

loggingLevel

Logging level(日志记录级别)

枚举

ERROR, INFO

No default value

此控件会检查 Amazon API Gateway 的所有阶段REST是否 WebSocket API都启用了日志记录。如果loggingLevel不是,ERROR或者INFO控制的所有阶段都会失败API。除非您提供自定义参数值来指示应启用特定的日志类型,否则如果日志记录级别为 ERRORINFO,Security Hub 会生成通过的调查发现。

API网关REST或 WebSocket API阶段应启用相关日志。 API网关REST和 WebSocket API执行日志记录提供了向API网关REST和 WebSocket API阶段发出的请求的详细记录。这些阶段包括API集成后端响应、Lambda 授权方响应和集成终端节点requestId。 AWS

修复

要启用日志记录REST和 WebSocket API操作,请参阅《API网API关开发者指南》中的使用 Gateway 控制台设置 CloudWatch API日志记录

[APIGateway.2] 应将API网关RESTAPI阶段配置为使用SSL证书进行后端身份验证

相关要求: NIST.800-53.r5 AC-17 (2)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5 (1)、 NIST.800-53.r5 SC-1 2 (3)、3、3、 NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23)、 NIST.800-53.r5 SC-2 (4)、 NIST.800-53.r5 SC-7 (1)、 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8、NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)

类别:保护 > 数据保护 > 加密 data-in-transit

严重性:

资源类型:AWS::ApiGateway::Stage

AWS Config 规则:api-gw-ssl-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon API Gateway REST API 阶段是否配置了SSL证书。后端系统使用这些证书来验证传入的请求是否来自API网关。

API网关RESTAPI阶段应配置SSL证书,以允许后端系统验证请求是否来自API网关。

修复

有关如何生成和配置API网关RESTAPISSL证书的详细说明,请参阅《网API关开发者指南》中的生成和配置用于后端身份验证的SSL证书

[APIGateway.3] API 网关RESTAPI阶段应启用跟 AWS X-Ray 踪

相关要求: NIST.800-53.r5 CA-7

类别:检测 > 检测服务

严重性:

资源类型:AWS::ApiGateway::Stage

AWS Config 规则:api-gw-xray-enabled

计划类型:已触发变更

参数:

此控件检查您的 Amazon API Gateway REST API 阶段是否启用了 AWS X-Ray 主动跟踪。

X-Ray 主动跟踪可以更快速地响应底层基础设施的性能变化。性能的变化可能会导致缺少可用性API。X-Ray 主动跟踪提供流经API网关RESTAPI操作和连接服务的用户请求的实时指标。

修复

有关如何为API网关RESTAPI操作启用 X-Ray 主动跟踪的详细说明,请参阅AWS X-Ray 开发人员指南 AWS X-Ray中的 Amazon API Gateway 主动跟踪支持

[APIGateway.4] API 网关应与 Web 关联 WAF ACL

相关要求: NIST.800-53.r5 AC-4(21)

类别:保护 > 防护服务

严重性:

资源类型:AWS::ApiGateway::Stage

AWS Config 规则:api-gw-associated-with-waf

计划类型:已触发变更

参数:

此控件检查 API Gateway 阶段是否使用 AWS WAF Web 访问控制列表 (ACL)。如果 AWS WAF Web 未连接到 Gatew ACL a REST API y 阶段,则此控件将失败。

AWS WAF 是一种 Web 应用程序防火墙,可帮助保护 Web 应用程序和APIs免受攻击。它允许您配置ACL,这是一组基于您定义的可自定义 Web 安全规则和条件允许、阻止或计数 Web 请求的规则。确保您的 API Gateway 阶段与 AWS WAF Web 关联ACL,以帮助保护其免受恶意攻击。

修复

有关如何使用 API Gateway 控制台将 AWS WAF 区域网站ACL与现有API网关API阶段关联的信息,请参阅《网API关开发者指南》APIs中的使用 AWS WAF 保护您的网站。

[APIGateway.5] API 网关RESTAPI缓存数据应在静态时加密

相关要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3、 NIST.800-53.r5 SC-2 8、 NIST.800-53.r5 SC-2 8 (1)、 NIST.800-53.r5 SC-7 (10)、NIST .800-53.r5 SI-7 (6)

类别:保护 > 数据保护 > 静态数据加密

严重性:

资源类型:AWS::ApiGateway::Stage

AWS Config 规则:api-gw-cache-encrypted(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

此控件检查API网关RESTAPI阶段中启用缓存的所有方法是否都已加密。如果将 API Gateway REST API 阶段中的任何方法配置为缓存并且缓存未加密,则控制将失败。仅当为特定方法启用缓存时,Security Hub 才会评估该方法的加密。

对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 AWS它添加了另一组访问控制来限制未经授权的用户访问数据的能力。例如,需要API权限才能解密数据,然后才能读取数据。

API网关RESTAPI缓存应进行静态加密,以增加安全性。

修复

要为某个阶段配置API缓存,请参阅API网关开发者指南中的启用 Amazon API Gateway 缓存。在缓存设置中,选择加密缓存数据

[APIGateway.8] API 网关路由应指定授权类型

相关要求: NIST.800-53.r5 AC-3,NIST.800-53.r5 CM-2、.800-53.r5 CM-2 (2) NIST

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::ApiGatewayV2::Route

AWS Config 规则:api-gwv2-authorization-type-configured

计划类型:定期

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

authorizationType

API路由的授权类型

枚举

AWS_IAM, CUSTOM, JWT

无默认值

此控件会检查 Amazon API Gateway 路由是否具有授权类型。如果 API Gateway 路由没有任何授权类型,则控制失败。或者,如果您希望仅在路径使用 authorizationType 参数中指定的授权类型时才通过控件,则可以提供自定义参数值。

APIGateway 支持多种机制来控制和管理对您的访问权限API。通过指定授权类型,您可以限制只有经过授权的用户或进程才能访问您的API权限。

修复

要为设置授权类型 HTTPAPIs,请参阅《网关开发者指南》HTTPAPI中的控制和管理对API网API关中的的访问权限。要为设置授权类型 WebSocket APIs,请参阅《网关开发者指南》 WebSocket API中的控制和管理对API网API关中的访问权限

[APIGateway.9] 应为API网关 V2 阶段配置访问日志

相关要求: NIST.800-53.r5 AC-4(26)、、(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、v4.0.1/10.4.2 PCI DSS

类别:识别 > 日志记录

严重性:

资源类型:AWS::ApiGatewayV2::Stage

AWS Config 规则:api-gwv2-access-logs-enabled

计划类型:已触发变更

参数:

此控件会检查 Amazon API Gateway V2 阶段是否配置了访问日志。如果未定义访问日志设置,则控制失败。

API网关访问日志提供有关谁访问了您的API以及呼叫者如何访问的详细信息API。这些日志对于安全和访问审计、取证调查等应用很有用。启用这些访问日志来分析流量模式并解决问题。

有关其他最佳实践,请参阅《API网关开发者指南》RESTAPIs中的监控

修复

要设置访问日志记录,请参阅《API网API关开发者指南》中的使用 Gateway 控制台设置 CloudWatch API日志记录。