Security Hub 控件适用于 AWS WAF - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 控件适用于 AWS WAF

这些 AWS Security Hub 控件评估 AWS WAF 服务和资源。

这些控件可能并非全部可用 AWS 区域。 有关更多信息,请参阅按地区划分的控件可用性

[WAF.1] AWS WAF 应启用经典全局 Web ACL 日志记录

相关要求: NIST.800-53.r5 AC-4(26)、、 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、NIST .800-53.r5 SI-7 (8)

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAF::WebACL

AWS Config 规则:waf-classic-logging-enabled

计划类型:定期

参数:

此控件检查是否为某项启用了日志记录 AWS WAF 全球网络ACL。如果未为 Web 启用日志记录,则此控件将失败ACL。

日志记录是维护可靠性、可用性和性能的重要组成部分 AWS WAF 全球。这是许多组织中的业务和合规性要求,并允许您对应用程序行为进行故障排除。它还提供有关网络所分析的流量的详细信息ACL,这些流量由连接到 AWS WAF.

修复

为启用日志记录 AWS WAF webACL,请参阅中的 “记录 Web ACL 流量信息AWS WAF 开发者指南

[WAF.2] AWS WAF 经典区域规则应至少有一个条件

相关要求: NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::Rule

AWS Config 规则:waf-regional-rule-not-empty

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF 区域规则至少有一个条件。如果规则中不存在任何条件,则控制失败。

WAF区域规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何条件的情况下,流量未经检查就通过。没有条件但带有暗示允许、屏蔽或计数的名称或标签的WAF区域规则可能会导致错误地假设其中一个操作正在发生。

修复

要向空规则添加条件,请参阅中的在规则中添加和删除条件 AWS WAF 开发者指南

[WAF.3] AWS WAF 经典区域规则组应至少有一条规则

相关要求: NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::RuleGroup

AWS Config 规则:waf-regional-rulegroup-not-empty

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF 区域规则组至少有一条规则。如果规则组中不存在任何规则,则控制失败。

一个WAF区域规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何规则的情况下,流量未经检查就通过。WAF区域规则组没有规则,但名称或标签暗示允许、屏蔽或计数,可能会导致错误地假设其中一个操作正在发生。

修复

要向空规则组添加规则和规则条件,请参阅在空规则组中添加和删除规则 AWS WAF 经典规则组和在规则中添加和删除条件 AWS WAF 开发者指南

[WAF.4] AWS WAF 经典区域网站ACLs应至少有一个规则或规则组

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::WebACL

AWS Config 规则:waf-regional-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF Classic Regional web ACL 包含任何WAF规则或WAF规则组。如果 Web ACL 不包含任何WAF规则或规则组,则此控件将失败。

WAF区域网站ACL可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则WAF根据默认操作,网络流量可以在不被检测或处理的情况下通过。

修复

将规则或规则组添加到空白处 AWS WAF 经典区域网站ACL,请参阅ACL中的 “编辑网页AWS WAF 开发者指南

[WAF.6] AWS WAF 经典全局规则应至少有一个条件

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::Rule

AWS Config 规则:waf-global-rule-not-empty

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF 全局规则包含任何条件。如果规则中不存在任何条件,则控制失败。

一个WAF全局规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何条件的情况下,流量未经检查就通过。没有条件但带有暗示允许、阻止或计数的名称或标签的WAF全局规则可能会导致错误地假设其中一个操作正在发生。

修复

有关创建规则和添加条件的说明,请参阅中的创建规则和添加条件 AWS WAF 开发者指南

[WAF.7] AWS WAF 经典全局规则组应至少有一条规则

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::RuleGroup

AWS Config 规则:waf-global-rulegroup-not-empty

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF 全局规则组至少有一条规则。如果规则组中不存在任何规则,则控制失败。

一个WAF全局规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何规则的情况下,流量未经检查就通过。如果WAF全局规则组没有规则,但名称或标签暗示允许、屏蔽或计数,则可能导致错误地假设其中一个操作正在发生。

修复

有关向规则组添加规则的说明,请参阅创建 AWS WAF中的经典规则组 AWS WAF 开发者指南

[WAF.8] AWS WAF 经典全球网站ACLs应至少有一个规则或规则组

相关要求: NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::WebACL

AWS Config 规则:waf-global-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF 全球 Web 至少ACL包含一个WAF规则或WAF规则组。如果 Web ACL 不包含任何WAF规则或规则组,则控制失败。

WAF全局 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则WAF根据默认操作,网络流量可以在不被检测或处理的情况下通过。

修复

将规则或规则组添加到空白处 AWS WAF 全局网页ACL,请参阅ACL中编辑网页 AWS WAF 开发者指南。对于 “筛选”,选择 “全局” (CloudFront)

[WAF.10] AWS WAF Web ACLs 应该至少有一个规则或规则组

相关要求: NIST.800-53.r5 CA-9(1)、NIST .800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFv2::WebACL

AWS Config 规则:wafv2-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF V2 Web 访问控制列表 (WebACL) 至少包含一个规则或规则组。如果 Web ACL 不包含任何规则或规则组,则控制失败。

Web ACL 可让您精细控制受保护资源响应的所有 HTTP (S) Web 请求。Web ACL 应包含一组用于检查和控制 Web 请求的规则和规则组。如果网站ACL是空的,则网络流量可以在不被检测到的情况下通过,也不会被其采取任何行动 AWS WAF 取决于默认操作。

修复

要向空WAFV2网页添加规则或规则组ACL,请参阅ACL中的编辑网页 AWS WAF 开发者指南

[WAF.11] AWS WAF 应启用 Web ACL 日志记录

相关要求: NIST.800-53.r5 AC-4(26)、(10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、NIST .800-53.r5 SI-7 (8)

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAFv2::WebACL

AWS Config 规则:wafv2-logging-enabled

计划类型:定期

参数:

此控件检查是否已激活日志记录 AWS WAF V2 网络访问控制列表 (网络ACL)。如果停用 Web ACL 日志记录,则此控件将失败。

注意

此控件不检查是否 AWS WAF 通过 Amazon Security Lake 为账户启用了网络ACL日志功能。

日志记录可维护的可靠性、可用性和性能 AWS WAF。 此外,在许多组织中,日志记录是一项业务和合规要求。通过记录您的网络分析的流量ACL,您可以对应用程序行为进行故障排除。

修复

为某人激活日志记录 AWS WAF webACL,请参阅《管理网站ACL的日志记录AWS WAF 开发者指南

[WAF.12] AWS WAF 规则应启用 CloudWatch 指标

相关要求: NIST.800-53.r5 AC-4(26)、(10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9)、NIST .800-53.r5 SI-7 (8)

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAFv2::RuleGroup

AWS Config 规则:wafv2-rulegroup-logging-enabled

计划类型:已触发变更

参数:

此控件检查是否 AWS WAF 规则或规则组已启用 Amazon CloudWatch 指标。如果规则或规则组未启用 CloudWatch 指标,则控制失败。

在上配置 CloudWatch 指标 AWS WAF 规则和规则组提供对流量的可见性。您可以看到哪些ACL规则被触发,哪些请求被接受和阻止。这种可见性可以帮助您识别关联资源上的恶意活动。

修复

在上启用 CloudWatch 指标 AWS WAF 规则组,调用 UpdateRuleGroupAPI。在上启用 CloudWatch 指标 AWS WAF 规则,调用 UpdateWebACLAPI。将 CloudWatchMetricsEnabled 字段设置为 true。当你使用 AWS WAF 控制台用于创建规则或规则组, CloudWatch 指标会自动启用。