

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 控件适用于 AWS WAF
<a name="waf-controls"></a>

这些 AWS Security Hub CSPM 控制措施评估 AWS WAF 服务和资源。这些控件可能并非全部可用 AWS 区域。有关更多信息，请参阅 [按地区划分的控件可用性](securityhub-regions.md#securityhub-regions-control-support)。

## [WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录
<a name="waf-1"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、、(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::WAF::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html)

**计划类型：**定期

**参数：**无

此控件检查是否为 AWS WAF 全局 Web ACL 启用了日志记录。如果未为 Web ACL 启用日志记录，则此控制失败。

日志记录是维护 AWS WAF 全球可靠性、可用性和性能的重要组成部分。这是许多组织中的业务和合规性要求，并允许您对应用程序行为进行故障排除。它还提供有关附加到 AWS WAF的 Web ACL 所分析的流量的详细信息。

### 修复
<a name="waf-1-remediation"></a>

要启用 AWS WAF Web ACL 的[日志记录，请参阅*AWS WAF 开发人员指南*中的记录 Web ACL 流量信息](https://docs.aws.amazon.com/waf/latest/developerguide/classic-logging.html)。

## [WAF.2] AWS WAF 经典区域规则应至少有一个条件
<a name="waf-2"></a>

**相关要求：** NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFRegional::Rule`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rule-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 区域规则是否至少具有一个条件。如果规则中不存在任何条件，则控制失败。

WAF 区域规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何条件的情况下，流量未经检查就通过。没有任何条件但带有建议允许、阻止或计数的名称或标签的 WAF 区域规则可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-2-remediation"></a>

要向空规则添加条件，请参阅 *AWS WAF 开发人员指南*中的[在规则中添加和删除条件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)。

## [WAF.3] AWS WAF 经典区域规则组应至少有一条规则
<a name="waf-3"></a>

**相关要求：** NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFRegional::RuleGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-rulegroup-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 区域规则组是否至少有一条规则。如果规则组中不存在任何规则，则控制失败。

一个 WAF 区域规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何规则的情况下，流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 区域规则组可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-3-remediation"></a>

要向空规则组添加规则和规则条件，请参阅[《*AWS WAF 开发者指南*》中的在 AWS WAF 经典规则组中添加和删除](https://docs.aws.amazon.com/waf/latest/developerguide/classic-rule-group-editing.html)[规则以及在规则中添加和删除条件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-editing.html)。

## [WAF.4] AWS WAF 经典区域网站 ACLs 应至少有一个规则或规则组
<a name="waf-4"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFRegional::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-regional-webacl-not-empty)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF Classic Regional Web ACL 是否包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则此控制失败。

WAF Regional Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空，则根据默认操作，Web 流量可以在不被 WAF 检测到或处理的情况下通过。

### 修复
<a name="waf-4-remediation"></a>

要向空的 AWS WAF 经典区域 Web ACL 添加规则或规则组，请参阅*AWS WAF 开发人员指南*中的[编辑 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)。

## [WAF.6] AWS WAF 经典全局规则应至少有一个条件
<a name="waf-6"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAF::Rule`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rule-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 全局规则是否包含任何条件。如果规则中不存在任何条件，则控制失败。

一个 WAF 全局规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何条件的情况下，流量未经检查就通过。不带条件但带有建议允许、阻止或计数的名称或标签的 WAF 全局规则可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-6-remediation"></a>

有关创建规则和添加条件的说明，请参阅 *AWS WAF 开发人员指南*中的[创建规则和添加条件](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-rules-creating.html)。

## [WAF.7] AWS WAF 经典全局规则组应至少有一条规则
<a name="waf-7"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAF::RuleGroup`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-rulegroup-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 全局规则组是否至少有一条规则。如果规则组中不存在任何规则，则控制失败。

一个 WAF 全局规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作（允许、阻止或计数）。在没有任何规则的情况下，流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 全局规则组可能会导致错误地假设其中一项操作正在发生。

### 修复
<a name="waf-7-remediation"></a>

有关向规则组添加规则的说明，请参阅*《AWS WAF 开发人员指南*》中的[创建 AWS WAF 经典规则组](https://docs.aws.amazon.com/waf/latest/developerguide/classic-create-rule-group.html)。

## [WAF.8] AWS WAF 经典全球网站 ACLs 应至少有一个规则或规则组
<a name="waf-8"></a>

**相关要求：** NIST.800-53.r5 AC-4(21) NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7 (11)、 NIST.800-53.r5 SC-7 (16)、 NIST.800-53.r5 SC-7 (21)

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAF::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty](https://docs.aws.amazon.com/config/latest/developerguide/waf-global-webacl-not-empty)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 全局 Web ACL 是否包含至少一个 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组，则控制失败。

WAF 全局 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空，则根据默认操作，Web 流量可以在不被 WAF 检测到或处理的情况下通过。

### 修复
<a name="waf-8-remediation"></a>

要向空的 AWS WAF 全局 Web ACL 添加规则或规则组，请参阅*AWS WAF 开发人员指南*中的[编辑 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/classic-web-acl-editing.html)。对于 “**筛选**”，选择 “**全局” (CloudFront)**。

## [WAF.10] AWS WAF Web ACLs 应至少有一个规则或规则组
<a name="waf-10"></a>

**相关要求：** NIST.800-53.r5 CA-9(1)、nist.800-53.r5 CM-2

**类别：**保护 > 安全网络配置

**严重性：**中

**资源类型：**`AWS::WAFv2::WebACL`

**AWS Config 规则：**[https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-webacl-not-empty.html)

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF V2 Web 访问控制列表 (Web ACL) 是否至少包含一个规则或规则组。如果 Web ACL 不包含任何规则或规则组，则控制失败。

Web ACL 可让您对受保护资源响应的所有 HTTP（S）Web 请求进行精细控制。Web ACL 应包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空，则 AWS WAF 根据默认操作，Web 流量可以在不被检测或处理的情况下通过。

### 修复
<a name="waf-10-remediation"></a>

要向空的 WAFV2 Web ACL 添加规则或规则组，请参阅*AWS WAF 开发人员指南*中的[编辑 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-editing.html)。

## [WAF.11] 应启 AWS WAF 用 Web ACL 日志记录
<a name="waf-11"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、(10)、 NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、PCI DSS v4.0.1/10.4.2

**类别：**识别 > 日志记录

**严重性：**低

**资源类型：**`AWS::WAFv2::WebACL`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-logging-enabled.html)**``

**计划类型：**定期

**参数：**无

此控件检查 AWS WAF V2 Web 访问控制列表 (Web ACL) 是否已激活日志记录。如果停用 Web ACL 的日志记录，则此控制失败。

**注意**  
此控件不检查是否已通过 Amazon Security Lake 为账户启用 AWS WAF 网页 ACL 日志记录。

日志记录可维护的可靠性、可用性和性能 AWS WAF。此外，在许多组织中，日志记录是一项业务和合规要求。通过记录由 Web ACL 分析的流量，您可以对应用程序行为进行故障排除。

### 修复
<a name="waf-11-remediation"></a>

要激活 AWS WAF Web ACL 的日志[记录，请参阅*《AWS WAF 开发人员指南》*中的管理 Web ACL](https://docs.aws.amazon.com/waf/latest/developerguide/logging-management.html) 的日志记录。

## [WAF.12] AWS WAF 规则应启用指标 CloudWatch
<a name="waf-12"></a>

**相关要求：** NIST.800-53.r5 AC-4(26)、(10)、(9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、nist.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8)、 NIST.800-53.r5 SC-7 nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.6、nist.800-171.r2 3.14.7

**类别：**识别 > 日志记录

**严重性：**中

**资源类型：**`AWS::WAFv2::RuleGroup`

**AWS Config 规则：[https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/wafv2-rulegroup-logging-enabled.html)**``

**计划类型：**已触发变更

**参数：**无

此控件检查 AWS WAF 规则或规则组是否启用了 Amazon CloudWatch 指标。如果规则或规则组未启用 CloudWatch 指标，则控件将失败。

在 AWS WAF 规则和规则组上配置 CloudWatch 指标可提供对流量的可见性。您可以看到哪些 ACL 规则被触发，哪些请求被接受和阻止。这种可见性可以帮助您识别关联资源上的恶意活动。

### 修复
<a name="waf-12-remediation"></a>

要在 AWS WAF 规则组上启用 CloudWatch 指标，请调用 [ UpdateRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateRuleGroup.html)API。要在 AWS WAF 规则上启用 CloudWatch 指标，请调用 [ UpdateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) API。将 `CloudWatchMetricsEnabled` 字段设置为 `true`。当您使用 AWS WAF 控制台创建规则或规则组时， CloudWatch 指标会自动启用。