API Gateway 的 Security Hub 控制項 - AWS Security Hub
【APIGateway.1】 應啟用API閘道REST和 WebSocket API執行記錄【APIGateway.2】 API 閘道RESTAPI階段應設定為使用SSL憑證進行後端身分驗證【APIGateway.3】 API閘道RESTAPI階段應該已啟用 AWS X-Ray 追蹤【APIGateway.4】 API 閘道應與 WAF Web 建立關聯 ACL【APIGateway.5】 API 閘道RESTAPI快取資料應靜態加密【APIGateway.8】 API 閘道路由應指定授權類型【APIGateway.9】 應針對API閘道 V2 階段設定存取記錄

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

API Gateway 的 Security Hub 控制項

這些 Security Hub 控制項會評估 Amazon API Gateway 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【APIGateway.1】 應啟用API閘道REST和 WebSocket API執行記錄

相關要求: NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

類別:識別 > 記錄日誌

嚴重性:

資源類型:AWS::ApiGateway::StageAWS::ApiGatewayV2::Stage

AWS Config 規則:api-gw-execution-logging-enabled

排程類型:已觸發變更

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

loggingLevel

Logging level (記錄層級)

列舉

ERROR, INFO

No default value

此控制項會檢查 Amazon API Gateway 的所有階段REST或 WebSocket API是否已啟用記錄。如果 loggingLevel不是 ERRORINFO 的所有階段,則控制項會失敗API。除非您提供自訂參數值來指出應該啟用特定日誌類型,否則如果記錄層級為 ERROR或 ,Security Hub 會產生傳遞的調查結果INFO

API 閘道REST或 WebSocket API階段應該啟用相關日誌。 APIGateway REST和 WebSocket API執行日誌提供對 API Gateway REST和 WebSocket API階段提出請求的詳細記錄。這些階段包括API整合後端回應、Lambda 授權方回應,以及 AWS 整合端點requestId的 。

修補

若要啟用 REST和 WebSocket API 操作的記錄,請參閱《API閘道開發人員指南》中的使用閘道主控台設定 CloudWatch API記錄API

【APIGateway.2】 API 閘道RESTAPI階段應設定為使用SSL憑證進行後端身分驗證

相關要求: NIST.800-53.r5 AC-17(2)、 NIST.800-53.r5 AC-4、 NIST.800-53.r5 IA-5(1)、 NIST.800-53.r5 SC-12(3)、 NIST.800-53.r5 SC-13、 NIST.800-53.r5 SC-23 NIST.800-53.r5 SC-2(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-8(1) NIST.800-53.r5 SC-8、 NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

類別:保護 > 資料保護 > 加密 data-in-transit

嚴重性:

資源類型: AWS::ApiGateway::Stage

AWS Config 規則:api-gw-ssl-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon API Gateway RESTAPI階段是否已設定SSL憑證。後端系統使用這些憑證來驗證傳入請求是否來自 API Gateway。

API 閘道RESTAPI階段應使用SSL憑證設定,以允許後端系統驗證來自 API Gateway 的請求。

修補

如需如何產生和設定API閘道RESTAPISSL憑證的詳細說明,請參閱《API閘道開發人員指南》中的產生和設定後端身分驗證的SSL憑證

【APIGateway.3】 API閘道RESTAPI階段應該已啟用 AWS X-Ray 追蹤

相關要求: NIST.800-53.r5 CA-7

類別:偵測 > 偵測服務

嚴重性:

資源類型: AWS::ApiGateway::Stage

AWS Config 規則:api-gw-xray-enabled

排程類型:已觸發變更

參數:

此控制項會檢查您的 Amazon API Gateway RESTAPI階段是否已啟用 AWS X-Ray 主動追蹤。

X-Ray 主動追蹤可更快速回應基礎基礎設施的效能變更。效能變更可能會導致 的可用性不足API。X-Ray 主動追蹤提供使用者請求的即時指標,這些請求會流經API閘道RESTAPI操作和連線服務。

修補

如需如何為API閘道RESTAPI操作啟用 X-Ray 主動追蹤的詳細指示,請參閱《 AWS X-Ray 開發人員指南》中的 的 Amazon API Gateway 主動追蹤支援 AWS X-Ray

【APIGateway.4】 API 閘道應與 WAF Web 建立關聯 ACL

相關要求: NIST.800-53.r5 AC-4(21)

類別:保護 > 保護服務

嚴重性:

資源類型: AWS::ApiGateway::Stage

AWS Config 規則:api-gw-associated-with-waf

排程類型:已觸發變更

參數:

此控制項會檢查API閘道階段是否使用 AWS WAF Web 存取控制清單 (ACL)。如果 AWS WAF Web ACL 未連接至RESTAPI閘道階段,則此控制項會失敗。

AWS WAF 是 Web 應用程式防火牆,可協助保護 Web 應用程式和 APIs 免受攻擊。它可讓您設定 ACL,這是一組規則,可根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的API閘道階段與 AWS WAF Web 相關聯ACL,以協助保護其免受惡意攻擊。

修補

如需有關如何使用API閘道主控台將 AWS WAF 區域 Web ACL 與現有API閘道API階段建立關聯的詳細資訊,請參閱《API閘道開發人員指南》中的使用 AWS WAF 來保護您的 APIs

【APIGateway.5】 API 閘道RESTAPI快取資料應靜態加密

相關要求: NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1)、 NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

類別:保護 ‒ 資料保護 ‒ 靜態資料加密

嚴重性:

資源類型: AWS::ApiGateway::Stage

AWS Config rule:api-gw-cache-encrypted(自訂 Security Hub 規則)

排程類型:已觸發變更

參數:

此控制項會檢查啟用快取的API閘道RESTAPI階段中的所有方法是否都加密。如果API閘道RESTAPI階段中的任何方法設定為快取且未加密快取,則控制項會失敗。Security Hub 只會在針對該方法啟用快取時,評估特定方法的加密。

加密靜態資料可降低未經過身分驗證的使用者存取磁碟上儲存資料的風險 AWS。它新增了另一組存取控制,以限制未經授權的使用者存取資料的能力。例如,需要API許可才能解密資料,才能讀取資料。

API 閘道RESTAPI快取應靜態加密,以增加一層安全性。

修補

若要設定階段的API快取,請參閱API《閘道開發人員指南》中的啟用 Amazon Gateway 快取API 快取設定中,選擇加密快取資料

【APIGateway.8】 API 閘道路由應指定授權類型

相關要求: NIST.800-53.r5 AC-3、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

類別:保護 > 安全存取管理

嚴重性:

資源類型: AWS::ApiGatewayV2::Route

AWS Config 規則: api-gwv2-authorization-type-configured

排程類型:定期

參數:

參數 Description (描述) Type 允許的自訂值 Security Hub 預設值

authorizationType

API 路由的授權類型

列舉

AWS_IAM, CUSTOM, JWT

無預設值

此控制項會檢查 Amazon API Gateway 路由是否具有授權類型。如果API閘道路由沒有任何授權類型,則控制項會失敗。或者,如果您希望控制項僅在路由使用 參數中指定的授權類型時傳遞,您可以提供自訂authorizationType參數值。

API Gateway 支援多種機制來控制和管理對 的存取API。透過指定授權類型,您可以將 的存取權限制API為僅授權使用者或程序。

修補

若要設定 HTTP 的授權類型APIs,請參閱API《閘道開發人員指南》中的在API閘道HTTPAPI中控制和管理對 的存取。若要設定 的授權類型 WebSocket APIs,請參閱API《閘道開發人員指南》中的在API閘道中控制和管理對 WebSocket API的存取

【APIGateway.9】 應針對API閘道 V2 階段設定存取記錄

相關要求: NIST.800-53.r5 AC-4(26)、 NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7、 NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)、PCIDSSv4.0.1/10.4.2

類別:識別 > 記錄日誌

嚴重性:

資源類型: AWS::ApiGatewayV2::Stage

AWS Config 規則: api-gwv2-access-logs-enabled

排程類型:已觸發變更

參數:

此控制項會檢查 Amazon API Gateway V2 階段是否已設定存取記錄。如果未定義存取日誌設定,則此控制項會失敗。

API 閘道存取日誌提供有關誰已存取 API以及發起人如何存取 的詳細資訊API。這些日誌適用於安全與存取稽核及鑑識調查等應用程式。啟用這些存取日誌以分析流量模式和故障診斷問題。

如需其他最佳實務,請參閱《API閘道開發人員指南REST》中的監控APIs

修補

若要設定存取記錄,請參閱《API閘道開發人員指南》中的使用閘道主控台設定 CloudWatch API記錄API