Security Hub-Steuerelemente für API Gateway - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub-Steuerelemente für API Gateway

Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon API Gateway.

Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

AWS::ApiGateway::StageRessourcentyp:, AWS::ApiGatewayV2::Stage

AWS Config -Regel: api-gw-execution-logging-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

loggingLevel

Protokollierungsstufe

Enum

ERROR, INFO

No default value

Dieses Steuerelement prüft, ob in allen Phasen einer Amazon API Gateway Gateway-REST- oder WebSocket API-Phase die Protokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn loggingLevel nicht ERROR oder INFO für alle Stufen der API. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, um anzugeben, dass ein bestimmter Protokolltyp aktiviert werden soll, erzeugt Security Hub eine erfolgreiche Feststellung, wenn die Protokollierungsebene entweder ERROR oder istINFO.

Für API Gateway REST- oder WebSocket API-Stufen sollten die entsprechenden Protokolle aktiviert sein. Die REST- und WebSocket API-Ausführungsprotokollierung von API Gateway bietet detaillierte Aufzeichnungen der Anfragen, die an die REST- und API-Stufen von WebSocket API Gateway gestellt wurden. Die Phasen umfassen Backend-Antworten zur API-Integration, Antworten des Lambda-Autorisierers und die requestId For-Integrationsendpunkte. AWS

Abhilfe

Informationen zum Aktivieren der Protokollierung für REST- und WebSocket API-Operationen finden Sie unter CloudWatch API-Protokollierung mithilfe der API-Gateway-Konsole einrichten im API Gateway Developer Guide.

[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden

Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6)

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config -Regel: api-gw-ssl-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob für die REST-API-Stufen von Amazon API Gateway SSL-Zertifikate konfiguriert sind. Backend-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anfragen von API Gateway stammen.

API Gateway REST API-Stufen sollten mit SSL-Zertifikaten konfiguriert werden, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen.

Abhilfe

Detaillierte Anweisungen zum Generieren und Konfigurieren von API Gateway REST API-SSL-Zertifikaten finden Sie unter Generieren und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung im API Gateway Developer Guide.

[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

Verwandte Anforderungen: NIST.800-53.r5 CA-7

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Art der Ressource: AWS::ApiGateway::Stage

AWS Config -Regel: api-gw-xray-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob AWS X-Ray Active Tracing für Ihre Amazon API Gateway Gateway-REST-API-Stufen aktiviert ist.

Active Tracing mit X-Ray ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer mangelnden Verfügbarkeit der API führen. X-Ray Active Tracing bietet Echtzeit-Metriken zu Benutzeranfragen, die über Ihre API-Gateway-REST-API-Operationen und verbundenen Dienste fließen.

Abhilfe

Ausführliche Anweisungen zur Aktivierung von X-Ray Active Tracing für API Gateway REST-API-Operationen finden Sie unter Amazon API Gateway Active Tracing Support for AWS X-Ray im AWS X-Ray Developer Guide.

[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)

Kategorie: Schützen > Schutzdienste

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config -Regel: api-gw-associated-with-waf

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob ein API-Gateway-Schritt eine AWS WAF Web Access Control List (ACL) verwendet. Dieses Steuerelement schlägt fehl, wenn keine AWS WAF Web-ACL an eine REST-API-Gateway-Stufe angehängt ist.

AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Damit können Sie eine ACL konfigurieren. Dabei handelt es sich um eine Reihe von Regeln, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API-Gateway-Stufe mit einer AWS WAF Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.

Abhilfe

Informationen dazu, wie Sie die API Gateway-Konsole verwenden, um eine AWS WAF regionale Web-ACL einer vorhandenen API-Gateway-API-Stufe zuzuordnen, finden Sie unter AWS WAF Using to protect your APIs im API Gateway Developer Guide.

[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden

Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Kategorie: Schutz > Datenschutz > Verschlüsselung von Daten im Ruhezustand

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config Regel: api-gw-cache-encrypted (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob alle Methoden in API Gateway REST API-Stufen, für die der Cache aktiviert ist, verschlüsselt sind. Die Steuerung schlägt fehl, wenn eine Methode in einer API-Gateway-REST-API-Stufe für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Security Hub bewertet die Verschlüsselung einer bestimmten Methode nur, wenn das Caching für diese Methode aktiviert ist.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den kein Benutzer authentifiziert ist. AWS Es fügt weitere Zugriffskontrollen hinzu, um den Zugriff unberechtigter Benutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.

API-Gateway-REST-API-Caches sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.

Abhilfe

Informationen zur Konfiguration von API-Caching für eine Phase finden Sie unter Amazon API Gateway Gateway-Caching aktivieren im API Gateway Developer Guide. Wählen Sie in den Cache-Einstellungen die Option Cache-Daten verschlüsseln.

[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben

Verwandte Anforderungen: NIST.800-53.r5 AC-3, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Kategorie: Schützen > Sicheres Zugriffsmanagement

Schweregrad: Mittel

Art der Ressource: AWS::ApiGatewayV2::Route

AWS Config Regel: api-gwv2-authorization-type-configured

Art des Zeitplans: Periodisch

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

authorizationType

Autorisierungstyp der API-Routen

Enum

AWS_IAM, CUSTOM, JWT

Kein Standardwert

Diese Kontrolle prüft, ob Amazon API Gateway Gateway-Routen einen Autorisierungstyp haben. Die Steuerung schlägt fehl, wenn die API-Gateway-Route keinen Autorisierungstyp hat. Optional können Sie einen benutzerdefinierten Parameterwert angeben, wenn das Steuerelement nur dann übergeben werden soll, wenn die Route den im authorizationType Parameter angegebenen Autorisierungstyp verwendet.

API Gateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf Ihre API. Durch die Angabe eines Autorisierungstyps können Sie den Zugriff auf Ihre API auf autorisierte Benutzer oder Prozesse beschränken.

Abhilfe

Informationen zum Festlegen eines Autorisierungstyps für HTTP APIs finden Sie unter Steuern und Verwalten des Zugriffs auf eine HTTP-API in API Gateway im API Gateway Developer Guide. Informationen zum Festlegen eines Autorisierungstyps für WebSocket APIs finden Sie unter Steuern und Verwalten des Zugriffs auf eine WebSocket API in API Gateway im API Gateway Developer Guide.

[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein

Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::ApiGatewayV2::Stage

AWS Config Regel: api-gwv2-access-logs-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob die Amazon API Gateway V2-Stufen die Zugriffsprotokollierung konfiguriert haben. Diese Kontrolle schlägt fehl, wenn die Einstellungen für das Zugriffsprotokoll nicht definiert sind.

API Gateway Gateway-Zugriffsprotokolle enthalten detaillierte Informationen darüber, wer auf Ihre API zugegriffen hat und wie der Anrufer auf die API zugegriffen hat. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Aktivieren Sie diese Zugriffsprotokolle, um Verkehrsmuster zu analysieren und Probleme zu beheben.

Weitere bewährte Methoden finden Sie unter Monitoring REST APIs im API Gateway Developer Guide.

Abhilfe

Informationen zum Einrichten der Zugriffsprotokollierung finden Sie unter CloudWatch API-Protokollierung mithilfe der API-Gateway-Konsole einrichten im API Gateway Developer Guide.