Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerelemente für API Gateway
Diese Security Hub Hub-Kontrollen bewerten den Service und die Ressourcen von Amazon API Gateway.
Diese Kontrollen sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[APIGateway.1] API Gateway REST und WebSocket API-Ausführungsprotokollierung sollten aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
AWS::ApiGateway::Stage
Ressourcentyp:, AWS::ApiGatewayV2::Stage
AWS Config -Regel: api-gw-execution-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Protokollierungsstufe |
Enum |
|
|
Dieses Steuerelement prüft, ob in allen Phasen einer Amazon API Gateway Gateway-REST- oder WebSocket API-Phase die Protokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn loggingLevel
nicht ERROR
oder INFO
für alle Stufen der API. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, um anzugeben, dass ein bestimmter Protokolltyp aktiviert werden soll, erzeugt Security Hub eine erfolgreiche Feststellung, wenn die Protokollierungsebene entweder ERROR
oder istINFO
.
Für API Gateway REST- oder WebSocket API-Stufen sollten die entsprechenden Protokolle aktiviert sein. Die REST- und WebSocket API-Ausführungsprotokollierung von API Gateway bietet detaillierte Aufzeichnungen der Anfragen, die an die REST- und API-Stufen von WebSocket API Gateway gestellt wurden. Die Phasen umfassen Backend-Antworten zur API-Integration, Antworten des Lambda-Autorisierers und die requestId
For-Integrationsendpunkte. AWS
Abhilfe
Informationen zum Aktivieren der Protokollierung für REST- und WebSocket API-Operationen finden Sie unter CloudWatch API-Protokollierung mithilfe der API-Gateway-Konsole einrichten im API Gateway Developer Guide.
[APIGateway.2] API Gateway REST API-Stufen sollten so konfiguriert werden, dass sie SSL-Zertifikate für die Backend-Authentifizierung verwenden
Verwandte Anforderungen: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, NIST.800-53.r5 SC-1 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6)
Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit
Schweregrad: Mittel
Art der Ressource: AWS::ApiGateway::Stage
AWS Config -Regel: api-gw-ssl-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für die REST-API-Stufen von Amazon API Gateway SSL-Zertifikate konfiguriert sind. Backend-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anfragen von API Gateway stammen.
API Gateway REST API-Stufen sollten mit SSL-Zertifikaten konfiguriert werden, damit Backend-Systeme authentifizieren können, dass Anfragen von API Gateway stammen.
Abhilfe
Detaillierte Anweisungen zum Generieren und Konfigurieren von API Gateway REST API-SSL-Zertifikaten finden Sie unter Generieren und Konfigurieren eines SSL-Zertifikats für die Backend-Authentifizierung im API Gateway Developer Guide.
[APIGateway.3] Bei den REST-API-Stufen von API Gateway sollte die AWS X-Ray Ablaufverfolgung aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 CA-7
Kategorie: Erkennung > Erkennungsservices
Schweregrad: Niedrig
Art der Ressource: AWS::ApiGateway::Stage
AWS Config -Regel: api-gw-xray-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob AWS X-Ray Active Tracing für Ihre Amazon API Gateway Gateway-REST-API-Stufen aktiviert ist.
Active Tracing mit X-Ray ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer mangelnden Verfügbarkeit der API führen. X-Ray Active Tracing bietet Echtzeit-Metriken zu Benutzeranfragen, die über Ihre API-Gateway-REST-API-Operationen und verbundenen Dienste fließen.
Abhilfe
Ausführliche Anweisungen zur Aktivierung von X-Ray Active Tracing für API Gateway REST-API-Operationen finden Sie unter Amazon API Gateway Active Tracing Support for AWS X-Ray im AWS X-Ray Developer Guide.
[APIGateway.4] API Gateway sollte mit einer WAF-Web-ACL verknüpft sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21)
Kategorie: Schützen > Schutzdienste
Schweregrad: Mittel
Art der Ressource: AWS::ApiGateway::Stage
AWS Config -Regel: api-gw-associated-with-waf
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein API-Gateway-Schritt eine AWS WAF Web Access Control List (ACL) verwendet. Dieses Steuerelement schlägt fehl, wenn keine AWS WAF Web-ACL an eine REST-API-Gateway-Stufe angehängt ist.
AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Damit können Sie eine ACL konfigurieren. Dabei handelt es sich um eine Reihe von Regeln, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API-Gateway-Stufe mit einer AWS WAF Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen.
Abhilfe
Informationen dazu, wie Sie die API Gateway-Konsole verwenden, um eine AWS WAF regionale Web-ACL einer vorhandenen API-Gateway-API-Stufe zuzuordnen, finden Sie unter AWS WAF Using to protect your APIs im API Gateway Developer Guide.
[APIGateway.5] API Gateway REST API-Cache-Daten sollten im Ruhezustand verschlüsselt werden
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategorie: Schutz > Datenschutz > Verschlüsselung von Daten im Ruhezustand
Schweregrad: Mittel
Art der Ressource: AWS::ApiGateway::Stage
AWS Config Regel: api-gw-cache-encrypted
(benutzerdefinierte Security Hub Hub-Regel)
Zeitplantyp: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob alle Methoden in API Gateway REST API-Stufen, für die der Cache aktiviert ist, verschlüsselt sind. Die Steuerung schlägt fehl, wenn eine Methode in einer API-Gateway-REST-API-Stufe für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Security Hub bewertet die Verschlüsselung einer bestimmten Methode nur, wenn das Caching für diese Methode aktiviert ist.
Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den kein Benutzer authentifiziert ist. AWS Es fügt weitere Zugriffskontrollen hinzu, um den Zugriff unberechtigter Benutzer auf die Daten einzuschränken. Beispielsweise sind API-Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.
API-Gateway-REST-API-Caches sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Abhilfe
Informationen zur Konfiguration von API-Caching für eine Phase finden Sie unter Amazon API Gateway Gateway-Caching aktivieren im API Gateway Developer Guide. Wählen Sie in den Cache-Einstellungen die Option Cache-Daten verschlüsseln.
[APIGateway.8] API Gateway Gateway-Routen sollten einen Autorisierungstyp angeben
Verwandte Anforderungen: NIST.800-53.r5 AC-3, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Kategorie: Schützen > Sicheres Zugriffsmanagement
Schweregrad: Mittel
Art der Ressource: AWS::ApiGatewayV2::Route
AWS Config Regel: api-gwv2-authorization-type-configured
Art des Zeitplans: Periodisch
Parameter:
Parameter | Beschreibung | Typ | Zulässige benutzerdefinierte Werte | Security Hub Hub-Standardwert |
---|---|---|---|---|
|
Autorisierungstyp der API-Routen |
Enum |
|
Kein Standardwert |
Diese Kontrolle prüft, ob Amazon API Gateway Gateway-Routen einen Autorisierungstyp haben. Die Steuerung schlägt fehl, wenn die API-Gateway-Route keinen Autorisierungstyp hat. Optional können Sie einen benutzerdefinierten Parameterwert angeben, wenn das Steuerelement nur dann übergeben werden soll, wenn die Route den im authorizationType
Parameter angegebenen Autorisierungstyp verwendet.
API Gateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf Ihre API. Durch die Angabe eines Autorisierungstyps können Sie den Zugriff auf Ihre API auf autorisierte Benutzer oder Prozesse beschränken.
Abhilfe
Informationen zum Festlegen eines Autorisierungstyps für HTTP APIs finden Sie unter Steuern und Verwalten des Zugriffs auf eine HTTP-API in API Gateway im API Gateway Developer Guide. Informationen zum Festlegen eines Autorisierungstyps für WebSocket APIs finden Sie unter Steuern und Verwalten des Zugriffs auf eine WebSocket API in API Gateway im API Gateway Developer Guide.
[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2 Stages konfiguriert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::ApiGatewayV2::Stage
AWS Config Regel: api-gwv2-access-logs-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Steuerung prüft, ob die Amazon API Gateway V2-Stufen die Zugriffsprotokollierung konfiguriert haben. Diese Kontrolle schlägt fehl, wenn die Einstellungen für das Zugriffsprotokoll nicht definiert sind.
API Gateway Gateway-Zugriffsprotokolle enthalten detaillierte Informationen darüber, wer auf Ihre API zugegriffen hat und wie der Anrufer auf die API zugegriffen hat. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Aktivieren Sie diese Zugriffsprotokolle, um Verkehrsmuster zu analysieren und Probleme zu beheben.
Weitere bewährte Methoden finden Sie unter Monitoring REST APIs im API Gateway Developer Guide.
Abhilfe
Informationen zum Einrichten der Zugriffsprotokollierung finden Sie unter CloudWatch API-Protokollierung mithilfe der API-Gateway-Konsole einrichten im API Gateway Developer Guide.