Amazon API Gateway-Steuerelemente - AWS Security Hub
[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein[APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL[APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon API Gateway-Steuerelemente

Diese Kontrollen beziehen sich auf API Gateway-Ressourcen.

Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.

[APIGateway.1] API Gateway REST und WebSocket API Ausführungsprotokollierung sollten aktiviert sein

Verwandte Anforderungen: NIST .800-53.r5 AC-4 (26), .800-53.r5 AU-10, NIST .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), NIST .800-53.r5 CA-7, .800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Ressourcentyp:AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS Config -Regel: api-gw-execution-logging-enabled

Zeitplantyp: Änderung ausgelöst

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

loggingLevel

Protokollierungsstufe

Enum

ERROR, INFO

No default value

Diese Kontrolle prüft, ob alle Phasen eines Amazon API Gateway REST oder ob WebSocket API die Protokollierung aktiviert ist. Die Kontrolle schlägt fehl, wenn dies loggingLevel nicht der Fall ist ERROR oder INFO für alle Phasen vonAPI. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, um anzugeben, dass ein bestimmter Protokolltyp aktiviert werden soll, erzeugt Security Hub eine erfolgreiche Feststellung, wenn die Protokollierungsebene entweder ERROR oder istINFO.

APIFür das Gateway REST oder die WebSocket API Stufen sollten die entsprechenden Protokolle aktiviert sein. APIDie Gateway REST - und WebSocket API Ausführungsprotokollierung bietet detaillierte Aufzeichnungen über Anfragen an das API Gateway REST und die WebSocket API einzelnen Phasen. Zu den Phasen gehören API Integrations-Backend-Antworten, Lambda-Autorisierer-Antworten und die requestId For-Integrationsendpunkte. AWS

Abhilfe

Informationen zur Aktivierung von Protokollierung REST und WebSocket API Vorgängen finden Sie unter Einrichten der CloudWatch API Protokollierung mithilfe der API Gateway-Konsole im API Gateway Developer Guide.

[APIGateway.2] API REST API Gateway-Phasen sollten so konfiguriert werden, dass sie SSL Zertifikate für die Backend-Authentifizierung verwenden

Verwandte Anforderungen: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, NIST .800-53.r5 IA-5 (1), .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23, NIST .800-53.r5 SC-23 (3), NIST .800-53.r5 SC-7 (4), .800-53.r5 SC-7 (4) 5 SC-8, NIST .800-53,r5 SC-8 (1), NIST .800-53,r5 SC-8 (2), .800-53,r5 SI-7 (6) NIST NIST NIST NIST NIST

Kategorie: Schützen > Datenschutz > Verschlüsselung von data-in-transit

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config -Regel: api-gw-ssl-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob für Amazon API REST API Gateway-Stufen SSL Zertifikate konfiguriert sind. Backend-Systeme verwenden diese Zertifikate, um zu authentifizieren, dass eingehende Anfragen von Gateway stammenAPI.

APIRESTAPIGateway-Phasen sollten mit SSL Zertifikaten konfiguriert werden, damit Backend-Systeme authentifizieren können, dass Anfragen vom Gateway stammen. API

Abhilfe

Ausführliche Anweisungen zum Generieren und Konfigurieren von API REST API SSL Gateway-Zertifikaten finden Sie unter Generieren und Konfigurieren eines SSL Zertifikats für die Backend-Authentifizierung im APIGateway Developer Guide.

[APIGateway.3] Bei API REST API Gateway-Phasen sollte die AWS X-Ray Ablaufverfolgung aktiviert sein

Verwandte Anforderungen: NIST .800-53.r5 CA-7

Kategorie: Erkennung > Erkennungsservices

Schweregrad: Niedrig

Art der Ressource: AWS::ApiGateway::Stage

AWS Config -Regel: api-gw-xray-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob AWS X-Ray Active Tracing für Ihre Amazon API REST API Gateway-Phasen aktiviert ist.

Active Tracing mit X-Ray ermöglicht eine schnellere Reaktion auf Leistungsänderungen in der zugrunde liegenden Infrastruktur. Leistungsänderungen können zu einer mangelnden Verfügbarkeit von führen. API X-Ray Active Tracing bietet Echtzeit-Metriken zu Benutzeranfragen, die über Ihre API REST API Gateway-Operationen und verbundenen Dienste fließen.

Abhilfe

Detaillierte Anweisungen zur Aktivierung von X-Ray Active Tracing für API REST API Gateway-Operationen finden Sie unter Amazon API Gateway Active Tracing Support für AWS X-Ray im AWS X-Ray Developer Guide.

[APIGateway.4] API Gateway sollte mit einem Web verknüpft sein WAF ACL

Verwandte Anforderungen: NIST .800-53.r5 AC-4 (21)

Kategorie: Schützen > Schutzdienste

Schweregrad: Mittel

Art der Ressource: AWS::ApiGateway::Stage

AWS Config -Regel: api-gw-associated-with-waf

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob eine API Gateway-Stufe eine AWS WAF Web-Zugriffskontrollliste (ACL) verwendet. Dieses Steuerelement schlägt fehl, wenn kein AWS WAF Web an einen REST API Gateway-Stagingbereich angehängt ACL ist.

AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Damit können Sie einen Satz von Regeln konfigurierenACL, der Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulässt, blockiert oder zählt. Stellen Sie sicher, dass Ihre API Gateway-Stufe mit einem AWS WAF Web verknüpft istACL, um es vor böswilligen Angriffen zu schützen.

Abhilfe

Informationen dazu, wie Sie mithilfe der API Gateway-Konsole ein AWS WAF regionales Web ACL mit einer vorhandenen API API Gateway-Stufe verknüpfen können, finden Sie unter Verwenden, AWS WAF um Ihr System zu schützen APIs im APIGateway Developer Guide.

[APIGateway.5] API REST API Gateway-Cache-Daten sollten im Ruhezustand verschlüsselt werden

Verwandte Anforderungen: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), .800-53.r5 SI-7 (6) NIST NIST NIST NIST

Kategorie: Schutz > Datenschutz > Verschlüsselung von Daten im Ruhezustand

Schweregrad: Mittel

Ressourcentyp: AWS::ApiGateway::Stage

AWS Config Regel: api-gw-cache-encrypted (benutzerdefinierte Security Hub Hub-Regel)

Zeitplantyp: Änderung wurde ausgelöst

Parameter: Keine

Dieses Steuerelement prüft, ob alle Methoden in API REST API Gateway-Stufen, für die der Cache aktiviert ist, verschlüsselt sind. Das Steuerelement schlägt fehl, wenn eine Methode in einer API REST API Gateway-Stufe für den Cache konfiguriert ist und der Cache nicht verschlüsselt ist. Security Hub bewertet die Verschlüsselung einer bestimmten Methode nur, wenn das Caching für diese Methode aktiviert ist.

Durch die Verschlüsselung von Daten im Ruhezustand wird das Risiko verringert, dass auf Daten, die auf der Festplatte gespeichert sind, von einem Benutzer zugegriffen wird, für den kein Benutzer authentifiziert ist. AWS Es fügt weitere Zugriffskontrollen hinzu, um den Zugriff unberechtigter Benutzer auf die Daten einzuschränken. Beispielsweise sind API Berechtigungen erforderlich, um die Daten zu entschlüsseln, bevor sie gelesen werden können.

APIRESTAPIGateway-Caches sollten im Ruhezustand verschlüsselt werden, um eine zusätzliche Sicherheitsebene zu gewährleisten.

Abhilfe

Informationen zur Konfiguration des API Caching für eine Phase finden Sie unter Amazon API Gateway-Caching aktivieren im APIGateway Developer Guide. Wählen Sie in den Cache-Einstellungen die Option Cache-Daten verschlüsseln.

[APIGateway.8] API Gateway-Routen sollten einen Autorisierungstyp angeben

Verwandte Anforderungen: NIST .800-53.r5 AC-3, .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST

Kategorie: Schützen > Sicheres Zugriffsmanagement

Schweregrad: Mittel

Art der Ressource: AWS::ApiGatewayV2::Route

AWS Config Regel: api-gwv2-authorization-type-configured

Art des Zeitplans: Periodisch

Parameter:

Parameter Beschreibung Typ Zulässige benutzerdefinierte Werte Security Hub Hub-Standardwert

authorizationType

Autorisierungstyp der API Routen

Enum

AWS_IAM, CUSTOM, JWT

Kein Standardwert

Diese Kontrolle prüft, ob Amazon API Gateway-Routen einen Autorisierungstyp haben. Die Kontrolle schlägt fehl, wenn die API Gateway-Route keinen Autorisierungstyp hat. Optional können Sie einen benutzerdefinierten Parameterwert angeben, wenn das Steuerelement nur dann erfolgreich sein soll, wenn die Route den im authorizationType Parameter angegebenen Autorisierungstyp verwendet.

APIGateway unterstützt mehrere Mechanismen zur Steuerung und Verwaltung des Zugriffs auf IhrenAPI. Durch die Angabe eines Autorisierungstyps können Sie den Zugriff auf Ihren API Computer auf autorisierte Benutzer oder Prozesse beschränken.

Abhilfe

Informationen zum Festlegen eines Autorisierungstyps für HTTP APIs finden Sie unter Steuern und Verwalten des Zugriffs auf ein API In-Gateway HTTP API im API Gateway Developer Guide. Informationen zum Festlegen eines Autorisierungstyps für WebSocket APIs finden Sie unter Steuern und Verwalten des Zugriffs auf ein WebSocket API in API Gateway im APIGateway Developer Guide.

[APIGateway.9] Die Zugriffsprotokollierung sollte für API Gateway V2-Stufen konfiguriert werden

Verwandte Anforderungen: NIST .800-53.r5 AC-4 (26), .800-53.r5 AU-10, NIST .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), NIST .800-53.r5 CA-7, .800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST

Kategorie: Identifizieren > Protokollierung

Schweregrad: Mittel

Art der Ressource: AWS::ApiGatewayV2::Stage

AWS Config Regel: api-gwv2-access-logs-enabled

Art des Zeitplans: Änderung wurde ausgelöst

Parameter: Keine

Diese Steuerung prüft, ob die Amazon API Gateway V2-Stufen die Zugriffsprotokollierung konfiguriert haben. Diese Kontrolle schlägt fehl, wenn die Einstellungen für das Zugriffsprotokoll nicht definiert sind.

APIGateway-Zugriffsprotokolle enthalten detaillierte Informationen darüber, wer auf Ihre zugegriffen hat API und wie der Anrufer auf die API zugegriffen hat. Diese Protokolle sind für Anwendungen wie Sicherheits- und Zugriffsprüfungen sowie forensische Untersuchungen nützlich. Aktivieren Sie diese Zugriffsprotokolle, um Verkehrsmuster zu analysieren und Probleme zu beheben.

Weitere bewährte Methoden finden Sie unter Monitoring REST APIs im APIGateway Developer Guide.

Abhilfe

Informationen zum Einrichten der Zugriffsprotokollierung finden Sie unter Einrichten der CloudWatch API Protokollierung mithilfe der API Gateway-Konsole im APIGateway Developer Guide.