Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für AWS WAF
Diese AWS Security Hub Kontrollen bewerten die AWS WAF Service und Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unterVerfügbarkeit von Kontrollen nach Regionen.
[WAF.1] AWS WAF Die klassische globale ACL Webprotokollierung sollte aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::WAF::WebACL
AWS Config Regel: waf-classic-logging-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob die Protokollierung für ein aktiviert ist AWS WAF globales WebACL. Dieses Steuerelement schlägt fehl, wenn die Protokollierung für das Web nicht aktiviert istACL.
Die Protokollierung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von AWS WAF weltweit. Dies ist in vielen Unternehmen eine Geschäfts- und Compliance-Anforderung und ermöglicht es Ihnen, Fehler beim Verhalten von Anwendungen zu beheben. Es bietet auch detaillierte Informationen über den Datenverkehr, der von dem ACL angehängten Web analysiert wird AWS WAF.
Abhilfe
Um die Protokollierung für ein zu aktivieren AWS WAF web ACL finden Sie unter Protokollieren von ACL Web-Traffic-Informationen im AWS WAF Leitfaden für Entwickler.
[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung enthalten
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFRegional::Rule
AWS Config Regel: waf-regional-rule-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Eine regionale Regel hat mindestens eine Bedingung. Die Kontrolle schlägt fehl, wenn in einer Regel keine Bedingungen erfüllt sind.
Eine WAF regionale Regel kann mehrere Bedingungen enthalten. Die Bedingungen der Regel ermöglichen eine Verkehrsinspektion und das Ergreifen einer definierten Aktion (Zulassen, Blockieren oder Zählen). Wenn keine Bedingungen erfüllt sind, wird der Verkehr ohne Inspektion weitergeleitet. Eine WAF regionale Regel ohne Bedingungen, aber mit einem Namen oder einer Markierung, die auf Zulassen, Sperren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Informationen zum Hinzufügen einer Bedingung zu einer leeren Regel finden Sie unter Hinzufügen und Entfernen von Bedingungen in einer Regel in der AWS WAF Leitfaden für Entwickler.
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFRegional::RuleGroup
AWS Config Regel: waf-regional-rulegroup-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Eine regionale Regelgruppe hat mindestens eine Regel. Die Steuerung schlägt fehl, wenn in einer Regelgruppe keine Regeln vorhanden sind.
Eine WAF regionale Regelgruppe kann mehrere Regeln enthalten. Die Bedingungen der Regel ermöglichen es, den Verkehr zu überprüfen und eine definierte Aktion auszuführen (zulassen, blockieren oder zählen). Ohne Regeln passiert der Verkehr ohne Inspektion. Eine WAF regionale Regelgruppe ohne Regeln, aber mit einem Namen oder Tag, der auf Zulassen, Sperren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Informationen zum Hinzufügen von Regeln und Regelbedingungen zu einer leeren Regelgruppe finden Sie unter Regeln hinzufügen und aus einer AWS WAF Klassische Regelgruppe und Hinzufügen und Entfernen von Bedingungen in einer Regel in der AWS WAF Leitfaden für Entwickler.
[WAF.4] AWS WAF Das klassische regionale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFRegional::WebACL
AWS Config Regel: waf-regional-webacl-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Classic Regional Web ACL enthält irgendwelche WAF Regeln oder WAF Regelgruppen. Dieses Steuerelement schlägt fehl, wenn ein Web ACL keine WAF Regeln oder Regelgruppen enthält.
Ein WAF regionales Web ACL kann eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen untersuchen und kontrollieren. Wenn ein Web leer ACL ist, kann der Web-Traffic WAF je nach Standardaktion weitergeleitet werden, ohne dass er erkannt oder bearbeitet wird.
Abhilfe
Um Regeln oder Regelgruppen zu einer leeren Datei hinzuzufügen AWS WAF Klassisches regionales WebACL, siehe Bearbeiten einer Website ACL im AWS WAF Entwicklerhandbuch.
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAF::Rule
AWS Config Regel: waf-global-rule-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Die globale Regel enthält beliebige Bedingungen. Die Steuerung schlägt fehl, wenn in einer Regel keine Bedingungen erfüllt sind.
Eine WAF globale Regel kann mehrere Bedingungen enthalten. Die Bedingungen einer Regel ermöglichen es, den Verkehr zu überprüfen und eine definierte Aktion auszuführen (zulassen, blockieren oder zählen). Ohne jegliche Bedingungen wird der Verkehr ohne Inspektion weitergeleitet. Eine WAF globale Regel ohne Bedingungen, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Anweisungen zum Erstellen einer Regel und zum Hinzufügen von Bedingungen finden Sie unter Regel erstellen und Bedingungen hinzufügen im AWS WAF Leitfaden für Entwickler.
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAF::RuleGroup
AWS Config Regel: waf-global-rulegroup-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Eine globale Regelgruppe hat mindestens eine Regel. Die Steuerung schlägt fehl, wenn in einer Regelgruppe keine Regeln vorhanden sind.
Eine WAF globale Regelgruppe kann mehrere Regeln enthalten. Die Bedingungen der Regel ermöglichen die Überprüfung des Datenverkehrs und das Ergreifen einer definierten Aktion (Zulassen, Blockieren oder Zählen). Ohne Regeln passiert der Verkehr ohne Inspektion. Eine WAF globale Regelgruppe ohne Regeln, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Anweisungen zum Hinzufügen einer Regel zu einer Regelgruppe finden Sie unter Erstellen eines AWS WAF Klassische Regelgruppe in der AWS WAF Leitfaden für Entwickler.
[WAF.8] AWS WAF Das klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAF::WebACL
AWS Config Regel: waf-global-webacl-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Das globale Web ACL enthält mindestens eine WAF Regel oder WAF Regelgruppe. Die Steuerung schlägt fehl, wenn ein Web ACL keine WAF Regeln oder Regelgruppen enthält.
Ein WAF globales Web ACL kann eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen untersuchen und kontrollieren. Wenn ein Web leer ACL ist, kann der Web-Traffic WAF je nach Standardaktion weitergeleitet werden, ohne dass er erkannt oder bearbeitet wird.
Abhilfe
Um Regeln oder Regelgruppen zu einer leeren Datei hinzuzufügen AWS WAF globales Web ACL finden Sie unter Bearbeiten eines ACL Webs im AWS WAF Leitfaden für Entwickler. Wählen Sie für Filter Global (CloudFront).
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFv2::WebACL
AWS Config Regel: wafv2-webacl-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Die V2-Web-Zugriffskontrollliste (WebACL) enthält mindestens eine Regel oder Regelgruppe. Die Steuerung schlägt fehl, wenn ein Web ACL keine Regeln oder Regelgruppen enthält.
Ein Web ACL bietet Ihnen eine detaillierte Kontrolle über alle HTTP (S) -Webanfragen, auf die Ihre geschützte Ressource reagiert. Ein Web ACL sollte eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen untersuchen und kontrollieren. Wenn ein Web leer ACL ist, kann der Web-Traffic weitergeleitet werden, ohne dass er erkannt oder bearbeitet wird AWS WAF abhängig von der Standardaktion.
Abhilfe
Informationen zum Hinzufügen von Regeln oder Regelgruppen zu einer leeren WAFV2 Website ACL finden Sie unter Web bearbeiten ACL in der AWS WAF Entwicklerhandbuch.
[WAF.11] AWS WAF Die ACL Webprotokollierung sollte aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Niedrig
Art der Ressource: AWS::WAFv2::WebACL
AWS Config Regel: wafv2-logging-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob die Protokollierung für ein aktiviert ist AWS WAF V2-Web-Zugriffskontrollliste (WebACL). Diese Steuerung schlägt fehl, wenn die Protokollierung für das Web ACL deaktiviert ist.
Anmerkung
Dieses Steuerelement prüft nicht, ob AWS WAF Die ACL Webprotokollierung ist für ein Konto über Amazon Security Lake aktiviert.
Die Protokollierung gewährleistet die Zuverlässigkeit, Verfügbarkeit und Leistung von AWS WAF. Darüber hinaus ist die Protokollierung in vielen Organisationen eine Geschäfts- und Compliance-Anforderung. Indem Sie den Datenverkehr protokollieren, der von Ihrem Web analysiert wirdACL, können Sie Fehler beim Verhalten von Anwendungen beheben.
Abhilfe
Um die Protokollierung für ein zu aktivieren AWS WAF Web ACL finden Sie unter Verwaltung der Protokollierung für ein Web ACL im AWS WAF Leitfaden für Entwickler.
[WAF1.2] AWS WAF Für Regeln sollten CloudWatch Metriken aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::WAFv2::RuleGroup
AWS Config Regel: wafv2-rulegroup-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein AWS WAF Für Regel oder Regelgruppe sind CloudWatch Amazon-Metriken aktiviert. Die Steuerung schlägt fehl, wenn für die Regel oder Regelgruppe keine CloudWatch Metriken aktiviert sind.
CloudWatch Metriken konfigurieren für AWS WAF Regeln und Regelgruppen bieten Einblick in den Verkehrsfluss. Sie können sehen, welche ACL Regeln ausgelöst werden und welche Anfragen akzeptiert und blockiert werden. Diese Sichtbarkeit kann Ihnen helfen, böswillige Aktivitäten auf Ihren verknüpften Ressourcen zu erkennen.
Abhilfe
Um CloudWatch Metriken auf einem zu aktivieren AWS WAF Regelgruppe, rufen Sie die auf UpdateRuleGroupAPI. Um CloudWatch Metriken auf einem zu aktivieren AWS WAF Regel, rufen Sie die auf UpdateWebACLAPI. Stellen Sie das CloudWatchMetricsEnabled
Feld auf ein. true
Wenn Sie das verwenden AWS WAF Konsole zum Erstellen von Regeln oder Regelgruppen, CloudWatch Metriken werden automatisch aktiviert.