Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub-Steuerungen für AWS WAF
Diese AWS Security Hub Kontrollen bewerten den AWS WAF Service und die Ressourcen.
Diese Steuerelemente sind möglicherweise nicht in allen verfügbar AWS-Regionen. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[WAF.1] Die AWS WAF klassische globale Web-ACL-Protokollierung sollte aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::WAF::WebACL
AWS Config -Regel: waf-classic-logging-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob die Protokollierung für eine AWS WAF globale Web-ACL aktiviert ist. Dieses Steuerelement schlägt fehl, wenn die Protokollierung für die Web-ACL nicht aktiviert ist.
Die Protokollierung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von AWS WAF Global. Sie ist in vielen Unternehmen eine Geschäfts- und Compliance-Anforderung und ermöglicht es Ihnen, Fehler beim Verhalten von Anwendungen zu beheben. Es enthält auch detaillierte Informationen über den Datenverkehr, der von der angehängten Web-ACL analysiert wird AWS WAF.
Abhilfe
Informationen zum Aktivieren der Protokollierung für eine AWS WAF Web-ACL finden Sie unter Logging Web-ACL-Verkehrsinformationen im AWS WAF Developer Guide.
[WAF.2] AWS WAF Klassische Regionalregeln sollten mindestens eine Bedingung haben
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFRegional::Rule
AWS Config -Regel: waf-regional-rule-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine AWS WAF Regionalregel mindestens eine Bedingung hat. Die Steuerung schlägt fehl, wenn in einer Regel keine Bedingungen erfüllt sind.
Eine regionale WAF-Regel kann mehrere Bedingungen enthalten. Die Bedingungen der Regel ermöglichen die Überprüfung des Verkehrs und das Ergreifen einer definierten Aktion (Zulassen, Blockieren oder Zählen). Ohne jegliche Bedingungen wird der Verkehr ohne Inspektion weitergeleitet. Eine WAF-Regionalregel ohne Bedingungen, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Informationen zum Hinzufügen einer Bedingung zu einer leeren Regel finden Sie unter Hinzufügen und Entfernen von Bedingungen in einer Regel im AWS WAF Entwicklerhandbuch.
[WAF.3] AWS WAF Klassische regionale Regelgruppen sollten mindestens eine Regel haben
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFRegional::RuleGroup
AWS Config -Regel: waf-regional-rulegroup-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine AWS WAF regionale Regelgruppe mindestens eine Regel hat. Die Steuerung schlägt fehl, wenn in einer Regelgruppe keine Regeln vorhanden sind.
Eine regionale WAF-Regelgruppe kann mehrere Regeln enthalten. Die Bedingungen der Regel ermöglichen die Überprüfung des Datenverkehrs und das Ergreifen einer definierten Aktion (Zulassen, Blockieren oder Zählen). Ohne Regeln passiert der Verkehr ohne Inspektion. Eine regionale WAF-Regelgruppe ohne Regeln, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Informationen zum Hinzufügen von Regeln und Regelbedingungen zu einer leeren Regelgruppe finden Sie unter Hinzufügen und Löschen von Regeln aus einer AWS WAF klassischen Regelgruppe und Hinzufügen und Entfernen von Bedingungen in einer Regel im AWS WAF Entwicklerhandbuch.
[WAF.4] AWS WAF Classic Regional Web ACLs sollte mindestens eine Regel oder Regelgruppe enthalten
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFRegional::WebACL
AWS Config -Regel: waf-regional-webacl-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine AWS WAF Classic Regional Web-ACL WAF-Regeln oder WAF-Regelgruppen enthält. Dieses Steuerelement schlägt fehl, wenn eine Web-ACL keine WAF-Regeln oder Regelgruppen enthält.
Eine regionale WAF-Web-ACL kann eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen prüfen und kontrollieren. Wenn eine Web-ACL leer ist, kann der Web-Traffic je nach Standardaktion weitergeleitet werden, ohne von der WAF erkannt oder bearbeitet zu werden.
Abhilfe
Informationen zum Hinzufügen von Regeln oder Regelgruppen zu einer leeren AWS WAF Classic Regional Web-ACL finden Sie unter Bearbeiten einer Web-ACL im AWS WAF Entwicklerhandbuch.
[WAF.6] AWS WAF Klassische globale Regeln sollten mindestens eine Bedingung haben
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAF::Rule
AWS Config -Regel: waf-global-rule-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine AWS WAF globale Regel Bedingungen enthält. Das Steuerelement schlägt fehl, wenn in einer Regel keine Bedingungen erfüllt sind.
Eine globale WAF-Regel kann mehrere Bedingungen enthalten. Die Bedingungen einer Regel ermöglichen die Überprüfung des Datenverkehrs und die Durchführung einer definierten Aktion (Zulassen, Blockieren oder Zählen). Ohne jegliche Bedingungen wird der Verkehr ohne Inspektion weitergeleitet. Eine globale WAF-Regel ohne Bedingungen, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Anweisungen zum Erstellen einer Regel und zum Hinzufügen von Bedingungen finden Sie unter Regel erstellen und Bedingungen hinzufügen im AWS WAF Entwicklerhandbuch.
[WAF.7] AWS WAF Klassische globale Regelgruppen sollten mindestens eine Regel haben
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAF::RuleGroup
AWS Config -Regel: waf-global-rulegroup-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine AWS WAF globale Regelgruppe mindestens eine Regel hat. Das Steuerelement schlägt fehl, wenn innerhalb einer Regelgruppe keine Regeln vorhanden sind.
Eine globale WAF-Regelgruppe kann mehrere Regeln enthalten. Die Bedingungen der Regel ermöglichen die Überprüfung des Datenverkehrs und das Ergreifen einer definierten Aktion (Zulassen, Blockieren oder Zählen). Ohne Regeln passiert der Verkehr ohne Inspektion. Eine globale WAF-Regelgruppe ohne Regeln, aber mit einem Namen oder Tag, der auf Zulassen, Blockieren oder Zählen hindeutet, könnte zu der falschen Annahme führen, dass eine dieser Aktionen stattfindet.
Abhilfe
Anweisungen zum Hinzufügen einer Regel zu einer Regelgruppe finden Sie unter Creating an AWS WAF Classic Rule Group im AWS WAF Developer Guide.
[WAF.8] Das AWS WAF klassische globale Web ACLs sollte mindestens eine Regel oder Regelgruppe haben
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAF::WebACL
AWS Config -Regel: waf-global-webacl-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine AWS WAF globale Web-ACL mindestens eine WAF-Regel oder WAF-Regelgruppe enthält. Die Steuerung schlägt fehl, wenn eine Web-ACL keine WAF-Regeln oder Regelgruppen enthält.
Eine globale WAF-Web-ACL kann eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen prüfen und kontrollieren. Wenn eine Web-ACL leer ist, kann der Web-Traffic je nach Standardaktion weitergeleitet werden, ohne von der WAF erkannt oder bearbeitet zu werden.
Abhilfe
Informationen zum Hinzufügen von Regeln oder Regelgruppen zu einer leeren AWS WAF globalen Web-ACL finden Sie unter Bearbeiten einer Web-ACL im AWS WAF Entwicklerhandbuch. Wählen Sie für Filter die Option Global (CloudFront).
[WAF.10] AWS WAF web ACLs sollte mindestens eine Regel oder Regelgruppe haben
Verwandte Anforderungen: NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
Kategorie: Schutz > Sichere Netzwerkkonfiguration
Schweregrad: Mittel
Art der Ressource: AWS::WAFv2::WebACL
AWS Config -Regel: wafv2-webacl-not-empty
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob eine AWS WAF V2-Web-Zugriffskontrollliste (Web-ACL) mindestens eine Regel oder Regelgruppe enthält. Die Steuerung schlägt fehl, wenn eine Web-ACL keine Regeln oder Regelgruppen enthält.
Mit einer Web-ACL haben Sie eine genaue Kontrolle über alle HTTP (S) -Webanfragen, auf die Ihre geschützte Ressource reagiert. Eine Web-ACL sollte eine Sammlung von Regeln und Regelgruppen enthalten, die Webanfragen prüfen und kontrollieren. Wenn eine Web-ACL leer ist, kann der Web-Traffic AWS WAF je nach Standardaktion weitergeleitet werden, ohne dass er erkannt oder bearbeitet wird.
Abhilfe
Informationen zum Hinzufügen von Regeln oder Regelgruppen zu einer leeren WAFV2 Web-ACL finden Sie unter Bearbeiten einer Web-ACL im AWS WAF Entwicklerhandbuch.
[WAF.11] Die AWS WAF Web-ACL-Protokollierung sollte aktiviert sein
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), (10), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
Kategorie: Identifizieren > Protokollierung
Schweregrad: Niedrig
Art der Ressource: AWS::WAFv2::WebACL
AWS Config Regel: wafv2-logging-enabled
Art des Zeitplans: Periodisch
Parameter: Keine
Dieses Steuerelement prüft, ob die Protokollierung für eine AWS WAF V2-Webzugriffskontrollliste (Web-ACL) aktiviert ist. Diese Kontrolle schlägt fehl, wenn die Protokollierung für die Web-ACL deaktiviert ist.
Anmerkung
Dieses Steuerelement überprüft nicht, ob die AWS WAF Web-ACL-Protokollierung für ein Konto über Amazon Security Lake aktiviert ist.
Die Protokollierung gewährleistet die Zuverlässigkeit, Verfügbarkeit und Leistung von AWS WAF. Darüber hinaus ist die Protokollierung in vielen Organisationen eine Geschäfts- und Compliance-Anforderung. Durch die Protokollierung des Datenverkehrs, der von Ihrer Web-ACL analysiert wird, können Sie Fehler beim Verhalten von Anwendungen beheben.
Abhilfe
Informationen zur Aktivierung der Protokollierung für eine AWS WAF Web-ACL finden Sie unter Verwaltung der Protokollierung für eine Web-ACL im AWS WAF Entwicklerhandbuch.
Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch
Verwandte Anforderungen: NIST.800-53.r5 AC-4 (26), (10) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-7 (8)
Kategorie: Identifizieren > Protokollierung
Schweregrad: Mittel
Art der Ressource: AWS::WAFv2::RuleGroup
AWS Config Regel: wafv2-rulegroup-logging-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für eine AWS WAF Regel oder Regelgruppe CloudWatch Amazon-Metriken aktiviert sind. Die Kontrolle schlägt fehl, wenn für die Regel oder Regelgruppe keine CloudWatch Metriken aktiviert sind.
Durch die Konfiguration von CloudWatch Metriken AWS WAF für Regeln und Regelgruppen erhalten Sie Einblick in den Verkehrsfluss. Sie können sehen, welche ACL-Regeln ausgelöst werden und welche Anfragen akzeptiert und blockiert werden. Diese Sichtbarkeit kann Ihnen helfen, böswillige Aktivitäten auf Ihren verknüpften Ressourcen zu erkennen.
Abhilfe
Rufen Sie die UpdateRuleGroupAPI auf, um CloudWatch Metriken für eine AWS WAF Regelgruppe zu aktivieren. Rufen Sie die UpdateWebACL-API auf, um CloudWatch Metriken für eine AWS WAF Regel zu aktivieren. Stellen Sie das CloudWatchMetricsEnabled Feld auf ein. true Wenn Sie die AWS WAF Konsole verwenden, um Regeln oder Regelgruppen zu erstellen, werden CloudWatch Metriken automatisch aktiviert.
