Contrôles Amazon API Gateway - AWS Security Hub
[APIGateway.1] API Gateway REST et la journalisation de l'exécution de l' WebSocket API doivent être activées[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend[APIGateway.3] Le suivi des étapes de l'API REST d'API Gateway doit être activé AWS X-Ray[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Amazon API Gateway

Ces contrôles sont liés aux ressources d'API Gateway.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[APIGateway.1] API Gateway REST et la journalisation de l'exécution de l' WebSocket API doivent être activées

Exigences connexes : NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2, Nist.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NiST.800-53.R5 .800-53.R5 SC-7 (9), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource :AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

Règle AWS Config  : api-gw-execution-logging-enabled

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

loggingLevel

Logging level (Niveau de journalisation)

Enum

ERROR, INFO

No default value

Ce contrôle vérifie si la journalisation est activée à toutes les étapes d'un REST ou WebSocket d'une API Amazon API Gateway. Le contrôle échoue si loggingLevel ce n'est pas le cas ERROR ou INFO pour toutes les étapes de l'API. À moins que vous ne fournissiez des valeurs de paramètres personnalisées pour indiquer qu'un type de journal spécifique doit être activé, Security Hub produit un résultat positif si le niveau de journalisation est l'un ERROR ou l'autreINFO.

Les logs pertinents doivent être activés dans les stages WebSocket REST ou API Gateway. Le protocole REST d' WebSocket API Gateway et la journalisation de l'exécution des API fournissent des enregistrements détaillés des demandes adressées aux étapes WebSocket REST et API Gateway. Les étapes incluent les réponses du backend d'intégration des API, les réponses de l'autorisateur Lambda et les points de terminaison pour requestId l' AWS intégration.

Correction

Pour activer la journalisation pour les opérations WebSocket REST et API, consultez la section Configurer la journalisation des CloudWatch API à l'aide de la console API Gateway dans le guide du développeur d'API Gateway.

[APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend

Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ApiGateway::Stage

Règle AWS Config  : api-gw-ssl-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des certificats SSL sont configurés sur les stages de l'API REST Amazon API Gateway. Les systèmes principaux utilisent ces certificats pour vérifier que les demandes entrantes proviennent d'API Gateway.

Les étapes de l'API REST d'API Gateway doivent être configurées avec des certificats SSL pour permettre aux systèmes principaux d'authentifier que les demandes proviennent d'API Gateway.

Correction

Pour obtenir des instructions détaillées sur la façon de générer et de configurer les certificats SSL de l'API REST d'API Gateway, consultez la section Générer et configurer un certificat SSL pour l'authentification du backend dans le guide du développeur d'API Gateway.

[APIGateway.3] Le suivi des étapes de l'API REST d'API Gateway doit être activé AWS X-Ray

Exigences connexes : NIST.800-53.R5 CA-7

Catégorie : Détecter - Services de détection

Gravité : Faible

Type de ressource : AWS::ApiGateway::Stage

Règle AWS Config  : api-gw-xray-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le suivi AWS X-Ray actif est activé pour vos étapes d'API REST Amazon API Gateway.

Le traçage actif X-Ray permet de réagir plus rapidement aux changements de performances de l'infrastructure sous-jacente. Les modifications des performances peuvent entraîner un manque de disponibilité de l'API. Le suivi actif de X-Ray fournit des mesures en temps réel des demandes des utilisateurs qui transitent par le biais des opérations de l'API REST API Gateway et des services connectés.

Correction

Pour obtenir des instructions détaillées sur la façon d'activer le suivi actif X-Ray pour les opérations de l'API REST d'API Gateway, consultez le support du suivi actif d'Amazon API Gateway AWS X-Ray dans le manuel du AWS X-Ray développeur.

[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF

Exigences connexes : NIST.800-53.R5 AC-4 (21)

Catégorie : Protéger > Services de protection

Gravité : Moyenne

Type de ressource : AWS::ApiGateway::Stage

Règle AWS Config  : api-gw-associated-with-waf

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un stage d'API Gateway utilise une liste de contrôle d'accès AWS WAF Web (ACL). Ce contrôle échoue si aucune ACL AWS WAF Web n'est attachée à un stage REST API Gateway.

AWS WAF est un pare-feu d'applications Web qui aide à protéger les applications Web et les API contre les attaques. Il vous permet de configurer une ACL, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage API Gateway est associé à une ACL AWS WAF Web afin de le protéger contre les attaques malveillantes.

Correction

Pour plus d'informations sur l'utilisation de la console API Gateway pour associer une ACL Web AWS WAF régionale à un stage d'API API Gateway existant, consultez la section Utiliser AWS WAF pour protéger vos API dans le guide du développeur d'API Gateway.

[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos

Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données au repos

Gravité : Moyenne

Type de ressource : AWS::ApiGateway::Stage

AWS Config règle : api-gw-cache-encrypted (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si toutes les méthodes des stages d'API REST d'API Gateway dont le cache est activé sont cryptées. Le contrôle échoue si l'une des méthodes d'un stage d'API REST d'API Gateway est configurée pour le cache et que le cache n'est pas crypté. Security Hub évalue le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode.

Le chiffrement des données au repos réduit le risque qu'un utilisateur non authentifié accède aux données stockées sur disque. AWS Il ajoute un autre ensemble de contrôles d'accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, les autorisations d'API sont nécessaires pour déchiffrer les données avant qu'elles puissent être lues.

Les caches d'API REST d'API Gateway doivent être chiffrés au repos pour renforcer la sécurité.

Correction

Pour configurer la mise en cache d'API pour une étape, consultez la section Activer la mise en cache d'Amazon API Gateway dans le guide du développeur d'API Gateway. Dans Paramètres du cache, choisissez Chiffrer les données du cache.

[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation

Exigences connexes : NIST.800-53.R5 AC-3, NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Catégorie : Protéger > Gestion des accès sécurisés

Gravité : Moyenne

Type de ressource : AWS::ApiGatewayV2::Route

AWS Config règle : api-gwv2-authorization-type-configured

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

authorizationType

Type d'autorisation des routes d'API

Enum

AWS_IAM, CUSTOM, JWT

Aucune valeur par défaut

Ce contrôle vérifie si les routes Amazon API Gateway possèdent un type d'autorisation. Le contrôle échoue si la route API Gateway ne possède aucun type d'autorisation. Vous pouvez éventuellement fournir une valeur de paramètre personnalisée si vous souhaitez que le contrôle soit transmis uniquement si l'itinéraire utilise le type d'autorisation spécifié dans le authorizationType paramètre.

API Gateway prend en charge plusieurs mécanismes pour contrôler et gérer l'accès à votre API. En spécifiant un type d'autorisation, vous pouvez restreindre l'accès à votre API aux seuls utilisateurs ou processus autorisés.

Correction

Pour définir un type d'autorisation pour les API HTTP, consultez la section Contrôle et gestion de l'accès à une API HTTP dans API Gateway dans le guide du développeur d'API Gateway. Pour définir un type d'autorisation pour les WebSocket API, consultez la section Contrôle et gestion de l'accès à une WebSocket API dans API Gateway dans le guide du développeur d'API Gateway.

[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

Exigences connexes : NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2, Nist.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NiST.800-53.R5 .800-53.R5 SC-7 (9), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::ApiGatewayV2::Stage

AWS Config règle : api-gwv2-access-logs-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la journalisation des accès est configurée pour les stages Amazon API Gateway V2. Ce contrôle échoue si les paramètres du journal d'accès ne sont pas définis.

Les journaux d'accès à API Gateway fournissent des informations détaillées sur les personnes qui ont accédé à votre API et sur la manière dont l'appelant a accédé à l'API. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Activez ces journaux d'accès pour analyser les modèles de trafic et résoudre les problèmes.

Pour connaître les meilleures pratiques supplémentaires, consultez la section Surveillance des API REST dans le guide du développeur d'API Gateway.

Correction

Pour configurer la journalisation des accès, consultez la section Configurer la journalisation des CloudWatch API à l'aide de la console API Gateway dans le guide du développeur d'API Gateway.