Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol Amazon API Gateway
Kontrol ini terkait dengan sumber daya API Gateway.
Kontrol ini mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[APIGateway.1] API Gateway REST dan logging WebSocket API eksekusi harus diaktifkan
Persyaratan terkait: NIST .800-53.r5 AC-4 (26), .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), .800-53.r5 CA-7, NIST .800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya:AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage
AWS Config aturan: api-gw-execution-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Tingkat pencatatan log |
Enum |
|
|
Kontrol ini memeriksa apakah semua tahapan Amazon API Gateway REST atau WebSocket API telah mengaktifkan logging. Kontrol gagal jika loggingLevel tidak ERROR atau INFO untuk semua tahapAPI. Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub akan menghasilkan temuan yang diteruskan jika tingkat logging adalah salah satu ERROR atauINFO.
APIGateway REST atau WebSocket API tahapan harus mengaktifkan log yang relevan. APIGateway REST dan pencatatan WebSocket API eksekusi menyediakan catatan rinci permintaan yang dibuat ke API Gateway REST dan WebSocket API tahapan. Tahapannya meliputi tanggapan backend API integrasi, respons otorisasi Lambda, dan titik akhir untuk integrasi. requestId AWS
Remediasi
Untuk mengaktifkan pencatatan REST dan WebSocket API operasi, lihat Mengatur CloudWatch API logging menggunakan konsol API Gateway di Panduan Pengembang API Gateway.
[APIGateway.2] REST API Tahapan API gateway harus dikonfigurasi untuk menggunakan SSL sertifikat untuk otentikasi backend
Persyaratan terkait: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, .800-53.r5 IA-5 (1), NIST .800-53.r5 SC-12 (3), .800-53.r5 SC-13, .800-53.r5 SC-23, NIST .800-53.r5 SC-23 (3), .800-53.r5 00-53.r5 SC-7 (4), NIST .800-53.r5 SC-8, .800-53.r5 SC-8 (1), .800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6) NIST NIST NIST NIST NIST NIST NIST
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Config aturan: api-gw-ssl-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah REST API tahapan Amazon API Gateway memiliki SSL sertifikat yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari Gateway. API
APIRESTAPITahap gateway harus dikonfigurasi dengan SSL sertifikat untuk memungkinkan sistem backend mengautentikasi bahwa permintaan berasal dari Gateway. API
Remediasi
Untuk petunjuk mendetail tentang cara membuat dan mengonfigurasi REST API SSL sertifikat API Gateway, lihat Menghasilkan dan mengonfigurasi SSL sertifikat untuk autentikasi backend di Panduan Pengembang APIGateway.
[APIGateway.3] REST API Tahapan API gateway harus mengaktifkan AWS X-Ray penelusuran
Persyaratan terkait: NIST .800-53.r5 CA-7
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Config aturan: api-gw-xray-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah penelusuran AWS X-Ray aktif diaktifkan untuk REST API tahapan Amazon API Gateway Anda.
X-Ray active tracing memungkinkan respons yang lebih cepat terhadap perubahan kinerja pada infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaanAPI. X-Ray active tracing menyediakan metrik real-time dari permintaan pengguna yang mengalir melalui REST API operasi API Gateway dan layanan yang terhubung.
Remediasi
Untuk petunjuk terperinci tentang cara mengaktifkan penelusuran aktif X-Ray untuk REST API operasi API Gateway, lihat dukungan penelusuran aktif Amazon API Gateway AWS X-Ray di Panduan AWS X-Ray Pengembang.
[APIGateway.4] API Gateway harus dikaitkan dengan Web WAF ACL
Persyaratan terkait: NIST .800-53.r5 AC-4 (21)
Kategori: Lindungi > Layanan pelindung
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Config aturan: api-gw-associated-with-waf
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses AWS WAF web (ACL). Kontrol ini gagal jika AWS WAF web tidak ACL dilampirkan ke tahap REST API Gateway.
AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasiACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan bahwa tahap API Gateway Anda dikaitkan dengan AWS WAF web ACL untuk membantu melindunginya dari serangan berbahaya.
Remediasi
Untuk informasi tentang cara menggunakan konsol API Gateway untuk mengaitkan web AWS WAF Regional ACL dengan API tahap API Gateway yang ada, lihat Menggunakan AWS WAF untuk melindungi Anda APIs di Panduan Pengembang API Gateway.
[APIGateway.5] Data REST API cache API gateway harus dienkripsi saat istirahat
Persyaratan terkait: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, .800-53.r5 SC-28 (1), .800-53.r5 SC-7 (10), NIST .800-53.r5 SI-7 (6) NIST NIST NIST NIST
Kategori: Lindungi > Perlindungan data > Enkripsi data saat istirahat
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Config aturan: api-gw-cache-encrypted (aturan Security Hub khusus)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah semua metode dalam REST API tahap API Gateway yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam REST API tahap API Gateway dikonfigurasi ke cache dan cache tidak dienkripsi. Security Hub mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.
Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Ini menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, API izin diperlukan untuk mendekripsi data sebelum dapat dibaca.
APIRESTAPICache gateway harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
Remediasi
Untuk mengonfigurasi API caching untuk suatu tahap, lihat Mengaktifkan caching Amazon API Gateway di Panduan Pengembang API Gateway. Di Pengaturan Cache, pilih Enkripsi data cache.
[APIGateway.8] Rute API gateway harus menentukan jenis otorisasi
Persyaratan terkait: NIST .800-53.r5 AC-3, .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST NIST
Kategori: Lindungi > Manajemen Akses Aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGatewayV2::Route
AWS Config aturan: api-gwv2-authorization-type-configured
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Jenis | Nilai kustom yang diizinkan | Nilai default Security Hub |
|---|---|---|---|---|
|
|
Jenis otorisasi rute API |
Enum |
|
Tidak ada nilai default |
Kontrol ini memeriksa apakah rute Amazon API Gateway memiliki jenis otorisasi. Kontrol gagal jika rute API Gateway tidak memiliki jenis otorisasi apa pun. Secara opsional, Anda dapat memberikan nilai parameter khusus jika Anda ingin kontrol lulus hanya jika rute menggunakan jenis otorisasi yang ditentukan dalam parameter. authorizationType
APIGateway mendukung beberapa mekanisme untuk mengontrol dan mengelola akses ke AndaAPI. Dengan menentukan jenis otorisasi, Anda dapat membatasi akses API ke hanya pengguna atau proses yang berwenang.
Remediasi
Untuk menyetel jenis otorisasi HTTPAPIs, lihat Mengontrol dan mengelola akses ke API Gateway HTTP API in dalam Panduan Pengembang API Gateway. Untuk menyetel jenis otorisasi WebSocket APIs, lihat Mengontrol dan mengelola akses ke API Gateway WebSocket API in dalam Panduan Pengembang API Gateway.
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahapan API Gateway V2
Persyaratan terkait: NIST .800-53.r5 AC-4 (26), .800-53.r5 AU-10, .800-53.r5 AU-12, .800-53.r5 AU-2, NIST .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), .800-53.r5 CA-7, NIST .800-53.r5 SC-7 (9), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGatewayV2::Stage
AWS Config aturan: api-gwv2-access-logs-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah tahapan Amazon API Gateway V2 memiliki pencatatan akses yang dikonfigurasi. Kontrol ini gagal jika pengaturan log akses tidak ditentukan.
APILog akses Gateway memberikan informasi rinci tentang siapa yang telah mengakses Anda API dan bagaimana penelepon mengakses. API Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aktifkan log akses ini untuk menganalisis pola lalu lintas dan memecahkan masalah.
Untuk praktik terbaik lainnya, lihat Pemantauan REST APIs di Panduan Pengembang API Gateway.
Remediasi
Untuk mengatur pencatatan akses, lihat Mengatur CloudWatch API logging menggunakan konsol API Gateway di Panduan Pengembang API Gateway.
