Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS WAF controlli
Questi controlli sono correlati alle AWS WAF risorse.
Questi controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[WAF.1] La registrazione AWS WAF classica Global Web ACL deve essere abilitata
Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 AU-6 (4) R5 CA-7, NIST. 800-53.R5 SC-7 (9), NIST. 800-53.5 SI-7 (8)
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::WAF::WebACL
Regola AWS Config : waf-classic-logging-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la registrazione è abilitata per un ACL web AWS WAF globale. Questo controllo ha esito negativo se la registrazione non è abilitata per l'ACL Web.
La registrazione è un elemento importante per mantenere l'affidabilità, la disponibilità e le prestazioni a livello globale. AWS WAF È un requisito aziendale e di conformità in molte organizzazioni e consente di risolvere i problemi relativi al comportamento delle applicazioni. Fornisce inoltre informazioni dettagliate sul traffico analizzato dall'ACL Web a cui è allegato. AWS WAF
Correzione
Per abilitare la registrazione per un ACL AWS WAF Web, consulta la sezione Registrazione delle informazioni sul traffico ACL Web nella Developer Guide.AWS WAF
[WAF.2] Le regole regionali AWS WAF classiche devono avere almeno una condizione
Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::WAFRegional::Rule
Regola AWS Config : waf-regional-rule-not-empty
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una regola AWS WAF regionale ha almeno una condizione. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.
Una regola regionale WAF può contenere più condizioni. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola regionale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe indurre a supporre erroneamente che una di queste azioni si stia verificando.
Correzione
Per aggiungere una condizione a una regola vuota, consulta Aggiungere e rimuovere condizioni in una regola nella Guida per gli sviluppatori.AWS WAF
[WAF.3] I gruppi di regole regionali AWS WAF classici dovrebbero avere almeno una regola
Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::WAFRegional::RuleGroup
Regola AWS Config : waf-regional-rulegroup-not-empty
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un gruppo di regole AWS WAF regionali ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.
Un gruppo di regole regionali WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole regionali WAF privo di regole, ma con un nome o un tag che suggerisce l'autorizzazione, il blocco o il numero, potrebbe indurre a supporre erroneamente che una di queste azioni sia in corso.
Correzione
Per aggiungere regole e condizioni di regole a un gruppo di regole vuoto, consulta Aggiungere ed eliminare regole da un gruppo di regole AWS WAF classico e Aggiungere e rimuovere condizioni in una regola nella Guida per gli sviluppatori.AWS WAF
[WAF.4] Gli ACL web regionali AWS WAF classici devono avere almeno una regola o un gruppo di regole
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::WAFRegional::WebACL
Regola AWS Config : waf-regional-webacl-not-empty
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un ACL AWS WAF Classic regionale Web contiene regole WAF o gruppi di regole WAF. Questo controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.
Un ACL web WAF regionale può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL web è vuoto, il traffico web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.
Correzione
Per aggiungere regole o gruppi di regole a un ACL web regionale AWS WAF classico vuoto, consulta Modifica di un ACL Web nella Guida per gli sviluppatori.AWS WAF
[WAF.6] Le regole globali AWS WAF classiche devono avere almeno una condizione
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::WAF::Rule
Regola AWS Config : waf-global-rule-not-empty
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una regola AWS WAF globale contiene condizioni. Il controllo ha esito negativo se non sono presenti condizioni all'interno di una regola.
Una regola globale WAF può contenere più condizioni. Le condizioni di una regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza alcuna condizione, il traffico scorre senza ispezioni. Una regola globale WAF priva di condizioni, ma con un nome o tag che suggerisca di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.
Correzione
Per istruzioni sulla creazione di una regola e sull'aggiunta di condizioni, consulta Creazione di una regola e aggiunta di condizioni nella Guida per gli sviluppatori.AWS WAF
[WAF.7] I gruppi di regole globali AWS WAF classici dovrebbero avere almeno una regola
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::WAF::RuleGroup
Regola AWS Config : waf-global-rulegroup-not-empty
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un gruppo di regole AWS WAF globale ha almeno una regola. Il controllo ha esito negativo se non è presente alcuna regola all'interno di un gruppo di regole.
Un gruppo di regole globale WAF può contenere più regole. Le condizioni della regola consentono l'ispezione del traffico e l'esecuzione di un'azione definita (consentire, bloccare o contare). Senza regole, il traffico scorre senza ispezioni. Un gruppo di regole globale WAF senza regole, ma con un nome o un tag che suggerisce di consentire, bloccare o contare, potrebbe portare a supporre erroneamente che una di queste azioni sia in corso.
Correzione
Per istruzioni sull'aggiunta di una regola a un gruppo di regole, consulta Creating an AWS WAF Classic rule group nella Developer Guide.AWS WAF
[WAF.8] Gli ACL web globali AWS WAF classici devono avere almeno una regola o un gruppo di regole
Requisiti correlati: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21)
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::WAF::WebACL
Regola AWS Config : waf-global-webacl-not-empty
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un ACL web AWS WAF globale contiene almeno una regola WAF o un gruppo di regole WAF. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole WAF.
Un ACL web globale WAF può contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato da WAF, a seconda dell'azione predefinita.
Correzione
Per aggiungere regole o gruppi di regole a un ACL web AWS WAF globale vuoto, consulta Modifica di un ACL web nella Guida per gli sviluppatori.AWS WAF Per Filtro, scegliete Globale () CloudFront.
[WAF.10] Gli ACL AWS WAF web devono avere almeno una regola o un gruppo di regole
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2
Categoria: Protezione > Configurazione di rete protetta
Gravità: media
Tipo di risorsa: AWS::WAFv2::WebACL
Regola AWS Config : wafv2-webacl-not-empty
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL) contiene almeno una regola o un gruppo di regole. Il controllo ha esito negativo se un ACL Web non contiene regole o gruppi di regole.
Un ACL Web offre un controllo dettagliato su tutte le richieste Web HTTP (S) a cui risponde la risorsa protetta. Un ACL Web deve contenere una raccolta di regole e gruppi di regole che esaminano e controllano le richieste Web. Se un ACL Web è vuoto, il traffico Web può passare senza essere rilevato o modificato, AWS WAF a seconda dell'azione predefinita.
Correzione
Per aggiungere regole o gruppi di regole a un ACL web WAFV2 vuoto, vedere Modifica di un ACL Web nella Guida per gli sviluppatori.AWS WAF
[WAF.11] la registrazione ACL web deve essere abilitata AWS WAF
Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 R5 CA-7, NIS.800-53.r5 SC-7 (10), NIS.800-53.r5 SC-7 (9), NIS.800-53R5 SI-7 (8)
Categoria: Identificazione > Registrazione
Gravità: bassa
Tipo di risorsa: AWS::WAFv2::WebACL
AWS Config regola: wafv2-logging-enabled
Tipo di pianificazione: periodica
Parametri: nessuno
Questo controllo verifica se la registrazione è attivata per un elenco di controllo degli accessi Web AWS WAF V2 (Web ACL). Questo controllo ha esito negativo se la registrazione è disattivata per l'ACL Web.
La registrazione mantiene l'affidabilità, la disponibilità e le prestazioni di. AWS WAF Inoltre, la registrazione è un requisito aziendale e di conformità in molte organizzazioni. Registrando il traffico analizzato dall'ACL Web, è possibile risolvere i problemi relativi al comportamento delle applicazioni.
Correzione
Per attivare la registrazione per un ACL AWS WAF Web, consulta Managing logging for a Web ACL nella Developer Guide.AWS WAF
Le regole [WAF.12] devono avere le metriche abilitate AWS WAF CloudWatch
Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 R5 CA-7, NIS.800-53.r5 SC-7 (10), NIS.800-53.r5 SC-7 (9), NIS.800-53R5 SI-7 (8)
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::WAFv2::RuleGroup
AWS Config regola: wafv2-rulegroup-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una AWS WAF regola o un gruppo di regole ha le CloudWatch metriche Amazon abilitate. Il controllo fallisce se la regola o il gruppo di regole non ha le CloudWatch metriche abilitate.
La configurazione delle CloudWatch metriche su AWS WAF regole e gruppi di regole offre visibilità sul flusso di traffico. Puoi vedere quali regole ACL vengono attivate e quali richieste vengono accettate e bloccate. Questa visibilità può aiutarti a identificare attività dannose sulle risorse associate.
Correzione
Per abilitare le CloudWatch metriche su un gruppo di AWS WAF regole, richiama l' UpdateRuleGroupAPI. Per abilitare le CloudWatch metriche su una AWS WAF regola, richiama l'API ACL. UpdateWeb Imposta il campo su. CloudWatchMetricsEnabled true Quando utilizzi la AWS WAF console per creare regole o gruppi di regole, le CloudWatch metriche vengono abilitate automaticamente.
