Amazon API Gateway コントロール - AWS Security Hub
[APIGateway.1] API Gateway REST と WebSocket API 実行のログ記録を有効にする必要があります[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります[APIGateway.8] API Gateway ルートには認証タイプを指定する必要があります[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon API Gateway コントロール

これらのコントロールは API Gateway リソースに関連しています。

これらのコントロールは、すべての で利用できるとは限りません AWS リージョン。詳細については、「リージョン別のコントロールの可用性」を参照してください。

[APIGateway.1] API Gateway REST と WebSocket API 実行のログ記録を有効にする必要があります

関連する要件: NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ: AWS::ApiGateway::StageAWS::ApiGatewayV2::Stage

AWS Config ルール : api-gw-execution-logging-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

loggingLevel

ログ記録レベル

列挙型

ERROR, INFO

No default value

このコントロールは、Amazon API Gateway REST または WebSocket API のすべてのステージでログ記録が有効になっているかどうかをチェックします。API のすべてのステージで、loggingLevelERROR でも INFO でもない場合、コントロールは失敗します。特定のログタイプを有効にする必要があることを示すカスタムパラメータ値を指定しない限り、ログ記録レベルが ERROR または INFO であれば、Security Hub は成功の検出結果を生成します。

API Gateway REST または WebSocket API ステージでは、関連するログを有効にする必要があります。API Gateway REST および WebSocket API 実行ログは、API Gateway REST および API WebSocket ステージに対して行われたリクエストの詳細なレコードを提供します。ステージには、API 統合バックエンドレスポンス、Lambda オーソライザーレスポンス、統合 AWS エンドポイントrequestIdの が含まれます。

修正

REST および WebSocket API オペレーションのログ記録を有効にするには、 CloudWatch 「API Gateway デベロッパーガイド」の「API Gateway コンソールを使用した API ログ記録の設定」を参照してください。

[APIGateway.2] API Gateway REST API ステージでは、バックエンド認証に SSL 証明書を使用するように設定する必要があります

関連する要件: NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護

重要度:

リソースタイプ: AWS::ApiGateway::Stage

AWS Config ルール : api-gw-ssl-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon API Gateway REST API ステージに SSL 証明書が設定されているかどうかをチェックします。バックエンドシステムは、これらの証明書を使用して、API Gateway からの受信リクエストであることを認証します。

API Gateway からのリクエストをバックエンドシステムが認証できるようにするには、API Gateway REST API ステージを SSL 証明書を設定する必要があります。

修正

API Gateway REST API SSL 証明書を生成し設定する方法の詳細については、「API Gateway 開発者ガイド」の「バックエンド認証用 SSL 証明書の生成と設定」を参照してください。

[APIGateway.3] API Gateway REST API ステージでは、 AWS X-Ray トレースを有効にする必要があります

関連する要件: NIST.800-53.r5 CA-7

カテゴリ: 検出 > 検出サービス

重要度:

リソースタイプ: AWS::ApiGateway::Stage

AWS Config ルール : api-gw-xray-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon API Gateway REST API ステージで AWS X-Ray アクティブトレースが有効になっているかどうかをチェックします。

X-Ray アクティブトレースを使用すると、基盤となるインフラストラクチャのパフォーマンスの変化に対してより迅速に対応できます。パフォーマンスの変化により、API が利用できなくなる可能性があります。X-Ray アクティブトレースは、API Gateway REST API オペレーションと接続サービスを介して流れるユーザーリクエストのリアルタイムメトリクスを提供します。

修正

API Gateway REST API オペレーションの X-Ray アクティブトレースを有効にする方法の詳細については、[AWS X-Ray 開発者ガイド]の[AWS X-Rayの Amazon API Gateway アクティブトレースサポート]を参照してください。

[APIGateway.4] API Gateway は、WAF ウェブ ACL に関連付けられている必要があります

関連する要件: NIST.800-53.r5 AC-4(21)

カテゴリ: 保護 > 保護サービス

重要度:

リソースタイプ: AWS::ApiGateway::Stage

AWS Config ルール : api-gw-associated-with-waf

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、API Gateway ステージが AWS WAF ウェブアクセスコントロールリスト (ACL) を使用しているかどうかをチェックします。 AWS WAF ウェブ ACL が REST API Gateway ステージにアタッチされていない場合、このコントロールは失敗します。

AWS WAF は、ウェブアプリケーションと APIsから保護するのに役立つウェブアプリケーションファイアウォールです。これにより、ユーザーが定義するカスタマイズ可能なウェブセキュリティルールと条件に基づいて、ウェブリクエストを許可、ブロック、またはカウントする一連のルールである ACL を設定することができます。API Gateway ステージが AWS WAF ウェブ ACL に関連付けられていることを確認し、悪意のある攻撃から保護します。

修正

API Gateway コンソールを使用して AWS WAF リージョンウェブ ACL を既存の API Gateway API ステージに関連付ける方法については、「API Gateway デベロッパーガイド」のAPIs 「 API AWS WAF の保護に を使用する」を参照してください。

[APIGateway.5] API Gateway REST API のキャッシュデータは、保管中に暗号化する必要があります

関連する要件: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)

カテゴリ: 保護 > データ保護 > 保管中のデータの暗号化

重要度:

リソースタイプ: AWS::ApiGateway::Stage

AWS Config ルール: api-gw-cache-encrypted (カスタム Security Hub ルール)

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、キャッシュが有効になっている API Gateway REST API ステージ内のすべてのメソッドが暗号化されているかどうかをチェックします。API Gateway REST API ステージ内のメソッドのキャッシュ機能が設定されており、そのキャッシュが暗号化されていない場合、コントロールは失敗します。Security Hub は、特定のメソッドのキャッシュが有効になっている場合にのみ、そのメソッドの暗号化を評価します。

保管中のデータを暗号化すると、ディスクに保存されているデータが、 に対して認証されていないユーザーによってアクセスされるリスクが軽減されます AWS。これにより、権限のないユーザーによるデータへのアクセスを制限するために、別の一連のアクセスコントロールが追加されます。例えば、データを読み取る前にデータを復号化するには、API の許可が必要です。

API Gateway REST API キャッシュは、セキュリティを強化するために、保管中に暗号化する必要があります。

修正

ステージの API キャッシュを設定するには、「API Gateway デベロッパーガイド」の「Amazon API Gateway のキャッシュを有効にする」を参照してください。[キャッシュ設定] で、[キャッシュデータを暗号化する] を選択します。

[APIGateway.8] API Gateway ルートには認証タイプを指定する必要があります

関連する要件: NIST.800-53.r5 AC-3、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)

カテゴリ: 保護 > セキュアなアクセス管理

重要度:

リソースタイプ: AWS::ApiGatewayV2::Route

AWS Config ルール: api-gwv2-authorization-type-configured

スケジュールタイプ: 定期的

パラメータ:

パラメータ 説明 [Type] (タイプ) 許可されているカスタム値 Security Hub のデフォルト値

authorizationType

API ルートの認証タイプ

列挙型

AWS_IAM, CUSTOM, JWT

デフォルト値なし

このコントロールは、Amazon API Gateway ルートに認証タイプが設定されているかどうかを確認します。API Gateway ルートで認証タイプが指定されていない場合、コントロールは失敗します。authorizationType パラメータで指定された認証タイプをルートが使用する場合にのみコントロールを成功させたい場合は、必要に応じてカスタムパラメータ値を指定できます。

API Gateway は API へのアクセスを制御し管理する複数のメカニズムをサポートしています。認証タイプを指定することで、API へのアクセスを許可されたユーザーまたはプロセスのみに制限できます。

修正

HTTP API の認証タイプを設定するには、「API Gateway デベロッパーガイド」の「API Gateway での HTTP API へのアクセスの制御と管理」を参照してください。 WebSocket APIs WebSocket 「API Gateway デベロッパーガイド」の「API Gateway での API へのアクセスの制御と管理」を参照してください。

[APIGateway.9] API Gateway V2 ステージにアクセスロギングを設定する必要があります

関連する要件: NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)

カテゴリ: 識別 > ログ記録

重要度:

リソースタイプ: AWS::ApiGatewayV2::Stage

AWS Config ルール: api-gwv2-access-logs-enabled

スケジュールタイプ: 変更がトリガーされた場合

パラメータ: なし

このコントロールは、Amazon API Gateway V2 ステージのアクセスログが設定されているかどうかをチェックします。アクセスログ設定が定義されていない場合、このコントロールは失敗します。

API Gateway アクセスログは、誰が API にアクセスしたかや、発信者が API にアクセスした方法に関する詳細情報を提供します。これらのログは、セキュリティ監査やアクセス監査、証拠調査などのアプリケーションに役立ちます。トラフィックパターンの分析や問題のトラブルシューティングを行うには、これらのアクセスログを有効にします。

その他のベストプラクティスについては、「API Gateway デベロッパーガイド」の「REST API のモニタリング」を参照してください。

修正

アクセスログを設定するには、 CloudWatch 「API Gateway デベロッパーガイド」の「API Gateway コンソールを使用した API ログの設定」を参照してください。