Amazon API Gateway 제어

이러한 제어는 API Gateway 리소스와 관련이 있습니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다 AWS 리전. 자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.

[API Gateway.1] API Gateway REST 및 WebSocket API 실행 로깅이 활성화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS Config 규칙: api-gw-execution-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터	설명	유형	허용된 사용자 지정 값	Security Hub 기본값
loggingLevel	로깅 수준	Enum	ERROR, INFO	No default value

이 컨트롤은 Amazon API Gateway REST 또는 WebSocket API의 모든 단계에서 로깅이 활성화되었는지 여부를 확인합니다. API의 모든 단계에 대해 loggingLevel이 ERROR 또는 INFO가 아니면 제어가 실패합니다. 특정 로그 유형을 활성화해야 함을 나타내는 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 로깅 수준이 ERROR 또는 INFO인 경우 경과 통과를 생성합니다.

API Gateway WebSocket REST 또는 API 스테이지에는 관련 로그가 활성화되어 있어야 합니다. API Gateway WebSocket REST 및 API 실행 로깅은 API Gateway REST 및 WebSocket API 단계에 대한 요청의 세부 기록을 제공합니다. 단계에는 API 통합 백엔드 응답, Lambda 권한 부여자 응답 및 통합 엔드포인트가 포함됩니다. requestId AWS

이제 Security Hub가 와 통합되었습니다

WebSocket REST 및 API 작업에 대한 로깅을 활성화하려면 CloudWatch API Gateway 개발자 안내서의 API Gateway 콘솔을 사용하여 API 로깅 설정을 참조하십시오.

[APIGateway.2] 백엔드 인증을 위해 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-ssl-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon API Gateway REST API 단계에 SSL 인증서가 구성되어 있는지 여부를 확인합니다. 백엔드 시스템은 이러한 인증서를 사용하여 들어오는 요청이 API 게이트웨이에서 온 것임을 인증합니다.

API 게이트웨이 REST API 단계는 백엔드 시스템이 API 게이트웨이에서 발생한 요청을 인증할 수 있도록 SSL 인증서로 구성되어야 합니다.

이제 Security Hub가 와 통합되었습니다

API Gateway REST API SSL 인증서를 생성하고 구성하는 방법에 대한 자세한 지침은 API Gateway 개발자 안내서의 백엔드 인증을 위한 SSL 인증서 생성 및 구성을 참조하십시오.

[ApiGateway.3] API Gateway REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7

범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-xray-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon API Gateway REST API 단계에서 AWS X-Ray 활성 추적이 활성화되었는지 여부를 확인합니다.

X-Ray 활성 추적을 통해 기본 인프라의 성능 변화에 보다 신속하게 대응할 수 있습니다. 성능 변화로 인해 API의 가용성이 떨어질 수 있습니다. X-Ray 활성 추적은 API Gateway REST API 작업 및 연결된 서비스를 통해 전달되는 사용자 요청의 실시간 지표를 제공합니다.

이제 Security Hub가 와 통합되었습니다

API Gateway REST API 작업에 대해 X-Ray 활성 추적을 활성화하는 방법에 대한 자세한 지침은 AWS X-Ray 개발자 안내서의 AWS X-Ray에 대한 Amazon API Gateway 활성 추적 지원을 참조하십시오.

[APIGateway.4] API 게이트웨이는 WAF 웹 ACL과 연결되어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4(21)

범주: 보호 > 보호 서비스

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-associated-with-waf

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 API Gateway 단계가 AWS WAF 웹 액세스 제어 목록 (ACL) 을 사용하는지 여부를 확인합니다. AWS WAF 웹 ACL이 REST API Gateway 단계에 연결되지 않은 경우 이 제어가 실패합니다.

AWS WAF 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 이를 통해 사용자 정의 가능한 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합인 ACL을 구성할 수 있습니다. API Gateway 단계가 AWS WAF 웹 ACL과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호하십시오.

이제 Security Hub가 와 통합되었습니다

API Gateway 콘솔을 사용하여 AWS WAF 리전 웹 ACL을 기존 API Gateway API 단계와 연결하는 방법에 대한 자세한 내용은 API Gateway 개발자 안내서의 API 보호를 위한 사용을 AWS WAF 참조하십시오.

[APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::ApiGateway::Stage

AWS Config 규칙: api-gw-cache-encrypted (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 캐시가 활성화된 API Gateway REST API 단계의 모든 메서드가 암호화되었는지 여부를 확인합니다. API Gateway REST API 단계의 메서드가 캐시되도록 구성되어 있고 캐시가 암호화되지 않은 경우 제어가 실패합니다. Security Hub는 특정 방법에 대해 캐싱이 활성화된 경우에만 해당 방법의 암호화를 평가합니다.

저장된 데이터를 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. AWS승인되지 않은 사용자의 데이터 액세스를 제한하기 위해 또 다른 액세스 제어 세트를 추가합니다. 예를 들어 데이터를 읽기 전에 해독하려면 API 권한이 필요합니다.

API 게이트웨이 REST API 캐시는 추가 보안 계층을 위해 저장 시 암호화되어야 합니다.

이제 Security Hub가 와 통합되었습니다

단계에 대한 API 캐싱을 구성하려면 API Gateway 개발자 안내서의 Amazon API Gateway 캐싱 활성화를 참조하십시오. 캐시 설정에서 캐시 데이터 암호화를 선택합니다.

[APIGateway.8] API 게이트웨이 경로는 인증 유형을 지정해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::ApiGatewayV2::Route

AWS Config 규칙: api-gwv2-authorization-type-configured

스케줄 유형: 주기적

파라미터:

파라미터	설명	유형	허용된 사용자 지정 값	Security Hub 기본값
authorizationType	API 경로의 권한 부여 유형	Enum	AWS_IAM, CUSTOM, JWT	기본값 없음

이 제어는 Amazon API Gateway 경로에 인증 유형이 있는지 확인합니다. 인증 유형이 API 게이트웨이 경로에 없으면 제어가 실패합니다. 필요에 따라, 경로가 파라미터에 지정된 인증 유형을 사용하는 경우에만 제어가 전달되도록 하려면 사용자 지정 authorizationType 파라미터 값을 제공할 수 있습니다.

API Gateway는 API 액세스 제어 및 관리에 다중 메커니즘을 지원합니다. 인증 유형을 지정하면 API에 대한 액세스를 인증된 사용자 또는 프로세스로만 제한할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

HTTP API에 대한 인증 유형을 설정하려면 API Gateway 개발자 안내서의 API Gateway에서 HTTP API에 대한 액세스 제어 및 관리를 참조하십시오. WebSocket API에 대한 권한 부여 유형을 설정하려면 API Gateway 개발자 안내서의 WebSocket API Gateway에서 API에 대한 액세스 제어 및 관리를 참조하십시오.

[APIGateway.9] API Gateway V2 단계에 대한 액세스 로깅을 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::ApiGatewayV2::Stage

AWS Config 규칙: api-gwv2-access-logs-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon API Gateway V2 단계에 액세스 로깅이 구성되어 있는지 확인합니다. 액세스 로그 설정이 정의되지 않은 경우 이 제어가 실패합니다.

API Gateway 액세스 로그는 누가 API에 액세스했고 호출자가 API에 어떻게 액세스했는지에 대한 자세한 정보를 제공합니다. 이러한 로그는 보안 및 액세스 감사 및 포렌식 조사와 같은 애플리케이션에 유용합니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

추가 모범 사례는 API Gateway 개발자 안내서의 REST API 모니터링을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

액세스 로깅을 설정하려면 CloudWatch API Gateway 개발자 안내서의 API Gateway 콘솔을 사용하여 API 로깅 설정을 참조하십시오.