As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Amazon API Gateway
Esses controles estão relacionados aos recursos do API Gateway.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para ter mais informações, consulte Disponibilidade de controles por região.
[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados
Requisitos relacionados: NIST .800-53.r5 AC-4 (26), .800-53.r5 AU-10, .800-53.r5 AU-12, NIST .800-53.r5 AU-2, .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), .800-53.r5 CA-7, NIST .800-53.r5 r5 SC-7 (9), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage,AWS::ApiGatewayV2::Stage
Regra do AWS Config : api-gw-execution-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Nível de registro |
Enum |
|
|
Esse controle verifica se todos os estágios de um Amazon API Gateway REST ou WebSocket API se o registro está ativado. O controle falha se loggingLevel não INFO for ERROR ou em todos os estágios doAPI. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub produzirá uma descoberta aprovada se o nível de registro em log for ERROR ou INFO.
APIO gateway REST ou os WebSocket API estágios devem ter os registros relevantes habilitados. APIO gateway REST e o registro de WebSocket API execução fornecem registros detalhados das solicitações feitas ao API Gateway REST e aos WebSocket API estágios. Os estágios incluem respostas de back-end de API integração, respostas do autorizador Lambda e requestId endpoints de integração. AWS
Correção
Para habilitar o registro REST e WebSocket API as operações, consulte Configurar o CloudWatch API registro usando o console do API Gateway no Guia do desenvolvedor do API Gateway.
[APIGateway.2] Os REST API estágios do API gateway devem ser configurados para usar SSL certificados para autenticação de back-end
Requisitos relacionados: NIST .800-53.r5 AC-17 (2), .800-53.r5 AC-4, .800-53.r5 IA-5 (1), NIST .800-53.r5 SC-12 (3), NIST .800-53.r5 SC-13, .800-53.r5 SC-23 (3), .800-53.r5 SC-7 (4), NIST .800-53.r5 SC-8, .800-53.r5 SC-8 (1), NIST .800-53.r5 SC-8 (2), .800-53.r5 SI-7 (6) NIST NIST NIST NIST NIST NIST NIST
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage
Regra do AWS Config : api-gw-ssl-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os REST API estágios do Amazon API Gateway têm SSL certificados configurados. Os sistemas de back-end usam esses certificados para autenticar que as solicitações recebidas são do Gateway. API
APIOs REST API estágios do gateway devem ser configurados com SSL certificados para permitir que os sistemas de back-end autentiquem que as solicitações são originárias do Gateway. API
Correção
Para obter instruções detalhadas sobre como gerar e configurar REST API SSL certificados do API Gateway, consulte Gerar e configurar um SSL certificado para autenticação de back-end no Guia do desenvolvedor do API Gateway.
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
Requisitos relacionados: NIST .800-53.r5 CA-7
Categoria: Detectar > Serviços de detecção
Severidade: baixa
Tipo de recurso: AWS::ApiGateway::Stage
Regra do AWS Config : api-gw-xray-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o rastreamento AWS X-Ray ativo está habilitado para seus REST API estágios do Amazon API Gateway.
O rastreamento ativo X-Ray permite uma resposta mais rápida às alterações de desempenho na infraestrutura subjacente. Mudanças no desempenho podem resultar na falta de disponibilidade doAPI. O rastreamento ativo do X-Ray fornece métricas em tempo real das solicitações do usuário que fluem pelas REST API operações do API Gateway e pelos serviços conectados.
Correção
Para obter instruções detalhadas sobre como habilitar o rastreamento ativo do X-Ray para REST API operações do API Gateway, consulte o suporte ao rastreamento ativo do Amazon API Gateway AWS X-Ray no Guia do AWS X-Ray desenvolvedor.
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
Requisitos relacionados: NIST .800-53.r5 AC-4 (21)
Categoria: Proteger > Serviços de proteção
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage
Regra do AWS Config : api-gw-associated-with-waf
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à AWS WAF web (ACL). Esse controle falha se uma AWS WAF web não ACL estiver conectada a um estágio do REST API Gateway.
AWS WAF é um firewall de aplicativos da web que ajuda a proteger os aplicativos da web e APIs contra ataques. Ele permite que você configure umACL, que é um conjunto de regras que permite, bloqueia ou conta solicitações da Web com base nas regras e condições de segurança da Web personalizáveis que você define. Certifique-se de que seu estágio de API Gateway esteja associado a uma AWS WAF web ACL para ajudar a protegê-lo de ataques maliciosos.
Correção
Para obter informações sobre como usar o console do API Gateway para associar uma web AWS WAF ACL regional a um API estágio existente do API Gateway, consulte Usando AWS WAF para proteger seu APIs no Guia do desenvolvedor do API Gateway.
[APIGateway.5] Os dados REST API do cache do API gateway devem ser criptografados em repouso
Requisitos relacionados: NIST .800-53.r5 CA-9 (1), .800-53.r5 CM-3 (6), NIST .800-53.r5 SC-13, .800-53.r5 SC-28, .800-53.r5 SC-28 (1), NIST .800-53.r5 SC-7 (10), .800-53.r5 SI-7 (6) NIST NIST NIST NIST
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage
Regra AWS Config : api-gw-cache-encrypted (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se todos os métodos nos REST API estágios do API Gateway que têm o cache ativado estão criptografados. O controle falhará se algum método em um REST API estágio do API Gateway estiver configurado para armazenar em cache e o cache não estiver criptografado. O Security Hub avalia a criptografia de um método específico somente quando o armazenamento em cache estiver habilitado para esse método.
Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado. AWS Ele adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, são necessárias API permissões para descriptografar os dados antes que eles possam ser lidos.
APIRESTAPIOs caches do gateway devem ser criptografados em repouso para uma camada adicional de segurança.
Correção
Para configurar o armazenamento em API cache para um estágio, consulte Habilitar o armazenamento em cache do Amazon API Gateway no Guia do desenvolvedor do API Gateway. Em Configurações de cache, escolha Criptografar dados de cache.
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
Requisitos relacionados: NIST .800-53.r5 AC-3, .800-53.r5 CM-2, NIST .800-53.r5 CM-2 (2) NIST
Categoria: Proteger > Gerenciamento de acesso seguro
Severidade: média
Tipo de recurso: AWS::ApiGatewayV2::Route
AWS Config regra: api-gwv2-authorization-type-configured
Tipo de programação: Periódico
Parâmetros:
| Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Tipo de autorização das API rotas |
Enum |
|
Nenhum valor padrão |
Esse controle verifica se as rotas do Amazon API Gateway têm um tipo de autorização. O controle falhará se a rota do API Gateway não tiver nenhum tipo de autorização. Opcionalmente, é possível fornecer um valor de parâmetro personalizado se quiser que o controle passe somente se a rota usar o tipo de autorização especificado no parâmetro authorizationType.
APIO Gateway suporta vários mecanismos para controlar e gerenciar o acesso ao seuAPI. Ao especificar um tipo de autorização, você pode restringir o acesso somente API a usuários ou processos autorizados.
Correção
Para definir um tipo de autorização para HTTPAPIs, consulte Controle e gerenciamento do acesso a um API gateway HTTP API no Guia do desenvolvedor do API Gateway. Para definir um tipo de autorização para WebSocket APIs, consulte Controle e gerenciamento do acesso a um WebSocket API no API Gateway no Guia do desenvolvedor do API Gateway.
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
Requisitos relacionados: NIST .800-53.r5 AC-4 (26), .800-53.r5 AU-10, .800-53.r5 AU-12, NIST .800-53.r5 AU-2, .800-53.r5 AU-3, .800-53.r5 AU-6 (3), NIST .800-53.r5 AU-6 (4), .800-53.r5 CA-7, NIST .800-53.r5 r5 SC-7 (9), NIST .800-53.r5 SI-7 (8) NIST NIST NIST NIST NIST
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::ApiGatewayV2::Stage
AWS Config regra: api-gwv2-access-logs-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os estágios do Amazon API Gateway V2 têm o registro de acesso configurado. Esse controle falhará se as configurações do log de acesso não estiverem definidas.
APIOs registros de acesso ao gateway fornecem informações detalhadas sobre quem acessou o seu API e como o chamador acessou o. API Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Habilite esses logs de acesso para analisar padrões de tráfego e solucionar problemas.
Para obter mais práticas recomendadas, consulte Monitoramento REST APIs no Guia do desenvolvedor do API Gateway.
Correção
Para configurar o registro de acesso, consulte Configurar o CloudWatch API registro usando o console do API Gateway no Guia do desenvolvedor do API Gateway.
