AWS WAF 控件 - AWS Security Hub
[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录[WAF.2] AWS WAF 经典区域规则应至少有一个条件[WAF.3] AWS WAF 经典区域规则组应至少有一条规则[WAF.4] AWS WAF 经典区域性 Web ACL 应至少有一个规则或规则组[WAF.6] AWS WAF 经典全局规则应至少有一个条件[WAF.7] AWS WAF 经典全局规则组应至少有一条规则[WAF.8] AWS WAF 经典全局 Web ACL 应至少有一个规则或规则组[WAF.10] AWS WAF Web ACL 应至少有一个规则或规则组[WAF.11] 应启 AWS WAF 用 Web ACL 日志记录[WAF.12] AWS WAF 规则应启用指标 CloudWatch

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS WAF 控件

这些控制措施与 AWS WAF 资源有关。

这些控件可能并非全部可用 AWS 区域。有关更多信息,请参阅 按地区划分的控件可用性

[WAF.1] 应启用 AWS WAF 经典全局 Web ACL 日志记录

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAF::WebACL

AWS Config 规则:waf-classic-logging-enabled

计划类型:定期

参数:

此控件检查是否为 AWS WAF 全局 Web ACL 启用了日志记录。如果未为 Web ACL 启用日志记录,则此控制失败。

日志记录是维护 AWS WAF 全球可靠性、可用性和性能的重要组成部分。这是许多组织中的业务和合规性要求,并允许您对应用程序行为进行故障排除。它还提供有关附加到 AWS WAF的 Web ACL 所分析的流量的详细信息。

修复

要启用 AWS WAF Web ACL 的日志记录,请参阅AWS WAF 开发人员指南中的记录 Web ACL 流量信息

[WAF.2] AWS WAF 经典区域规则应至少有一个条件

相关要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::Rule

AWS Config 规则:waf-regional-rule-not-empty

计划类型:已触发变更

参数:

此控件检查 AWS WAF 区域规则是否至少具有一个条件。如果规则中不存在任何条件,则控制失败。

WAF 区域规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何条件的情况下,流量未经检查就通过。没有任何条件但带有建议允许、阻止或计数的名称或标签的 WAF 区域规则可能会导致错误地假设其中一项操作正在发生。

修复

要向空规则添加条件,请参阅 AWS WAF 开发人员指南中的在规则中添加和删除条件

[WAF.3] AWS WAF 经典区域规则组应至少有一条规则

相关要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::RuleGroup

AWS Config 规则:waf-regional-rulegroup-not-empty

计划类型:已触发变更

参数:

此控件检查 AWS WAF 区域规则组是否至少有一条规则。如果规则组中不存在任何规则,则控制失败。

一个 WAF 区域规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何规则的情况下,流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 区域规则组可能会导致错误地假设其中一项操作正在发生。

修复

要向空规则组添加规则和规则条件,请参阅AWS WAF 开发者指南》中的在 AWS WAF 经典规则组中添加和删除规则以及在规则中添加和删除条件

[WAF.4] AWS WAF 经典区域性 Web ACL 应至少有一个规则或规则组

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::WebACL

AWS Config 规则:waf-regional-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查 AWS WAF Classic Regional Web ACL 是否包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此控制失败。

WAF Regional Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则根据默认操作,Web 流量可以在不被 WAF 检测到或处理的情况下通过。

修复

要向空的 AWS WAF 经典区域 Web ACL 添加规则或规则组,请参阅AWS WAF 开发人员指南中的编辑 Web ACL

[WAF.6] AWS WAF 经典全局规则应至少有一个条件

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::Rule

AWS Config 规则:waf-global-rule-not-empty

计划类型:已触发变更

参数:

此控件检查 AWS WAF 全局规则是否包含任何条件。如果规则中不存在任何条件,则控制失败。

一个 WAF 全局规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何条件的情况下,流量未经检查就通过。不带条件但带有建议允许、阻止或计数的名称或标签的 WAF 全局规则可能会导致错误地假设其中一项操作正在发生。

修复

有关创建规则和添加条件的说明,请参阅 AWS WAF 开发人员指南中的创建规则和添加条件

[WAF.7] AWS WAF 经典全局规则组应至少有一条规则

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::RuleGroup

AWS Config 规则:waf-global-rulegroup-not-empty

计划类型:已触发变更

参数:

此控件检查 AWS WAF 全局规则组是否至少有一条规则。如果规则组中不存在任何规则,则控制失败。

一个 WAF 全局规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何规则的情况下,流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 全局规则组可能会导致错误地假设其中一项操作正在发生。

修复

有关向规则组添加规则的说明,请参阅《AWS WAF 开发人员指南》中的创建 AWS WAF 经典规则组

[WAF.8] AWS WAF 经典全局 Web ACL 应至少有一个规则或规则组

相关要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::WebACL

AWS Config 规则:waf-global-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查 AWS WAF 全局 Web ACL 是否包含至少一个 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则控制失败。

WAF 全局 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则根据默认操作,Web 流量可以在不被 WAF 检测到或处理的情况下通过。

修复

要向空的 AWS WAF 全局 Web ACL 添加规则或规则组,请参阅AWS WAF 开发人员指南中的编辑 Web ACL。对于 “筛选”,选择 “全局” (CloudFront)

[WAF.10] AWS WAF Web ACL 应至少有一个规则或规则组

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFv2::WebACL

AWS Config 规则:wafv2-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查 AWS WAF V2 Web 访问控制列表 (Web ACL) 是否至少包含一个规则或规则组。如果 Web ACL 不包含任何规则或规则组,则控制失败。

Web ACL 可让您对受保护资源响应的所有 HTTP(S) Web 请求进行精细控制。Web ACL 应包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则 AWS WAF 根据默认操作,Web 流量可以在不被检测或处理的情况下通过。

修复

要向空的 WAFV2 Web ACL 添加规则或规则组,请参阅 AWS WAF 开发人员指南中的编辑 Web ACL

[WAF.11] 应启 AWS WAF 用 Web ACL 日志记录

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAFv2::WebACL

AWS Config 规则:wafv2-logging-enabled

计划类型:定期

参数:

此控件检查 AWS WAF V2 Web 访问控制列表 (Web ACL) 是否已激活日志记录。如果停用 Web ACL 的日志记录,则此控制失败。

日志记录可维护的可靠性、可用性和性能 AWS WAF。此外,在许多组织中,日志记录是一项业务和合规要求。通过记录由 Web ACL 分析的流量,您可以对应用程序行为进行故障排除。

修复

要激活 AWS WAF Web ACL 的日志记录,请参阅AWS WAF 开发人员指南中的管理 Web ACL 的日志记录。

[WAF.12] AWS WAF 规则应启用指标 CloudWatch

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAFv2::RuleGroup

AWS Config 规则:wafv2-rulegroup-logging-enabled

计划类型:已触发变更

参数:

此控件检查 AWS WAF 规则或规则组是否启用了 Amazon CloudWatch 指标。如果规则或规则组未启用 CloudWatch 指标,则控件将失败。

在 AWS WAF 规则和规则组上配置 CloudWatch 指标可提供对流量的可见性。您可以看到哪些 ACL 规则被触发,哪些请求被接受和阻止。这种可见性可以帮助您识别关联资源上的恶意活动。

修复

要在 AWS WAF 规则组上启用 CloudWatch 指标,请调用 UpdateRuleGroupAPI。要在 AWS WAF 规则上启用 CloudWatch 指标,请调用 UpdateWebACL API。将 CloudWatchMetricsEnabled 字段设置为 true。当您使用 AWS WAF 控制台创建规则或规则组时, CloudWatch 指标会自动启用。