Controles de Security Hub para AWS WAF - AWS Security Hub
El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitadoLas reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condiciónLos grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una reglaLas ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglasLas reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condiciónLos grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una reglaLas ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglasLas ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglasEl registro de ACL web de AWS WAF [WAF.11] debe estar habilitadoLas reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch

Controles de Security Hub para AWS WAF

Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de AWS WAF. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

El registro de AWS WAF [WAF.1] ACL web global clásica debe estar habilitado

Requisitos relacionados: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.4.2

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::WAF::WebACL

AWS Config Regla de: waf-classic-logging-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el registro está habilitado para una ACL web de AWS WAF global. Este control falla si el registro no está habilitado para la ACL web.

El registro es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de los servicios de AWS WAF a nivel global. Es un requisito empresarial y de conformidad en muchas organizaciones, y permite solucionar problemas de comportamiento de las aplicaciones. También proporciona información detallada sobre el tráfico que analiza la ACL web a la que se conecta AWS WAF.

Corrección

Para obtener más información acerca del registro de ACL web, consulte AWS WAFLogging web ACL traffic information (registro de información del tráfico de la ACL web) en la Guía para desarrolladores de AWS WAF.

Las reglas de AWS WAF [WAF.2] Regionales clásicas deben tener al menos una condición

Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFRegional::Rule

AWS Config Regla de: waf-regional-rule-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una regla de AWS WAF Regional tiene al menos una condición. El control falla si no hay condiciones presentes en una regla.

Una regla de WAF Regional puede contener varias condiciones. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF Regional sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para añadir una condición a una regla vacía, consulta Añadir y eliminar condiciones en una regla en la Guía para desarrolladores de AWS WAF.

Los grupos de reglas de AWS WAF [WAF.3] Regionales clásicos deben tener al menos una regla

Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFRegional::RuleGroup

AWS Config Regla de: waf-regional-rulegroup-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un grupo de reglas de AWS WAF Regionales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas de WAF Regionales puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas de WAF Regionales sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para añadir reglas y condiciones de reglas a un grupo de reglas vacío, consulte Añadir y eliminar reglas de un grupo de reglas de AWS WAF clásico y Añadir y eliminar condiciones en una regla en la Guía para desarrolladores de AWS WAF.

Las ACL web de AWS WAF [WAF.4] Regionales clásicas deben tener al menos una regla o grupo de reglas

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFRegional::WebACL

AWS Config Regla de: waf-regional-webacl-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una ACL web de AWS WAF Classic Regional contiene reglas de WAF o grupos de reglas de WAF. Este control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.

Una ACL web de WAF Regional puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.

Corrección

Para añadir reglas o grupos de reglas a una ACL web de AWS WAF Regional clásica vacía, consulte Edición de una ACL web en la Guía para desarrolladores de AWS WAF.

Las reglas globales de AWS WAF [WAF.6] clásicas deben tener al menos una condición

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAF::Rule

AWS Config Regla de: waf-global-rule-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una regla de AWS WAF global contiene alguna condición. El control falla si no hay condiciones presentes en una regla.

Una regla de WAF global puede contener varias condiciones. Las condiciones de una regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna condición, el tráfico pasa sin inspección. Una regla de WAF global sin condiciones, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para obtener instrucciones sobre cómo crear una regla y añadir condiciones, consulte Creación de una regla y adición de condiciones en la Guía para desarrolladores de AWS WAF.

Los grupos de reglas globales de AWS WAF [WAF.7] clásicos deben tener al menos una regla

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAF::RuleGroup

AWS Config Regla de: waf-global-rulegroup-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si un grupo de reglas de AWS WAF globales tiene al menos una regla. El control falla si no hay reglas presentes en un grupo de reglas.

Un grupo de reglas globales de WAF puede contener varias reglas. Las condiciones de la regla permiten inspeccionar el tráfico y realizar una acción definida (permitir, bloquear o contar). Sin ninguna regla, el tráfico pasa sin inspección. Un grupo de reglas globales de la WAF sin reglas, pero con un nombre o etiqueta que sugiera permitir, bloquear o contar, podría llevar a suponer erróneamente que se está produciendo una de esas acciones.

Corrección

Para obtener instrucciones sobre cómo añadir una regla a un grupo de reglas, consulte Creación de un grupo de reglas de AWS WAF clásico en la Guía para desarrolladores de AWS WAF.

Las ACL web de AWS WAF [WAF.8] globales clásicas deben tener al menos una regla o grupo de reglas

Requisitos relacionados: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21)

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAF::WebACL

AWS Config Regla de: waf-global-webacl-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una ACL web de AWS WAF global contiene al menos una regla de WAF o un grupo de reglas de WAF. El control falla si una ACL web no contiene ninguna regla o grupo de reglas de WAF.

Una ACL web global de WAF puede contener una colección de reglas y grupos de reglas que inspeccionan y controlan las solicitudes web. Si una ACL web está vacía, el tráfico web puede pasar sin que el WAF lo detecte ni actúe en consecuencia, según la acción predeterminada.

Corrección

Para añadir reglas o grupos de reglas a una ACL web de AWS WAF global vacía, consulte Edición de una ACL web en la Guía para desarrolladores de AWS WAF. En Filtro, elija Global (CloudFront).

Las ACL web de AWS WAF [WAF.10] deben tener al menos una regla o grupo de reglas

Requisitos relacionados: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

Categoría: Proteger - Configuración de red segura

Gravedad: media

Tipo de recurso: AWS::WAFv2::WebACL

AWS Config Regla de: wafv2-webacl-not-empty

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una lista de control de acceso web (ACL web) de la V2 de AWS WAF contiene al menos una regla o un grupo de reglas. El control falla si una ACL web no contiene ninguna regla o grupo de reglas.

Una ACL web le proporciona un control detallado de todas las solicitudes web HTTP(S) a las que responde su recurso protegido. Una ACL web debe contener una colección de reglas y grupos de reglas que inspeccionen y controlen las solicitudes web. Si una ACL web está vacía, AWS WAF puede pasar el tráfico web sin detectarlo ni actuar en consecuencia, dependiendo de la acción predeterminada.

Corrección

Para añadir reglas o grupos de reglas a una ACL web de WAFV2 vacía, consulte Edición de una ACL web en la Guía para desarrolladores de AWS WAF.

El registro de ACL web de AWS WAF [WAF.11] debe estar habilitado

Requisitos relacionados: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8), PCI DSS v4.0.1/10.4.2

Categoría: Identificar - Registro

Gravedad: baja

Tipo de recurso: AWS::WAFv2::WebACL

AWS Config Regla de: wafv2-logging-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el registro está activado para una lista de control de acceso web (ACL web) de la V2 de AWS WAF. Este control falla si el registro está desactivado para la ACL web.

nota

Este control no comprueba si el registro de ACL web de AWS WAF está habilitado para una cuenta a través de Amazon Security Lake.

El registro mantiene la fiabilidad, disponibilidad y rendimiento de AWS WAF. Además, el registro es un requisito empresarial y de conformidad en muchas organizaciones. Al registrar el tráfico analizado por su ACL web, puede solucionar problemas de comportamiento de las aplicaciones.

Corrección

Para activar el Registro de una ACL de web AWS WAF, consulte Administrar el registro de una ACL de web en la Guía para desarrolladores de AWS WAF.

Las reglas de AWS WAF [WAF.12] deben tener habilitadas las métricas de CloudWatch

Requisitos relacionados: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8), NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7

Categoría: Identificar - Registro

Gravedad: media

Tipo de recurso: AWS::WAFv2::RuleGroup

AWS Config Regla de: wafv2-rulegroup-logging-enabled

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si una regla o un grupo de reglas de AWS WAF tienen habilitadas las métricas de Amazon CloudWatch. El control falla si la regla o el grupo de reglas no tienen habilitadas las métricas de CloudWatch.

La configuración de las métricas de CloudWatch de las reglas de AWS WAF y los grupos de reglas proporciona visibilidad del flujo de tráfico. Puede ver qué reglas de ACL se activan y qué solicitudes se aceptan y bloquean. Esta visibilidad puede ayudarle a identificar actividades maliciosas en los recursos asociados.

Corrección

Para habilitar las métricas de CloudWatch en un grupo de reglas de AWS WAF, invoque la API de UpdateRuleGroup. Para habilitar las métricas de CloudWatch en una regla de AWS WAF, invoque la API de UpdateWebACL. Establezca el campo CloudWatchMetricsEnabled como true. Cuando utiliza la consola de AWS WAF para crear reglas o grupos de reglas, las métricas de CloudWatch se habilitan automáticamente.