Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol CSPM Security Hub untuk Amazon API Gateway
AWS Security Hub CSPMKontrol ini mengevaluasi layanan dan sumber daya Amazon API Gateway. Kontrol mungkin tidak tersedia di semuaWilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya:AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage
AWS Configaturan: api-gw-execution-logging-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
|
|
Tingkat pencatatan log |
Enum |
|
|
Kontrol ini memeriksa apakah semua tahapan Amazon API Gateway REST atau WebSocket API telah diaktifkan pencatatan. Kontrol gagal jika loggingLevel tidak ERROR atau INFO untuk semua tahapan API. Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub CSPM menghasilkan temuan yang diteruskan jika tingkat logging salah satu atauERROR. INFO
API Gateway REST atau WebSocket API tahapan harus mengaktifkan log yang relevan. API Gateway REST dan pencatatan eksekusi WebSocket API menyediakan catatan terperinci tentang permintaan yang dibuat ke API Gateway REST dan tahapan WebSocket API. Tahapannya meliputi respons backend integrasi API, respons otorisasi Lambda, dan titik akhir untuk integrasi. requestId AWS
Remediasi
Untuk mengaktifkan logging untuk operasi REST dan WebSocket API, lihat Mengatur pencatatan CloudWatch API menggunakan konsol API Gateway di Panduan Pengembang API Gateway.
[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend
Persyaratan terkait: NIST.800-53.r5 AC-1 7 (2),, NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 Nist.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), Nist.800-171.r2 3.13.15 NIST.800-53.r5 SC-8
Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Configaturan: api-gw-ssl-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah tahapan API Amazon API Gateway REST memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway.
Tahapan API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan tersebut berasal dari API Gateway.
Remediasi
Untuk petunjuk mendetail tentang cara membuat dan mengonfigurasi sertifikat SSL API Gateway REST API, lihat Menghasilkan dan mengonfigurasi sertifikat SSL untuk autentikasi backend di Panduan Pengembang API Gateway.
[APIGateway.3] Tahapan API Gateway REST API harus mengaktifkan AWS X-Ray penelusuran
Persyaratan terkait: NIST.800-53.r5 CA-7
Kategori: Deteksi > Layanan deteksi
Tingkat keparahan: Rendah
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Configaturan: api-gw-xray-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah penelusuran AWS X-Ray aktif diaktifkan untuk tahapan API REST Amazon API Gateway Anda.
X-Ray active tracing memungkinkan respons yang lebih cepat terhadap perubahan kinerja pada infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. X-Ray active tracing menyediakan metrik real-time dari permintaan pengguna yang mengalir melalui operasi API API Gateway REST API dan layanan yang terhubung.
Remediasi
Untuk petunjuk terperinci tentang cara mengaktifkan penelusuran aktif X-Ray untuk operasi API Gateway REST API, lihat dukungan penelusuran aktif Amazon API Gateway AWS X-Ray di Panduan AWS X-RayPengembang.
[APIGateway.4] API Gateway harus dikaitkan dengan ACL Web WAF
Persyaratan terkait: NIST.800-53.r5 AC-4 (21)
Kategori: Lindungi > Layanan pelindung
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Configaturan: api-gw-associated-with-waf
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses AWS WAF web (ACL). Kontrol ini gagal jika ACL AWS WAF web tidak dilampirkan ke tahap REST API Gateway.
AWS WAFadalah firewall aplikasi web yang membantu melindungi aplikasi web dan APIs dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan ACL AWS WAF web untuk membantu melindunginya dari serangan berbahaya.
Remediasi
Untuk informasi tentang cara menggunakan konsol API Gateway untuk mengaitkan ACL web AWS WAF Regional dengan tahap API Gateway API yang ada, lihat Menggunakan AWS WAF untuk melindungi Anda APIs di Panduan Pengembang API Gateway.
[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat
Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Kategori: Lindungi > Perlindungan data > Enkripsi data saat istirahat
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGateway::Stage
AWS Configaturan: api-gw-cache-encrypted (aturan CSPM Security Hub kustom)
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah semua metode dalam tahapan API Gateway REST API yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Security Hub CSPM mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.
Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Ini menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.
Cache API Gateway REST API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.
Remediasi
Untuk mengonfigurasi cache API untuk suatu tahap, lihat Mengaktifkan caching Amazon API Gateway di Panduan Pengembang API Gateway. Di Pengaturan Cache, pilih Enkripsi data cache.
[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi
Persyaratan terkait: NIST.800-53.r5 AC-3, Nist.800-53.r5 CM-2, Nist.800-53.R5 CM-2 (2)
Kategori: Lindungi > Manajemen Akses Aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGatewayV2::Route
AWS Configaturan: api-gwv2-authorization-type-configured
Jenis jadwal: Periodik
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
|
|
Jenis otorisasi rute API |
Enum |
|
Tidak ada nilai default |
Kontrol ini memeriksa apakah rute Amazon API Gateway memiliki jenis otorisasi. Kontrol gagal jika rute API Gateway tidak memiliki jenis otorisasi apa pun. Secara opsional, Anda dapat memberikan nilai parameter khusus jika Anda ingin kontrol lulus hanya jika rute menggunakan jenis otorisasi yang ditentukan dalam parameter. authorizationType
API Gateway mendukung beberapa mekanisme untuk mengontrol dan mengelola akses ke API Anda. Dengan menentukan jenis otorisasi, Anda dapat membatasi akses ke API hanya untuk pengguna atau proses yang berwenang.
Remediasi
Untuk menetapkan jenis otorisasi untuk HTTP APIs, lihat Mengontrol dan mengelola akses ke API HTTP di API Gateway di Panduan Pengembang API Gateway. Untuk menetapkan jenis otorisasi WebSocket APIs, lihat Mengontrol dan mengelola akses ke WebSocket API di API Gateway di Panduan Pengembang API Gateway.
[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2
Persyaratan terkait: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Kategori: Identifikasi > Logging
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::ApiGatewayV2::Stage
AWS Configaturan: api-gwv2-access-logs-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah tahapan Amazon API Gateway V2 memiliki pencatatan akses yang dikonfigurasi. Kontrol ini gagal jika pengaturan log akses tidak ditentukan.
Log akses API Gateway memberikan informasi terperinci tentang siapa yang telah mengakses API Anda dan bagaimana penelepon mengakses API. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aktifkan log akses ini untuk menganalisis pola lalu lintas dan memecahkan masalah.
Untuk praktik terbaik lainnya, lihat Memantau REST APIs di Panduan Pengembang API Gateway.
Remediasi
Untuk menyiapkan pencatatan akses, lihat Mengatur pencatatan CloudWatch API menggunakan konsol API Gateway di Panduan Pengembang API Gateway.
