Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Security Hub per Amazon API Gateway
Questi AWS Security Hub controlli valutano il servizio e le risorse di Amazon API Gateway. I controlli potrebbero non essere disponibili in tutti Regioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[APIGateway.1] API Gateway REST e la registrazione dell'esecuzione dell' WebSocket API devono essere abilitati
Requisiti correlati: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)
Categoria: Identificazione > Registrazione
Gravità: media
AWS::ApiGateway::StageTipo di risorsa:, AWS::ApiGatewayV2::Stage
Regola AWS Config : api-gw-execution-logging-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Descrizione | Tipo | Allowed values | Security Hub: valore predefinito |
|---|---|---|---|---|
|
|
Livello di logging |
Enum |
|
|
Questo controllo verifica se la registrazione è abilitata in tutte le fasi di un REST o di un' WebSocket API di Amazon API Gateway. Il controllo fallisce se loggingLevel non lo è ERROR o INFO per tutte le fasi dell'API. A meno che non si forniscano valori di parametri personalizzati per indicare che un tipo di registro specifico deve essere abilitato, Security Hub produce un risultato positivo se il livello di registrazione è uno ERROR o INFO l'altro.
API Gateway WebSocket REST o le fasi API devono avere i log pertinenti abilitati. La registrazione REST e l'esecuzione delle WebSocket API di API Gateway forniscono registrazioni dettagliate delle richieste effettuate alle fasi REST e API di WebSocket API Gateway. Le fasi includono le risposte di backend di integrazione delle API, le risposte di autorizzazione Lambda e gli endpoint per requestId l' AWS integrazione.
Correzione
Per abilitare la registrazione per le operazioni WebSocket REST e API, consulta Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway nella API Gateway Developer Guide.
[APIGateway.2] Le fasi API REST di API Gateway devono essere configurate per utilizzare i certificati SSL per l'autenticazione del backend
Requisiti correlati: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), (2), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-2
Categoria: Protezione > Protezione dei dati > Crittografia di data-in-transit
Gravità: media
Tipo di risorsa: AWS::ApiGateway::Stage
Regola AWS Config : api-gw-ssl-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se le fasi API REST di Amazon API Gateway hanno certificati SSL configurati. I sistemi di backend utilizzano questi certificati per autenticare che le richieste in entrata provengano da API Gateway.
Le fasi REST API Gateway devono essere configurate con certificati SSL per consentire ai sistemi di backend di autenticare l'origine delle richieste dal Gateway API.
Correzione
Per istruzioni dettagliate su come generare e configurare i certificati SSL API REST API Gateway, consulta Generare e configurare un certificato SSL per l'autenticazione di backend nella Guida per sviluppatori di API Gateway.
[APIGateway.3] Le fasi API REST di API Gateway devono avere la AWS X-Ray traccia abilitata
Requisiti correlati: NIST.800-53.r5 CA-7
Categoria: Rilevamento > Servizi di rilevamento
Gravità: bassa
Tipo di risorsa: AWS::ApiGateway::Stage
Regola AWS Config : api-gw-xray-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se il tracciamento AWS X-Ray attivo è abilitato per le fasi dell'API REST di Amazon API Gateway.
Il tracciamento attivo a raggi X consente una risposta più rapida ai cambiamenti delle prestazioni nell'infrastruttura sottostante. Le modifiche nelle prestazioni potrebbero comportare una mancanza di disponibilità dell'API. Il tracciamento attivo di X-Ray fornisce metriche in tempo reale delle richieste degli utenti che fluiscono attraverso le operazioni dell'API REST dell'API Gateway e i servizi connessi.
Correzione
Per istruzioni dettagliate su come abilitare il tracciamento attivo a raggi X per le operazioni dell'API REST di API Gateway, consulta il supporto per il tracciamento attivo di Amazon API Gateway AWS X-Ray nella Developer Guide.AWS X-Ray
[APIGateway.4] API Gateway deve essere associato a un ACL Web WAF
Requisiti correlati: NIST.800-53.r5 AC-4 (21)
Categoria: Proteggi > Servizi di protezione
Gravità: media
Tipo di risorsa: AWS::ApiGateway::Stage
Regola AWS Config : api-gw-associated-with-waf
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se una fase API Gateway utilizza una lista di controllo accessi (ACL) AWS WAF Web. Questo controllo ha esito negativo se un ACL AWS WAF Web non è collegato a uno stadio REST API Gateway.
AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e APIs dagli attacchi. Consente di configurare un ACL, ovvero un set di regole per consentire, bloccare o contare le richieste Web in base a condizioni e regole di sicurezza Web personalizzabili definite dall'utente. Assicurati che la fase API Gateway sia associata a un'ACL AWS WAF Web per contribuire a proteggerla da attacchi dannosi.
Correzione
Per informazioni su come utilizzare la console API Gateway per associare un'ACL Web AWS WAF regionale a una fase API di API Gateway esistente, vedere Using to protection nella Guida per lo sviluppatore API Gateway esistente, vedere Using AWS WAF to protect APIs nella Guida per lo sviluppatore API Gateway.
[APIGateway.5] I dati della cache dell'API REST di API Gateway devono essere crittografati quando sono inattivi
Requisiti correlati: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.R5 SI-7 (6)
Categoria: Protezione > Protezione dei dati > Crittografia dei dati inattivi
Gravità: media
Tipo di risorsa: AWS::ApiGateway::Stage
AWS Config regola: api-gw-cache-encrypted (regola Security Hub personalizzata)
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se tutti i metodi nelle fasi API REST di API Gateway con cache abilitata sono crittografati. Il controllo ha esito negativo se un metodo in una fase API REST Gateway API è configurato per la cache e la cache non è crittografata. Security Hub valuta la crittografia di un particolare metodo solo quando la memorizzazione nella cache è abilitata per quel metodo.
La crittografia dei dati inattivi riduce il rischio di accesso ai dati archiviati su disco da parte di un utente non autenticato. AWS Aggiunge un altro set di controlli di accesso per limitare la capacità degli utenti non autorizzati di accedere ai dati. Ad esempio, sono necessarie le autorizzazioni API per decrittografare i dati prima che possano essere letti.
Le cache delle API REST di API Gateway devono essere crittografate quando sono inattive per un ulteriore livello di sicurezza.
Correzione
Per configurare la memorizzazione nella cache delle API per una fase, consulta Abilita la memorizzazione nella cache di Amazon API Gateway nella API Gateway Developer Guide. In Impostazioni cache, scegli Crittografa i dati della cache.
[APIGateway.8] Le rotte API Gateway devono specificare un tipo di autorizzazione
Requisiti correlati: NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)
Categoria: Protezione > Gestione sicura degli accessi
Gravità: media
Tipo di risorsa: AWS::ApiGatewayV2::Route
Regola AWS Config : api-gwv2-authorization-type-configured
Tipo di pianificazione: periodica
Parametri:
| Parametro | Descrizione | Tipo | Allowed values | Security Hub: valore predefinito |
|---|---|---|---|---|
|
|
Tipo di autorizzazione dei percorsi API |
Enum |
|
Nessun valore predefinito |
Questo controllo verifica se per i percorsi di Gateway Amazon API esiste un tipo di autorizzazione. Il controllo fallisce se la route API Gateway non ha alcun tipo di autorizzazione. Facoltativamente, puoi fornire un valore di parametro personalizzato se desideri che il controllo passi solo se la route utilizza il tipo di autorizzazione specificato nel authorizationType parametro.
API Gateway supporta più meccanismi per controllare e gestire l'accesso all'API. Specificando un tipo di autorizzazione, puoi limitare l'accesso all'API solo agli utenti o ai processi autorizzati.
Correzione
Per impostare un tipo di autorizzazione per HTTP APIs, vedere Controllo e gestione dell'accesso a un'API HTTP in API Gateway nella Guida per lo sviluppatore API Gateway nella Guida per lo sviluppatore API Gateway nella Guida per lo sviluppatore API Gateway. Per impostare un tipo di autorizzazione per WebSocket APIs, vedere Controllo e gestione dell'accesso a un' WebSocket API in API Gateway nella Guida per lo sviluppatore API Gateway nella Guida per lo sviluppatore API Gateway.
[APIGateway.9] La registrazione degli accessi deve essere configurata per API Gateway V2 Stages
Requisiti correlati: NIST.800-53.r5 AC-4 (26), (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-7 (8), PCI DSS v4.0.1/10.4.2
Categoria: Identificazione > Registrazione
Gravità: media
Tipo di risorsa: AWS::ApiGatewayV2::Stage
Regola AWS Config : api-gwv2-access-logs-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se la registrazione di log degli accessi è configurata per tutte le fasi di Gateway Amazon API V2. Questo controllo fallisce se le impostazioni del log di accesso non sono definite.
I log di accesso API Gateway forniscono informazioni dettagliate su chi ha avuto accesso alla tua API e in che modo l'intermediario ha avuto accesso all'API. Questi log sono utili per applicazioni quali audit di sicurezza e accesso e indagini forensi. Abilita questi log di accesso per analizzare i modelli di traffico e risolvere i problemi.
Per ulteriori best practice, consulta Monitoring REST APIs nella API Gateway Developer Guide.
Correzione
Per configurare la registrazione degli accessi, consulta Configurare la registrazione delle CloudWatch API utilizzando la console API Gateway nella Guida per sviluppatori di API Gateway.
