As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para o Amazon API Gateway
Esses AWS Security Hub controles avaliam o serviço e os recursos do Amazon API Gateway. Os controles da podem não estar disponíveis em todas as Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[APIGateway.1] O registro de execução do API de Gateway, WebSocket REST e execução de API deve estar ativado
Requisitos relacionados: NIST.800-53.r5 AC-4 (26),, NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8)
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage,AWS::ApiGatewayV2::Stage
Regra do AWS Config : api-gw-execution-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Nível de registro |
Enum |
|
|
Esse controle verifica se todos os estágios de um Amazon API Gateway REST ou WebSocket API têm o registro em log ativado. O controle falhará se o loggingLevel não for ERROR ou INFO em todos os estágios da API. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub produzirá uma descoberta aprovada se o nível de registro em log for ERROR ou INFO.
Os estágios da API de Gateway WebSocket REST ou da API devem ter logs relevantes habilitados. O API Gateway WebSocket REST e o registro de execução da API fornecem registros detalhados das solicitações feitas nos estágios API Gateway WebSocket REST e API. Os estágios incluem respostas de back-end de integração de API, respostas do autorizador Lambda e requestId os endpoints de integração de for. AWS
Correção
Para habilitar o registro em log para operações de WebSocket API e REST, consulte Configurar CloudWatch o registro em log usando o console da API Gateway no Guia do desenvolvedor da API Gateway.
[APIGateway.2] Os estágios da API REST de Gateway devem ser configurados para usar certificados SSL para autenticação de back-end
Requisitos relacionados: NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2), NIST.800-53.r5 SC-8 NIST.800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.r2 3.13.15 NIST.800-53.r5 SC-8
Categoria: Proteger > Criptografia de data-in-transit
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage
Regra do AWS Config : api-gw-ssl-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os estágios da API REST do Amazon API Gateway têm certificados SSL configurados. Os sistemas de back-end usam esses certificados para autenticar que as solicitações recebidas são da API Gateway.
Os estágios da API REST da API Gateway devem ser configurados com certificados SSL para permitir que os sistemas de back-end autentiquem que as solicitações são originadas da API Gateway.
Correção
Para obter instruções detalhadas sobre como gerar e configurar certificados SSL da API REST da API Gateway, consulte Gerar e configurar um certificado SSL para autenticação de back-end no Guia do desenvolvedor do API Gateway.
[APIGateway.3] Os estágios da API REST de Gateway devem ter o AWS X-Ray rastreamento habilitado
Requisitos relacionados: NIST.800-53.r5 CA-7
Categoria: Detectar > Serviços de detecção
Severidade: baixa
Tipo de recurso: AWS::ApiGateway::Stage
Regra do AWS Config : api-gw-xray-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se o rastreamento AWS X-Ray ativo está habilitado para os estágios da API REST do Amazon API Gateway.
O rastreamento ativo X-Ray permite uma resposta mais rápida às alterações de desempenho na infraestrutura subjacente. Alterações no desempenho podem resultar na falta de disponibilidade da API. O rastreamento ativo do X-Ray fornece métricas em tempo real das solicitações do usuário que fluem pelas operações da API REST da API Gateway e serviços conectados.
Correção
Para obter instruções detalhadas sobre como habilitar o rastreamento ativo do X-Ray para operações de API REST do API Gateway, consulte o suporte ao rastreamento ativo do Amazon API Gateway para AWS X-Ray no Guia do desenvolvedor do AWS X-Ray .
[APIGateway.4] O API Gateway deve ser associado a uma ACL da web do WAF
Requisitos relacionados: NIST.800-53.r5 AC-4 (21)
Categoria: Proteger > Serviços de proteção
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage
Regra do AWS Config : api-gw-associated-with-waf
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso (ACL) AWS WAF da web do. Esse controle falhará se uma ACL AWS WAF da web do não estiver conectada a um estágio API REST Gateway.
AWS WAF O é um firewall de aplicativo web que ajuda a proteger aplicativos web APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio API Gateway esteja associado a uma ACL AWS WAF da web do para ajudar a protegê-lo contra ataques maliciosos.
Correção
Para obter informações sobre como usar o console do API Gateway para associar uma ACL da web do AWS WAF Regional a um estágio de API do API do API Gateway existente, consulte Usar AWS WAF para proteger sua APIs no Guia do desenvolvedor do API Gateway.
[APIGateway.5] Os dados do cache da API REST de Gateway devem ser criptografados em repouso
Requisitos relacionados: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)
Categoria: Proteger > Proteção de dados > Criptografia de dados em repouso
Severidade: média
Tipo de recurso: AWS::ApiGateway::Stage
Regra AWS Config : api-gw-cache-encrypted (regra personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se todos os métodos nos estágios da API REST do API Gateway que têm o cache ativado estão criptografados. O controle falhará se algum método em um estágio da API REST do API Gateway estiver configurado para armazenar em cache e o cache não estiver criptografado. O Security Hub avalia a criptografia de um método específico somente quando o armazenamento em cache estiver habilitado para esse método.
Criptografar dados em repouso reduz o risco de os dados armazenados em disco serem acessados por um usuário não autenticado na. AWS Ele adiciona outro conjunto de controles de acesso para limitar a capacidade de usuários não autorizados acessarem os dados. Por exemplo, as permissões da API são necessárias para descriptografar os dados antes que eles possam ser lidos.
Os caches da API REST do API Gateway devem ser criptografados em repouso para uma camada adicional de segurança.
Correção
Para configurar o cache da API para um estágio, consulte Habilitar o armazenamento em cache do Amazon API Gateway no Guia do desenvolvedor do API Gateway. Em Configurações de cache, escolha Criptografar dados de cache.
[APIGateway.8] As rotas do API de Gateway devem especificar um tipo de autorização
Requisitos relacionados: NIST.800-53.r5 CM-2 NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2 (2)
Categoria: Proteger > Gerenciamento de acesso seguro
Severidade: média
Tipo de recurso: AWS::ApiGatewayV2::Route
Regra do AWS Config : api-gwv2-authorization-type-configured
Tipo de programação: Periódico
Parâmetros:
| Parameter | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
|---|---|---|---|---|
|
|
Tipo de autorização das rotas de API |
Enum |
|
Nenhum valor padrão |
Esse controle verifica se as rotas do Amazon API Gateway têm um tipo de autorização. O controle falhará se a rota do API Gateway não tiver nenhum tipo de autorização. Opcionalmente, é possível fornecer um valor de parâmetro personalizado se quiser que o controle passe somente se a rota usar o tipo de autorização especificado no parâmetro authorizationType.
O API Gateway oferece suporte a vários mecanismos de controle e gerenciamento de acesso à sua API. Ao especificar um tipo de autorização, você pode restringir o acesso à sua API somente a usuários ou processos autorizados.
Correção
Para definir um tipo de autorização para HTTP APIs, consulte Controlar e gerenciar o acesso a uma API HTTP no API Gateway no Guia do desenvolvedor do API Gateway. Para definir um tipo de autorização para WebSocket APIs, consulte Controlar e gerenciar o acesso a uma WebSocket API no API Gateway no Guia do desenvolvedor do API Gateway.
[APIGateway.9] O registro de acesso deve ser configurado para os estágios V2 do API Gateway
Requisitos relacionados: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-7 (8), PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Severidade: média
Tipo de recurso: AWS::ApiGatewayV2::Stage
Regra do AWS Config : api-gwv2-access-logs-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se os estágios do Amazon API Gateway V2 têm o registro em log de acesso configurado. Esse controle falhará se as configurações do log de acesso não estiverem definidas.
Os logs de acesso ao API Gateway fornecem informações detalhadas sobre quem acessou sua API e como o chamador acessou a API. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Habilite esses logs de acesso para analisar padrões de tráfego e solucionar problemas.
Para obter mais práticas recomendadas, consulte Monitoramento de REST APIs no Guia do desenvolvedor do API Gateway.
Correção
Para habilitar o registro em log, consulte Configurar o registro em log CloudWatch da API usando o console da API Gateway no Guia do desenvolvedor da API Gateway.
