As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles CSPM do Security Hub para AWS AppSync
Esses controles CSPM do Security Hub avaliam o AWS AppSync serviço e os recursos.
Esses controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[AppSync.1] Os caches de AWS AppSync API devem ser criptografados em repouso
Categoria: Proteger > Proteção de dados > Criptografia de data-at-rest
Gravidade: média
Tipo de recurso: AWS::AppSync::GraphQLApi
Regra do AWS Config: appsync-cache-ct-encryption-at-rest
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cache de AWS AppSync API está criptografado em repouso. O controle falhará se o cache de AP não for criptografado em repouso.
Dados em repouso se referem a dados armazenados em um armazenamento persistente e não volátil por qualquer período. Criptografar os dados em repouso ajuda a proteger sua confidencialidade, reduzindo o risco de que um usuário não autorizado possa acessá-los.
Correção
Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte Cache encryption no AWS AppSync Developer Guide.
[AppSync.2] AWS AppSync deve ter o registro em nível de campo ativado
Requisitos relacionados: PCI DSS v4.0.1/10.4.2
Categoria: Identificar > Registro em log
Gravidade: média
Tipo de recurso: AWS::AppSync::GraphQLApi
Regra do AWS Config: appsync-logging-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
|
|
Nível de registro em log de campo |
Enum |
|
|
Esse controle verifica se uma AWS AppSync API tem o registro em nível de campo ativado. O controle falhará se o nível do log do resolvedor de campo estiver definido como Nenhum. A menos que você forneça valores de parâmetros personalizados para indicar que um tipo de log específico deve ser habilitado, o Security Hub CSPM produzirá uma descoberta aprovada se o nível do log do resolvedor de campo for ouERROR. ALL
É possível usar o registro em log e as métricas para identificar, solucionar problemas e otimizar as consultas do GraphQL. Ativar o registro no AWS AppSync GraphQL ajuda você a obter informações detalhadas sobre solicitações e respostas de API, identificar e responder a problemas e cumprir os requisitos regulatórios.
Correção
Para ativar o registroAWS AppSync, consulte Instalação e configuração no Guia do AWS AppSync desenvolvedor.
[AppSync.4] AWS AppSync APIs GraphQL deve ser marcado
Categoria: Identificar > Inventário > Marcação
Gravidade: baixa
Tipo de recurso: AWS::AppSync::GraphQLApi
AWS Configregra: tagged-appsync-graphqlapi (regra CSPM personalizada do Security Hub)
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
A lista de chaves que não são de sistema que o recurso avaliado deve conter. As chaves de tag diferenciam maiúsculas de minúsculas | StringList (máximo de 6 itens) | 1 a 6 chaves de tag que atendam aos requisitos da AWS. | Nenhum valor padrão |
Esse controle verifica se uma API do AWS AppSync GraphQL tem tags com as chaves específicas definidas no parâmetro. requiredTagKeys O controle falhará se a API do GraphQL não tiver nenhuma chave de tag ou se não tiver todas as chaves especificadas no parâmetro requiredTagKeys. Se o parâmetro requiredTagKeys não for fornecido, o controle verificará apenas a existência de uma chave de tag e falhará se a API do GraphQL não estiver marcada com nenhuma chave. As tags de sistema, que são aplicadas automaticamente e começam com aws:, são ignoradas.
Uma tag é um rótulo que você atribui a um AWS recurso e consiste em uma chave e um valor opcional. É possível criar tags para categorizar recursos por finalidade, proprietário, ambiente ou outros critérios. As tags podem ajudar você a identificar, organizar, pesquisar e filtrar recursos. A marcação também ajuda você a rastrear os proprietários de recursos responsáveis por ações e notificações. Ao usar tags, é possível implementar o controle de acesso por atributo (ABAC) como uma estratégia de autorização, que define permissões com base nas tags. Você pode anexar tags às entidades do IAM (usuários ou funções) e aos AWS recursos. É possível criar uma única política de ABAC ou um conjunto separado de políticas para as entidades do IAM. É possível criar essas políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso. Para obter mais informações, consulte Para que serve o ABAC? AWS no Guia do usuário do IAM.
nota
Não adicione informações de identificação pessoal (PII) nem outras informações confidenciais ou sensíveis em tags. As tags podem ser acessadas por muitosServiços da AWS, inclusiveAWS Billing. Para obter mais práticas recomendadas de marcação, consulte Como marcar seus AWS recursos no. Referência geral da AWS
Correção
Para adicionar tags a uma API do AWS AppSync GraphQL, consulte TagResourcena Referência da AWS AppSyncAPI.
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves de API
Requisitos relacionados: NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-6
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Gravidade: alta
Tipo de recurso: AWS::AppSync::GraphQLApi
Regra do AWS Config: appsync-authorization-check
Tipo de programação: acionado por alterações
Parâmetros:
AllowedAuthorizationTypes:AWS_LAMBDA,AWS_IAM, OPENID_CONNECT, AMAZON_COGNITO_USER_POOLS(não personalizável)
Esse controle verifica se seu aplicativo usa uma chave de API para interagir com uma API do AWS AppSync GraphQL. O controle falhará se uma API do AWS AppSync GraphQL for autenticada com uma chave de API.
Uma chave de API é um valor codificado em seu aplicativo que é gerado pelo AWS AppSync serviço quando você cria um endpoint GraphQL não autenticado. Se essa chave de API for comprometida, seu endpoint ficará vulnerável ao acesso não intencional. A menos que você ofereça suporte a um aplicativo ou site acessível ao público, não recomendamos o uso de uma chave de API para autenticação.
Correção
Para definir uma opção de autorização para sua API do AWS AppSync GraphQL, consulte Autorização e autenticação no Guia do AWS AppSyncdesenvolvedor.
[AppSync.6] Os caches de AWS AppSync API devem ser criptografados em trânsito
Categoria: Proteger > Proteção de dados > Criptografia de data-in-transit
Gravidade: média
Tipo de recurso: AWS::AppSync::ApiCache
Regra do AWS Config: appsync-cache-ct-encryption-in-transit
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um cache de AWS AppSync API está criptografado em trânsito. O controle falhará se o cache de AP não for criptografado em trânsito.
Dados em trânsito se referem a dados que se movem de um local para outro, como entre os nós do cluster ou entre o cluster e a aplicação. Os dados podem se mover pela Internet ou em uma rede privada. Criptografar dados em trânsito reduz o risco de um usuário não autorizado espionar o tráfego da rede.
Correção
Você não pode alterar as configurações de criptografia depois de ativar o armazenamento em cache para sua AWS AppSync API. Em vez disso, é necessário excluir o cache e recriá-lo com a criptografia habilitada. Para obter mais informações, consulte Cache encryption no AWS AppSync Developer Guide.
