的 Security Hub CSPM 控制項AWS WAF - AWSSecurity Hub
【WAF.1】應啟用AWS WAF傳統全域 Web ACL 記錄【WAF.2】AWS WAF傳統區域規則應至少有一個條件【WAF.3】AWS WAF傳統區域規則群組應至少有一個規則【WAF.4】AWS WAF傳統區域 Web ACLs應至少有一個規則或規則群組【WAF.6】AWS WAF傳統全域規則應至少有一個條件【WAF.7】AWS WAF傳統全域規則群組應至少有一個規則【WAF.8】AWS WAF傳統全域 Web ACLs 應至少有一個規則或規則群組【WAF.10】AWS WAFWeb ACLs應至少有一個規則或規則群組【WAF.11】應該啟用 AWS WAFWeb ACL 記錄【WAF.12】AWS WAF規則應啟用 CloudWatch 指標

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的 Security Hub CSPM 控制項AWS WAF

這些AWS Security Hub CSPM控制項會評估 AWS WAF服務和資源。控制項可能無法全部使用AWS 區域。如需詳細資訊,請參閱依區域的控制項可用性

【WAF.1】應啟用AWS WAF傳統全域 Web ACL 記錄

相關需求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(7)、PCIIST.1000.10.4.2)、

類別:識別 > 記錄日誌

嚴重性:

資源類型: AWS::WAF::WebACL

AWS Config 規則:waf-classic-logging-enabled

排程類型:定期

參數:

此控制項會檢查是否啟用AWS WAF全域 Web ACL 的記錄。如果 Web ACL 未啟用記錄,則此控制項會失敗。

記錄是維護 AWS WAF全球可靠性、可用性和效能的重要部分。這是許多組織的業務和合規要求,可讓您對應用程式行為進行疑難排解。它也提供所連接 Web ACL 所分析流量的詳細資訊AWS WAF。

修補

若要啟用 AWS WAFWeb ACL 的記錄,請參閱《 AWS WAF開發人員指南》中的記錄 Web ACL 流量資訊

【WAF.2】AWS WAF傳統區域規則應至少有一個條件

相關要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::WAFRegional::Rule

AWS Config 規則:waf-regional-rule-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查AWS WAF區域規則是否具有至少一個條件。如果規則中沒有條件,則控制項會失敗。

WAF 區域規則可以包含多個條件。規則的條件允許流量檢查,並採取定義的動作 (允許、封鎖或計數)。如果沒有任何條件,流量會通過而不進行檢查。沒有條件但具有建議允許、封鎖或計數之名稱或標籤的 WAF 區域性規則,可能會導致錯誤地假設發生其中一個動作。

修補

若要將條件新增至空白規則,請參閱《 AWS WAF開發人員指南》中的在規則中新增和移除條件

【WAF.3】AWS WAF傳統區域規則群組應至少有一個規則

相關需求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::WAFRegional::RuleGroup

AWS Config 規則:waf-regional-rulegroup-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查AWS WAF區域規則群組是否至少有一個規則。如果規則群組中沒有規則,則控制項會失敗。

WAF 區域規則群組可以包含多個規則。規則的條件允許流量檢查,並採取定義的動作 (允許、封鎖或計數)。如果沒有任何規則,流量會通過而不進行檢查。沒有規則但具有建議允許、封鎖或計數之名稱或標籤的 WAF 區域規則群組,可能會導致錯誤地假設發生其中一個動作。

修補

若要將規則和規則條件新增至空白規則群組,請參閱《 AWS WAF開發人員指南》中的從 AWS WAFClassic 規則群組新增和刪除規則,以及新增和移除規則中的條件

【WAF.4】AWS WAF傳統區域 Web ACLs應至少有一個規則或規則群組

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::WAFRegional::WebACL

AWS Config 規則:waf-regional-webacl-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查 AWS WAF Classic 區域性Web ACL 是否包含任何 WAF 規則或 WAF 規則群組。如果 Web ACL 不包含任何 WAF 規則或規則群組,則此控制項會失敗。

WAF 區域 Web ACL 可以包含規則和規則群組的集合,以檢查和控制 Web 請求。如果 Web ACL 是空的,則 Web 流量可以通過,而不會被 WAF 偵測到或對其採取動作,具體取決於預設動作。

修補

若要將規則或規則群組新增至空白的 AWS WAFClassic Regional Web ACL,請參閱《 AWS WAF開發人員指南》中的編輯 Web ACL

【WAF.6】AWS WAF傳統全域規則應至少有一個條件

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::WAF::Rule

AWS Config 規則:waf-global-rule-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查AWS WAF全域規則是否包含任何條件。如果規則中沒有條件,則控制項會失敗。

WAF 全域規則可以包含多個條件。規則的條件允許流量檢查,並採取定義的動作 (允許、封鎖或計數)。如果沒有任何條件,流量會通過而不進行檢查。沒有條件但具有建議允許、封鎖或計數之名稱或標籤的 WAF 全域規則,可能會導致錯誤的假設發生其中一個動作。

修補

如需建立規則和新增條件的說明,請參閱《 AWS WAF開發人員指南》中的建立規則和新增條件

【WAF.7】AWS WAF傳統全域規則群組應至少有一個規則

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::WAF::RuleGroup

AWS Config 規則:waf-global-rulegroup-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查AWS WAF全域規則群組是否具有至少一個規則。如果規則群組中沒有規則,則控制項會失敗。

WAF 全域規則群組可以包含多個規則。規則的條件允許流量檢查,並採取定義的動作 (允許、封鎖或計數)。如果沒有任何規則,流量會通過而不進行檢查。沒有規則,但名稱或標籤建議允許、封鎖或計數的 WAF 全域規則群組,可能會導致錯誤地假設發生其中一個動作。

修補

如需將規則新增至規則群組的指示,請參閱《 AWS WAF開發人員指南》中的建立 AWS WAFClassic 規則群組

【WAF.8】AWS WAF傳統全域 Web ACLs 應至少有一個規則或規則群組

相關需求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::WAF::WebACL

AWS Config 規則:waf-global-webacl-not-empty

排程類型:已觸發變更

參數:

此控制項會檢查AWS WAF全域 Web ACL 是否包含至少一個 WAF 規則或 WAF 規則群組。如果 Web ACL 不包含任何 WAF 規則或規則群組,則控制項會失敗。

WAF 全域 Web ACL 可以包含規則和規則群組的集合,以檢查和控制 Web 請求。如果 Web ACL 是空的,則 Web 流量可以通過,而不會被 WAF 偵測到或對其採取動作,具體取決於預設動作。

修補

若要將規則或規則群組新增至空白的AWS WAF全域 Web ACL,請參閱《 AWS WAF開發人員指南》中的編輯 Web ACL。針對篩選條件,選擇全域 (CloudFront)

【WAF.10】AWS WAFWeb ACLs應至少有一個規則或規則群組

相關需求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

類別:保護 > 安全網路組態

嚴重性:

資源類型: AWS::WAFv2::WebACL

AWS Config 規則:wafv2-webacl-not-empty

排程類型:變更已觸發

參數:

此控制項會檢查 anAWS WAFV2 Web 存取控制清單 (Web ACL) 是否包含至少一個規則或規則群組。如果 Web ACL 不包含任何規則或規則群組,則控制項會失敗。

Web ACL 可讓您精細控制受保護資源回應的所有 HTTP(S) Web 請求。Web ACL 應包含規則和規則群組的集合,以檢查和控制 Web 請求。如果 Web ACL 是空的,AWS WAF則 Web 流量可以通過,而不會被偵測到或由 根據預設動作採取動作。

修補

若要將規則或規則群組新增至空的 WAFV2 Web ACL,請參閱《 AWS WAF開發人員指南》中的編輯 Web ACL

【WAF.11】應該啟用 AWS WAFWeb ACL 記錄

相關要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(950.5)、NIST.50 SI-710.4.25

類別:識別 > 記錄日誌

嚴重性:

資源類型: AWS::WAFv2::WebACL

AWS Config規則: wafv2-logging-enabled

排程類型:定期

參數:

此控制項會檢查是否針對 anAWS WAFV2 Web 存取控制清單 (Web ACL) 啟用記錄。如果 Web ACL 的記錄已停用,則此控制項會失敗。

注意

此控制項不會檢查是否透過 Amazon Security Lake 為帳戶啟用 AWS WAFWeb ACL 記錄。

記錄可維護 的可靠性、可用性和效能AWS WAF。此外,記錄是許多組織中的商業和合規要求。透過記錄 Web ACL 分析的流量,您可以對應用程式行為進行疑難排解。

修補

若要啟用 AWS WAFWeb ACL 的記錄,請參閱《 AWS WAF開發人員指南》中的管理 Web ACL 的記錄

【WAF.12】AWS WAF規則應啟用 CloudWatch 指標

相關要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7 SI-7

類別:識別 > 記錄日誌

嚴重性:

資源類型: AWS::WAFv2::RuleGroup

AWS Config規則: wafv2-rulegroup-logging-enabled

排程類型:已觸發變更

參數:

此控制項會檢查AWS WAF規則或規則群組是否已啟用 Amazon CloudWatch 指標。如果規則或規則群組未啟用 CloudWatch 指標,則控制項會失敗。

在AWS WAF規則和規則群組上設定 CloudWatch 指標可提供流量的可見性。您可以查看觸發哪些 ACL 規則,以及接受和封鎖哪些請求。此可見性可協助您識別相關聯資源上的惡意活動。

修補

若要在AWS WAF規則群組上啟用 CloudWatch 指標,請叫用 UpdateRuleGroup API。若要在AWS WAF規則上啟用 CloudWatch 指標,請叫用 UpdateWebACL API。將 CloudWatchMetricsEnabled 欄位設定為 true。當您使用AWS WAF主控台建立規則或規則群組時,會自動啟用 CloudWatch 指標。