Amazon API Gateway 控件 - Amazon Security Hub
[ApigateWay.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证[APIGateway.3] API Gateway REST API 阶段应启用 Amazon X-Ray 追踪功能[APIGateway.4] API Gateway 应与 WAF Web ACL 关联[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密[APIGateway.8] API Gateway 路由应指定授权类型[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon API Gateway 控件

这些控件与 API Gateway 资源有关。

这些控件可能并非全部可用 Amazon Web Services 区域。有关更多信息,请参阅 按地区划分的控件可用性

[ApigateWay.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::ApiGateway::StageAWS::ApiGatewayV2::Stage

Amazon Config 规则:api-gw-execution-logging-enabled

计划类型:已触发变更

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

loggingLevel

Logging level(日志记录级别)

枚举

ERROR, INFO

No default value

此控件会检查 Amazon API Gateway REST 或 WebSocket API 的所有阶段是否都启用了日志记录。如果对于 API 的所有阶段 loggingLevel 不是 ERROR 或者 INFO,则控制失败。除非您提供自定义参数值来指示应启用特定的日志类型,否则如果日志记录级别为 ERRORINFO,Security Hub 会生成通过的调查发现。

API Gateway REST 或 WebSocket API 阶段应启用相关日志。API Gateway REST 和 WebSocket API 执行日志提供了向 API Gateway REST 和 WebSocket API 阶段发出的请求的详细记录。这些阶段包括 API 集成后端响应、Lambda 授权方响应和集成终端节点requestId。 Amazon

修复

要启用 REST 和 WebSocket API 操作的日志记录,请参阅《AP CloudWatch I Gateway 开发者指南》中的使用 API Gateway 控制台设置 API 日志记录。

[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证

相关要求:NIST.800-53.r5 AC-17(2)、NIST.800-53.r5 AC-4、NIST.800-53.r5 IA-5(1)、NIST.800-53.r5 SC-12(3)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-23、NIST.800-53.r5 SC-23(3)、NIST.800-53.r5 SC-7(4)、NIST.800-53.r5 SC-8、NIST.800-53.r5 SC-8(1)、NIST.800-53.r5 SC-8(2)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护

严重性:

资源类型:AWS::ApiGateway::Stage

Amazon Config 规则:api-gw-ssl-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon API Gateway REST API 阶段是否配置了 SSL 证书。后端系统使用这些证书来验证传入的请求是否来自 API Gateway。

API Gateway REST API 阶段应配置 SSL 证书,以允许后端系统对请求是否来自 API Gateway 进行身份验证。

修复

有关如何生成和配置 API Gateway REST API SSL 证书的详细说明,请参阅 API Gateway 开发人员指南中的生成和配置用于后端身份验证的 SSL 证书

[APIGateway.3] API Gateway REST API 阶段应启用 Amazon X-Ray 追踪功能

相关要求:NIST.800-53.r5 CA-7

类别:检测 > 检测服务

严重性:

资源类型:AWS::ApiGateway::Stage

Amazon Config 规则:api-gw-xray-enabled

计划类型:已触发变更

参数:

此控件检查您的 Amazon API Gateway REST API 阶段是否启用了 Amazon X-Ray 主动跟踪。

X-Ray 主动跟踪可以更快速地响应底层基础设施的性能变化。性能变化可能会导致 API 的可用性不足。X-Ray 主动跟踪提供流经 API Gateway REST API 操作和关联服务的用户请求实时指标。

修复

有关如何为 API Gateway REST API 操作启用 X-REST 主动跟踪的详细说明,请参阅 Amazon X-Ray 开发人员指南中的Amazon API Gateway 对 Amazon X-Ray的主动跟踪支持

[APIGateway.4] API Gateway 应与 WAF Web ACL 关联

相关要求:NIST.800-53.r5 AC-4(21)

类别:保护 > 防护服务

严重性:

资源类型:AWS::ApiGateway::Stage

Amazon Config 规则:api-gw-associated-with-waf

计划类型:已触发变更

参数:

此控件检查 API Gateway 阶段是否使用 Amazon WAF Web 访问控制列表 (ACL)。如果 Amazon WAF Web ACL 未连接到 REST API Gateway 阶段,则此控件将失败。

Amazon WAF 是一种 Web 应用程序防火墙,可帮助保护 Web 应用程序和 API 免受攻击。它使您能够配置 ACL,这是一组规则,可根据您定义的可自定义 Web 安全规则和条件来允许、阻止或计数 Web 请求。确保您的 API Gateway 阶段与 Amazon WAF Web ACL 关联,以帮助保护其免受恶意攻击。

修复

有关如何使用 API Gateway 控制台将 Amazon WAF 区域 Web ACL 与现有 API Gateway API 阶段关联的信息,请参阅《API Gatewa y 开发者指南》中的使用 Amazon WAF 保护您的 API

[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密

相关要求:NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-3(6)、NIST.800-53.r5 SC-13、NIST.800-53.r5 SC-28、NIST.800-53.r5 SC-28(1)、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SI-7(6)。

类别:保护 > 数据保护 > 静态数据加密

严重性:

资源类型:AWS::ApiGateway::Stage

Amazon Config 规则:api-gw-cache-encrypted(自定义 Security Hub 规则)

计划类型:已触发变更

参数:

此控件检查 API Gateway REST API 阶段中启用缓存的所有方法是否都已加密。如果 API Gateway REST API 阶段中的任何方法配置为缓存并且缓存未加密,则控制将失败。仅当为特定方法启用缓存时,Security Hub 才会评估该方法的加密。

对静态数据进行加密可降低存储在磁盘上的数据被未经身份验证的用户访问的风险。 Amazon它添加了另一组访问控制来限制未经授权的用户访问数据的能力。例如,需要 API 权限才能解密数据,然后才能读取数据。

API Gateway REST API 缓存应静态加密,以增加安全性。

修复

要为某个阶段配置 API 缓存,请参阅 API Gateway 开发人员指南中的启用 Amazon API Gateway 缓存。在缓存设置中,选择加密缓存数据

[APIGateway.8] API Gateway 路由应指定授权类型

相关要求:NIST.800-53.r5 AC-3、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)。

类别:保护 > 安全访问管理

严重性:

资源类型:AWS::ApiGatewayV2::Route

Amazon Config 规则:api-gwv2-authorization-type-configured

计划类型:定期

参数:

参数 描述 类型 允许的自定义值 Security Hub 默认值

authorizationType

API 路由的授权类型

枚举

AWS_IAM, CUSTOM, JWT

无默认值

此控件检查 Amazon API Gateway 路由是否具有授权类型。如果 API 网关路由未指定任何授权类型,则控制失败。或者,如果您希望仅在路径使用 authorizationType 参数中指定的授权类型时才通过控件,则可以提供自定义参数值。

API Gateway 支持多种用于控制和管理对 API 的访问的机制:通过指定授权类型,您可以将对 API 的访问限制为仅授权用户或进程。

修复

要为 HTTP API 设置授权类型,请参阅 API Gateway 开发人员指南中的在 API Gateway 中控制和管理对 HTTP API 的访问。要为 API 设置授权类型,请参阅《 WebSocket API Gatew ay 开发者指南》中的 WebSocket API Gateway 中控制和管理对 API 的访问权限

[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::ApiGatewayV2::Stage

Amazon Config 规则:api-gwv2-access-logs-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon API Gateway V2 阶段是否配置了访问日志记录。如果未定义访问日志设置,则控制失败。

API Gateway访问日志提供有关谁访问了您的 API 以及调用方访问 API 的方式的详细信息。这些日志对于安全和访问审核以及取证调查等应用程序非常有用。启用这些访问日志来分析流量模式并解决问题。

有关其他最佳实践,请参阅《API Gateway 开发者指南》中的监控 REST API

修复

要设置访问日志,请参阅《 CloudWatch API Gateway 开发者指南》中的 “使用 API Gateway 控制台设置 API志”。