适用于 Amazon WAF 的 Security Hub 控件 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon WAF 的 Security Hub 控件

这些 Amazon Security Hub 控件可评估 Amazon WAF 服务和资源。

这些控件可能并未在所有的 Amazon Web Services 区域 上提供。有关更多信息,请参阅 按地区划分的控件可用性

[WAF.1] 应启用 Amazon WAF 经典全局 Web ACL 日志记录

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAF::WebACL

Amazon Config 规则:waf-classic-logging-enabled

计划类型:定期

参数:

此控件检查是否为 Amazon WAF 全局 Web ACL 启用了日志记录。如果未为 Web ACL 启用日志记录,则此控制失败。

日志记录是在全球范围内维护 Amazon WAF 的可靠性、可用性和性能的重要组成部分。这是许多组织中的业务和合规性要求,并允许您对应用程序行为进行故障排除。它还提供有关附加到 Amazon WAF 的 Web ACL 所分析的流量的详细信息。

修复

要启用 Web ACL 的日志记录,请参阅 Amazon WAF 开发人员指南中的记录 Amazon WAF Web ACL 流量信息

[WAF.2] Amazon WAF Classic Regional 规则应至少有一个条件

相关要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::Rule

Amazon Config 规则:waf-regional-rule-not-empty

计划类型:已触发变更

参数:

此控件检查 Amazon WAF 区域规则是否至少具有一个条件。如果规则中不存在任何条件,则控制失败。

WAF 区域规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何条件的情况下,流量未经检查就通过。没有任何条件但带有建议允许、阻止或计数的名称或标签的 WAF 区域规则可能会导致错误地假设其中一项操作正在发生。

修复

要向空规则添加条件,请参阅 Amazon WAF 开发人员指南中的在规则中添加和删除条件

[WAF.3] Amazon WAF Classic Regional 规则组应至少有一条规则

相关要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::RuleGroup

Amazon Config 规则:waf-regional-rulegroup-not-empty

计划类型:已触发变更

参数:

此控件检查 Amazon WAF 区域规则组是否至少有一条规则。如果规则组中不存在任何规则,则控制失败。

一个 WAF 区域规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何规则的情况下,流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 区域规则组可能会导致错误地假设其中一项操作正在发生。

修复

要向空规则组添加规则和规则条件,请参阅 Amazon WAF 开发人员指南中的在 Amazon WAF 经典规则组中添加和删除规则以及在规则中添加和删除条件

[WAF.4] Amazon WAF Classic Regional Web ACL 应至少有一个规则或规则组

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFRegional::WebACL

Amazon Config 规则:waf-regional-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查 Amazon WAF Classic Regional Web ACL 是否包含任何 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则此控制失败。

WAF Regional Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则根据默认操作,Web 流量可以在不被 WAF 检测到或处理的情况下通过。

修复

要向空的 Amazon WAF Classic Regional Web ACL 添加规则或规则组,请参阅 Amazon WAF 开发人员指南中的编辑 Web ACL

[WAF.6] Amazon WAF 经典全局规则应至少有一个条件

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::Rule

Amazon Config 规则:waf-global-rule-not-empty

计划类型:已触发变更

参数:

此控件检查 Amazon WAF 全局规则是否包含任何条件。如果规则中不存在任何条件,则控制失败。

一个 WAF 全局规则可以包含多个条件。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何条件的情况下,流量未经检查就通过。不带条件但带有建议允许、阻止或计数的名称或标签的 WAF 全局规则可能会导致错误地假设其中一项操作正在发生。

修复

有关创建规则和添加条件的说明,请参阅 Amazon WAF 开发人员指南中的创建规则和添加条件

[WAF.7] Amazon WAF 经典全局规则组应至少有一条规则

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::RuleGroup

Amazon Config 规则:waf-global-rulegroup-not-empty

计划类型:已触发变更

参数:

此控件检查 Amazon WAF 全局规则组是否至少有一条规则。如果规则组中不存在任何规则,则控制失败。

一个 WAF 全局规则组可以包含多个规则。规则的条件允许进行流量检查并采取定义的操作(允许、阻止或计数)。在没有任何规则的情况下,流量未经检查就通过。没有规则但具有建议允许、阻止或计数的名称或标签的 WAF 全局规则组可能会导致错误地假设其中一项操作正在发生。

修复

有关向规则组添加规则的说明,请参阅 Amazon WAF 开发人员指南中的创建 Amazon WAF Classic 规则组

[WAF.8] Amazon WAF 经典全局 Web ACL 应至少有一个规则或规则组

相关要求:NIST.800-53.r5 AC-4(21)、NIST.800-53.r5 SC-7、NIST.800-53.r5 SC-7(11)、NIST.800-53.r5 SC-7(16)、NIST.800-53.r5 SC-7(21)。

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAF::WebACL

Amazon Config 规则:waf-global-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查 Amazon WAF 全局 Web ACL 是否包含至少一个 WAF 规则或 WAF 规则组。如果 Web ACL 不包含任何 WAF 规则或规则组,则控制失败。

WAF 全局 Web ACL 可以包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则根据默认操作,Web 流量可以在不被 WAF 检测到或处理的情况下通过。

修复

要向空的 Amazon WAF 全局 Web ACL 添加规则或规则组,请参阅 Amazon WAF 开发人员指南中的编辑 Web ACL。在选中,选择全局(云前端)。

[WAF.10] Amazon WAF Web ACL 应至少有一个规则或规则组

相关要求:NIST.800-53.r5 CA-9(1),NIST.800-53.r5 CM-2

类别:保护 > 安全网络配置

严重性:

资源类型:AWS::WAFv2::WebACL

Amazon Config 规则:wafv2-webacl-not-empty

计划类型:已触发变更

参数:

此控件检查 Amazon WAF V2 Web 访问控制列表 (Web ACL) 是否至少包含一个规则或规则组。如果 Web ACL 不包含任何规则或规则组,则控制失败。

Web ACL 可让您对受保护资源响应的所有 HTTP(S) Web 请求进行精细控制。Web ACL 应包含一组用于检查和控制 Web 请求的规则和规则组。如果 Web ACL 为空,则根据默认操作,Web 流量可以在不被 Amazon WAF 检测到或处理的情况下通过。

修复

要向空的 WAFV2 Web ACL 添加规则或规则组,请参阅 Amazon WAF 开发人员指南中的编辑 Web ACL

[WAF.11] Amazon WAF 应启用 Web ACL 日志记录

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAFv2::WebACL

Amazon Config 规则:wafv2-logging-enabled

计划类型:定期

参数:

此控件检查 Amazon WAF V2 Web 访问控制列表 (Web ACL) 的日志记录是否激活。如果停用 Web ACL 的日志记录,则此控制失败。

注意

此控件不会检查是否通过 Amazon Security Lake 为账户启用了 Amazon WAF Web ACL 日志记录。

日志记录保持了 Amazon WAF 的可靠性、可用性和性能。此外,在许多组织中,日志记录是一项业务和合规要求。通过记录由 Web ACL 分析的流量,您可以对应用程序行为进行故障排除。

修复

要激活 Amazon WAF Web ACL 的日志记录,请参阅 Amazon WAF 开发人员指南中的管理 Web ACL 的日志记录

[WAF.12] Amazon WAF 规则应启用 CloudWatch 指标

相关要求:NIST.800-53.r5 AC-4(26)、NIST.800-53.r5 AU-10、NIST.800-53.r5 AU-12、NIST.800-53.r5 AU-2、NIST.800-53.r5 AU-3、NIST.800-53.r5 AU-6(3)、NIST.800-53.r5 AU-6(4)、NIST.800-53.r5 CA-7、NIST.800-53.r5 SC-7(10)、NIST.800-53.r5 SC-7(9)、NIST.800-53.r5 SI-7(8)。

类别:识别 > 日志记录

严重性:

资源类型:AWS::WAFv2::RuleGroup

Amazon Config 规则:wafv2-rulegroup-logging-enabled

计划类型:已触发变更

参数:

此控件检查 Amazon WAF 规则或规则组是否启用了 Amazon CloudWatch 指标。如果规则或规则组未启用 CloudWatch 指标,则控制失败。

在 Amazon WAF 规则和规则组上配置 CloudWatch 指标可以查看流量。您可以看到哪些 ACL 规则被触发,哪些请求被接受和阻止。这种可见性可以帮助您识别关联资源上的恶意活动。

修复

要在 Amazon WAF 规则组上启用 CloudWatch 指标,请调用 UpdateRuleGroup API。要在 Amazon WAF 规则上启用 CloudWatch 指标,请调用 UpdateWebACL API。将 CloudWatchMetricsEnabled 字段设置为 true。当您使用 Amazon WAF 控制台创建规则或规则组时,CloudWatch 指标会自动启用。