View a markdown version of this page

Kontrol CSPM Security Hub untuk Amazon API Gateway - AWSSecurity Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol CSPM Security Hub untuk Amazon API Gateway

AWS Security Hub CSPMKontrol ini mengevaluasi layanan dan sumber daya Amazon API Gateway. Kontrol mungkin tidak tersedia di semuaWilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.

[APIGateway.1] API Gateway REST dan pencatatan eksekusi WebSocket API harus diaktifkan

Persyaratan terkait: NIST.800-53.r5 AC-4 (26) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3,, NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-7 (8)

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya:AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS Configaturan: api-gw-execution-logging-enabled

Jenis jadwal: Perubahan dipicu

Parameter:

Parameter Deskripsi Tipe Nilai kustom yang diizinkan Nilai default CSPM Security Hub

loggingLevel

Tingkat pencatatan log

Enum

ERROR, INFO

No default value

Kontrol ini memeriksa apakah semua tahapan Amazon API Gateway REST atau WebSocket API telah diaktifkan pencatatan. Kontrol gagal jika loggingLevel tidak ERROR atau INFO untuk semua tahapan API. Kecuali Anda memberikan nilai parameter khusus untuk menunjukkan bahwa jenis log tertentu harus diaktifkan, Security Hub CSPM menghasilkan temuan yang diteruskan jika tingkat logging salah satu atauERROR. INFO

API Gateway REST atau WebSocket API tahapan harus mengaktifkan log yang relevan. API Gateway REST dan pencatatan eksekusi WebSocket API menyediakan catatan terperinci tentang permintaan yang dibuat ke API Gateway REST dan tahapan WebSocket API. Tahapannya meliputi respons backend integrasi API, respons otorisasi Lambda, dan titik akhir untuk integrasi. requestId AWS

Remediasi

Untuk mengaktifkan logging untuk operasi REST dan WebSocket API, lihat Menyiapkan pencatatan CloudWatch API menggunakan konsol API Gateway di Panduan Pengembang API Gateway.

[APIGateway.2] Tahapan API Gateway REST API harus dikonfigurasi untuk menggunakan sertifikat SSL untuk otentikasi backend

Persyaratan terkait: NIST.800-53.r5 AC-17 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-12 (3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2), NIST.800-53.r5 SI-7 (6), NIST.800-171.r2 3.13.15

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ApiGateway::Stage

AWS Configaturan: api-gw-ssl-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah tahapan API Amazon API Gateway REST memiliki sertifikat SSL yang dikonfigurasi. Sistem backend menggunakan sertifikat ini untuk mengautentikasi bahwa permintaan yang masuk berasal dari API Gateway.

Tahapan API Gateway REST API harus dikonfigurasi dengan sertifikat SSL untuk memungkinkan sistem backend mengautentikasi permintaan tersebut berasal dari API Gateway.

Remediasi

Untuk petunjuk terperinci tentang cara membuat dan mengonfigurasi sertifikat SSL API Gateway REST API, lihat Menghasilkan dan mengonfigurasi sertifikat SSL untuk autentikasi backend di Panduan Pengembang API Gateway.

[APIGateway.3] Tahapan API Gateway REST API harus memilikiAWS X-Raypenelusuran diaktifkan

Persyaratan terkait: NIST.800-53.r5 CA-7

Kategori: Deteksi > Layanan deteksi

Tingkat keparahan: Rendah

Jenis sumber daya: AWS::ApiGateway::Stage

AWS Configaturan: api-gw-xray-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah penelusuran AWS X-Ray aktif diaktifkan untuk tahapan API REST Amazon API Gateway Anda.

X-Ray penelusuran aktif memungkinkan respons yang lebih cepat terhadap perubahan kinerja dalam infrastruktur yang mendasarinya. Perubahan kinerja dapat mengakibatkan kurangnya ketersediaan API. X-Rayactive tracing menyediakan metrik real-time permintaan pengguna yang mengalir melalui operasi API API Gateway REST API dan layanan yang terhubung.

Remediasi

Untuk petunjuk terperinci tentang cara mengaktifkan penelusuran X-Ray aktif untuk operasi API Gateway REST API, lihat dukungan penelusuran aktif Amazon API Gateway AWS X-Ray di Panduan AWS X-RayPengembang.

[APIGateway.4] API Gateway harus dikaitkan dengan WAF Web ACL

Persyaratan terkait: NIST.800-53.r5 AC-4 (21)

Kategori: Lindungi > Layanan pelindung

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ApiGateway::Stage

AWS Configaturan: api-gw-associated-with-waf

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses AWS WAF web (ACL). Kontrol ini gagal jika ACL AWS WAF web tidak dilampirkan ke tahap REST API Gateway.

AWS WAFadalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan ACL AWS WAF web untuk membantu melindunginya dari serangan berbahaya.

Remediasi

Untuk informasi tentang cara menggunakan konsol API Gateway untuk mengaitkan ACL web AWS WAF Regional dengan tahap API Gateway API yang ada, lihat Menggunakan AWS WAF untuk melindungi API Anda di Panduan Pengembang API Gateway.

[APIGateway.5] Data cache API Gateway REST API harus dienkripsi saat istirahat

Persyaratan terkait: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3 (6) NIST.800-53.r5 SC-13,, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28 (1), NIST.800-53.r5 SC-7 (10), NIST.800-53.r5 SI-7 (6)

Kategori: Lindungi > Perlindungan data > Enkripsi data saat istirahat

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ApiGateway::Stage

AWS Configaturan: api-gw-cache-encrypted (aturan CSPM Security Hub kustom)

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah semua metode dalam tahapan API Gateway REST API yang mengaktifkan cache dienkripsi. Kontrol gagal jika metode apa pun dalam tahap API Gateway REST API dikonfigurasi ke cache dan cache tidak dienkripsi. Security Hub CSPM mengevaluasi enkripsi metode tertentu hanya ketika caching diaktifkan untuk metode itu.

Mengenkripsi data saat istirahat mengurangi risiko data yang disimpan pada disk diakses oleh pengguna yang tidak diautentikasi. AWS Ini menambahkan satu set kontrol akses lain untuk membatasi kemampuan pengguna yang tidak sah mengakses data. Misalnya, izin API diperlukan untuk mendekripsi data sebelum dapat dibaca.

Cache API Gateway REST API harus dienkripsi saat istirahat untuk lapisan keamanan tambahan.

Remediasi

Untuk mengonfigurasi cache API untuk suatu tahap, lihat Mengaktifkan caching Amazon API Gateway di Panduan Pengembang API Gateway. Di Pengaturan Cache, pilih Enkripsi data cache.

[APIGateway.8] Rute API Gateway harus menentukan jenis otorisasi

Persyaratan terkait: NIST.800-53.r5 AC-3, NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2 (2)

Kategori: Lindungi > Manajemen Akses Aman

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ApiGatewayV2::Route

AWS Configaturan: api-gwv2-authorization-type-configured

Jenis jadwal: Periodik

Parameter:

Parameter Deskripsi Tipe Nilai kustom yang diizinkan Nilai default CSPM Security Hub

authorizationType

Jenis otorisasi rute API

Enum

AWS_IAM, CUSTOM, JWT

Tidak ada nilai default

Kontrol ini memeriksa apakah rute Amazon API Gateway memiliki jenis otorisasi. Kontrol gagal jika rute API Gateway tidak memiliki jenis otorisasi apa pun. Secara opsional, Anda dapat memberikan nilai parameter khusus jika Anda ingin kontrol lulus hanya jika rute menggunakan jenis otorisasi yang ditentukan dalam parameter. authorizationType

API Gateway mendukung beberapa mekanisme untuk mengontrol dan mengelola akses ke API Anda. Dengan menentukan jenis otorisasi, Anda dapat membatasi akses ke API hanya untuk pengguna atau proses yang berwenang.

Remediasi

Untuk menetapkan jenis otorisasi untuk API HTTP, lihat Mengontrol dan mengelola akses ke API HTTP di API Gateway di Panduan Pengembang API Gateway. Untuk menetapkan jenis otorisasi untuk WebSocket API, lihat Mengontrol dan mengelola akses ke WebSocket API di API Gateway di Panduan Pengembang API Gateway.

[APIGateway.9] Pencatatan akses harus dikonfigurasi untuk Tahap API Gateway V2

Persyaratan terkait: NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6 (3), NIST.800-53.r5 AU-6 (4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7 (9), NIST.800-53.r5 SI-7 (8), PCI DSS v4.0. 1/10.4.2

Kategori: Identifikasi > Logging

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ApiGatewayV2::Stage

AWS Configaturan: api-gwv2-access-logs-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah tahapan Amazon API Gateway V2 memiliki pencatatan akses yang dikonfigurasi. Kontrol ini gagal jika pengaturan log akses tidak ditentukan.

Log akses API Gateway memberikan informasi terperinci tentang siapa yang telah mengakses API Anda dan bagaimana penelepon mengakses API. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aktifkan log akses ini untuk menganalisis pola lalu lintas dan memecahkan masalah.

Untuk praktik terbaik lainnya, lihat Memantau REST API di Panduan Pengembang API Gateway.

Remediasi

Untuk menyiapkan pencatatan akses, lihat Menyiapkan pencatatan CloudWatch API menggunakan konsol API Gateway di Panduan Pengembang API Gateway.

[APIGateway.10] Integrasi API Gateway V2 harus menggunakan HTTPS untuk koneksi pribadi

Kategori: Lindungi > Perlindungan Data > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ApiGatewayV2::Integration

AWS Configaturan: apigatewayv2-integration-private-https-enabled

Jenis jadwal: Perubahan dipicu

Parameter: Tidak ada

Kontrol ini memeriksa apakah integrasi API Gateway V2 telah mengaktifkan HTTPS untuk koneksi pribadi. Kontrol gagal jika koneksi pribadi tidak memiliki TLS yang dikonfigurasi.

VPC Links menghubungkan API Gateway ke sumber daya pribadi. Sementara VPC Links membuat konektivitas pribadi, mereka tidak secara inheren mengenkripsi data. Mengkonfigurasi TLS memastikan penggunaan HTTPS untuk enkripsi end-to-end dari klien melalui API Gateway ke backend. Tanpa TLS, lalu lintas API sensitif mengalir tidak terenkripsi di seluruh koneksi pribadi. Enkripsi HTTPS melindungi lalu lintas melalui koneksi pribadi dari intersepsi data, serangan man-in-the-middle, dan eksposur kredenal.

Remediasi

Untuk mengaktifkan enkripsi saat transit untuk koneksi pribadi dalam Integrasi API Gateway v2, lihat Memperbarui integrasi pribadi di Panduan Pengembang Amazon API Gateway. Konfigurasikan konfigurasi TLS sehingga integrasi pribadi menggunakan protokol HTTPS.

[APIGateway.11] Nama domain API Gateway harus menggunakan kebijakan keamanan yang disarankan

Kategori: Lindungi > Enkripsi data-in-transit

Tingkat keparahan: Sedang

Jenis sumber daya: AWS::ApiGateway::DomainName

AWS Configaturan: apigateway-domain-name-tls-check

Jenis jadwal: Perubahan dipicu

Parameter:

  • allowedSecurityPolicies: SecurityPolicy_TLS13_1_3_2025_09, SecurityPolicy_TLS13_1_3_FIPS_2025_09, SecurityPolicy_TLS13_1_2_PFS_PQ_2025_09, SecurityPolicy_TLS13_2025_EDGE, SecurityPolicy_TLS12_PFS_2025_EDGE (tidak dapat disesuaikan)

Kontrol ini memeriksa apakah nama domain API Gateway dikonfigurasi untuk mengenkripsi data dalam perjalanan dengan menggunakan kebijakan keamanan yang direkomendasikan. Kontrol gagal jika nama domain API Gateway tidak dikonfigurasi untuk menggunakan kebijakan keamanan yang disarankan.

Kebijakan keamanan adalah kombinasi standar untuk versi TLS minimum dan cipher suite yang ditawarkan oleh API Gateway. Saat klien Anda membuat handshake TLS ke API atau nama domain kustom Anda, kebijakan keamanan memberlakukan versi TLS dan cipher suite yang diterima oleh API Gateway. Kebijakan keamanan melindungi API dan nama domain kustom Anda dari masalah keamanan jaringan seperti manipulasi dan penyadapan antara klien dan server. Menggunakan kebijakan keamanan yang direkomendasikan membantu memastikan bahwa nama domain API Gateway menggunakan konfigurasi TLS modern dan aman yang melindungi data dalam perjalanan antara klien dan API Anda.

Remediasi

Untuk memperbarui kebijakan keamanan TLS untuk nama domain API Gateway, lihat Cara mengubah kebijakan keamanan di Panduan Pengembang Amazon API Gateway.