|
説明
|
APIをNetwork Security仮想Appliancesにルーティングします。これにより、APIに転送されるHTTPおよびHTTPSリクエストをモニタおよびフィルタリングし、一般的なウェブ攻撃からの保護を追加します。
|
|
ルールID
|
NS-API-001
|
|
危険度
|
高 (許容できないリスク)
|
|
ルールの説明
|
Amazon API GatewayがNetwork Security Virtual Applianceにルーティングされていることを確認して、SQL injection攻撃、クロスサイトスクリプティング
(XSS) 攻撃、クロスサイトリクエストフォージェリ (CSRF) 攻撃などの一般的なウェブエクスプロイトからAPIを保護してください。これらの攻撃は、APIの可用性とパフォーマンスに影響を与えたり、APIデータのセキュリティを侵害したり、過剰なリソースを消費したりする可能性があります。
これは、次のコンプライアンス基準に役立ちます: NIST 800-53 (Rev. 4)
このRuleは、AWS、Network Security、およびTrend Micro Cloud One - Conformityのシームレスな統合のためのAWS Well-Architected Frameworkを形成するのに役立ちます。
|
API保護の監査
クラウドAPIが保護されているかどうかを確認するには、次の操作を実行します。
- AWS Management ConsoleからAPIゲートウェイに移動します。
- 選択APIゲートウェイを監査します。
- ターゲットがHTTPプロキシを使用していることを確認し、ターゲットの宛先を記録してください。
- 各ユニークな宛先について、AWS EC2ネットワークインターフェイスを検索して、リクエストがプロキシされている場所を見つけます。
- ネットワークインターフェイスに関連付けられているVPCをメモしてください。
- Network Security管理インターフェースから、[Assets]タブをクリックしてアセットページを開きます。
- アセットを更新し、ネットワークインターフェイスに関連付けられているVPCを探してください。
- これらのVPCが
Protectedステータスの場合、APIゲートウェイを正常に保護できています。
VPCが保護されていない場合は、保護を有効にするために以下の手順に従ってください。
API保護を有効にする
クラウドAPIを保護するために、次の操作を実行してください。
- AWS Management ConsoleからAPIゲートウェイに移動します。
- 選択APIゲートウェイを監査します。
- ターゲットがHTTPプロキシを使用していることを確認し、ターゲットの宛先を記録してください。
- 各ユニークな宛先について、AWS EC2ネットワークインターフェイスを検索して、リクエストがプロキシされている場所を見つけます。
- ネットワークインターフェイスに関連付けられているVPCをメモしてください。
- Network Security管理インターフェースから、[Assets]タブをクリックしてアセットページを開きます。
- アセットを更新し、ネットワークインターフェイスに関連付けられているVPCを探してください。
- VPCの横にある[Deploy protection]をクリックして、展開ウィザードを開始します。
- 展開ウィザードを完了し、アセットページを更新して、VPCが
Protectedであることを確認してください。