このページのトピック
| APIゲートウェイ保護 |
| Network Security 仮想アプライアンスにAPIをルーティングします。これにより、APIに転送されるHTTPおよびHTTPSリクエストを監視およびフィルタできるようになり、一般的なWeb攻撃に対する保護が追加されます。 |
| ジオロケーションフィルタを使用して、特定の国または地域からのIPアドレスまたはIPアドレスの範囲に基づいて要求をブロックします。Network Security は、不正なSQLコードまたはスクリプトを含む要求をブロックし、不正なボット、コンテンツスクレーパー、および特定のユーザエージェントからの攻撃もブロックします。 |
| ルールID:NS-API-001 リスクレベル:高(リスクは許容できない) |
| Amazon API Gatewayを Network Security 仮想アプライアンスにルーティングして、SQLインジェクション攻撃、クロスサイトスクリプティング(XSS)攻撃、クロスサイトリクエストフォージェリ(CSRF)攻撃などの一般的なWeb攻撃からAPIを保護するようにします。 APIの可用性とパフォーマンスに影響を与えたり、APIデータのセキュリティを危険にさらしたり、過剰なリソースを消費したりする可能性があります。 |
| これは、次のコンプライアンス基準に役立ちます。 NIST 800-53(Rev.4) |
| このルールは、AWS、 Network Security、および Trend Micro Cloud One - Conformityをシームレスに統合するための AWS Well-Architected Framework の作成に役立ちます。 |
API保護の監査
クラウドAPIが保護されているかどうかを確認するには、次の処理を実行します。
- AWSマネジメントコンソールから、API Gatewayに移動します。
- 監査するAPI Gatewayを選択します。
- 対象がHTTPプロキシを使用していることを確認し、対象の宛先を書き留めます。
- 一意の送信先ごとに、AWS EC2ネットワークインタフェースを検索して、リクエストのプロキシ先を探します。
- ネットワークインタフェースに関連付けられているVPCをメモします。
- Network Security 管理インタフェースで、[ Assets ]タブをクリックして[Assets]画面を開きます。
- アセットを更新し、ネットワークインタフェースに関連付けられたVPCを探します。
- これらのVPCのステータスが
Protectedである場合、API Gatewayは正常に保護されています。
VPCが保護されていない場合は、次の手順に従って保護を有効にします。
API保護を有効にする
クラウドAPIを保護するには、次の処理を実行します。
- AWSマネジメントコンソールから、API Gatewayに移動します。
- 監査するAPI Gatewayを選択します。
- 対象がHTTPプロキシを使用していることを確認し、対象の宛先を書き留めます。
- 一意の送信先ごとに、AWS EC2ネットワークインタフェースを検索して、リクエストのプロキシ先を探します。
- ネットワークインタフェースに関連付けられているVPCをメモします。
- Network Security 管理インタフェースで、[ Assets ]タブをクリックして[Assets]画面を開きます。
- アセットを更新し、ネットワークインタフェースに関連付けられたVPCを探します。
- VPCの横にある[ Deploy protection ]の順にクリックして、展開ウィザードを開始します。
- 展開ウィザードを完了し、[Assets]ページを更新して、VPCが
Protectedであることを確認します。