目次
このページのトピック
APIゲートウェイ保護
Network Security 仮想アプライアンスにAPIをルーティングします。これにより、APIに転送されるHTTPおよびHTTPSリクエストを監視およびフィルタできるようになり、一般的なWeb攻撃に対する保護が追加されます。
ジオロケーションフィルタを使用して、特定の国または地域からのIPアドレスまたはIPアドレスの範囲に基づいて要求をブロックします。Network Security は、不正なSQLコードまたはスクリプトを含む要求をブロックし、不正なボット、コンテンツスクレーパー、および特定のユーザエージェントからの攻撃もブロックします。
ルールID:NS-API-001
リスクレベル:高(リスクは許容できない)
Amazon API Gatewayを Network Security 仮想アプライアンスにルーティングして、SQLインジェクション攻撃、クロスサイトスクリプティング(XSS)攻撃、クロスサイトリクエストフォージェリ(CSRF)攻撃などの一般的なWeb攻撃からAPIを保護するようにします。 APIの可用性とパフォーマンスに影響を与えたり、APIデータのセキュリティを危険にさらしたり、過剰なリソースを消費したりする可能性があります。
これは、次のコンプライアンス基準に役立ちます。
NIST 800-53(Rev.4)
このルールは、AWS、 Network Security、および Cloud One - Conformityをシームレスに統合するための AWS Well-Architected Framework の作成に役立ちます。

API保護の監査

クラウドAPIが保護されているかどうかを確認するには、次の処理を実行します。

  1. AWSマネジメントコンソールから、API Gatewayに移動します。
  2. 監査するAPI Gatewayを選択します。
  3. 対象がHTTPプロキシを使用していることを確認し、対象の宛先を書き留めます。
  4. 一意の送信先ごとに、AWS EC2ネットワークインタフェースを検索して、リクエストのプロキシ先を探します。
  5. ネットワークインタフェースに関連付けられているVPCをメモします。
  6. Network Security 管理インタフェースで、[ Assets ]タブをクリックして[Assets]画面を開きます。
  7. アセットを更新し、ネットワークインタフェースに関連付けられたVPCを探します。
  8. これらのVPCのステータスが Protected である場合、API Gatewayは正常に保護されています。

VPCが保護されていない場合は、次の手順に従って保護を有効にします。

API保護を有効にする

クラウドAPIを保護するには、次の処理を実行します。

  1. AWSマネジメントコンソールから、API Gatewayに移動します。
  2. 監査するAPI Gatewayを選択します。
  3. 対象がHTTPプロキシを使用していることを確認し、対象の宛先を書き留めます。
  4. 一意の送信先ごとに、AWS EC2ネットワークインタフェースを検索して、リクエストのプロキシ先を探します。
  5. ネットワークインタフェースに関連付けられているVPCをメモします。
  6. Network Security 管理インタフェースで、[ Assets ]タブをクリックして[Assets]画面を開きます。
  7. アセットを更新し、ネットワークインタフェースに関連付けられたVPCを探します。
  8. VPCの横にある[ Deploy protection ]の順にクリックして、展開ウィザードを開始します。
  9. 展開ウィザードを完了し、[Assets]ページを更新して、VPCが Protectedであることを確認します。