SEC02-BP01 Verwenden Sie starke Anmeldemechanismen

Anmeldungen (Authentifizierung mithilfe von Anmeldeinformationen) können Risiken bergen, wenn Mechanismen wie die Multi-Faktor-Authentifizierung (MFA) nicht verwendet werden, insbesondere in Situationen, in denen Anmeldeinformationen versehentlich offengelegt wurden oder leicht zu erraten sind. Verwenden Sie starke Anmeldemechanismen, um diese Risiken zu verringern, indem Sie strenge Kennwortrichtlinien vorschreiben. MFA

Gewünschtes Ergebnis: Reduzieren Sie das Risiko eines unbeabsichtigten Zugriffs auf Anmeldeinformationen, AWS indem Sie starke Anmeldemechanismen für AWS Identity and Access Management (IAM) Benutzer, den AWS-Konto Root-Benutzer AWS IAM Identity Center(Nachfolger von AWS Single Sign-On) und externe Identitätsanbieter verwenden. Das bedeutetMFA, strenge Passwortrichtlinien vorzuschreiben, durchzusetzen und ungewöhnliches Anmeldeverhalten zu erkennen.

Typische Anti-Muster:

Keine Durchsetzung einer sicheren Passwortrichtlinie für Ihre Identitäten, einschließlich komplexer Passwörter und. MFA
Gemeinsame Nutzung derselben Anmeldeinformationen durch mehrere Benutzer.
Keine Verwendung von detektivischen Kontrollen für verdächtige Anmeldevorgänge.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Es gibt viele Möglichkeiten zur Anmeldung für menschliche Identitäten bei AWS. Es hat sich AWS bewährt, sich bei der Authentifizierung auf einen zentralen Identitätsanbieter zu verlassen, der den Verbund (direkte Verbindung oder Verwendung AWS IAM Identity Center) verwendet. AWS In diesem Fall sollten Sie einen sicheren Anmeldeprozess mit Ihrem Identitätsanbieter oder Microsoft Active Directory einrichten.

Wenn Sie einen zum ersten Mal öffnen AWS-Konto, beginnen Sie mit einem AWS-Konto Root-Benutzer. Sie sollten den Root-Benutzer nur verwenden, um den Zugriff für Ihre Benutzer einzurichten (und für Aufgaben, für die der Root-Benutzer erforderlich ist). Es ist wichtig, dass Sie den MFA Root-Benutzer sofort nach dem Öffnen Ihres Kontos aktivieren AWS-Konto und den Root-Benutzer anhand des AWS Best-Practice-Leitfadens sichern.

Wenn Sie Benutzer in diesem Dienst erstellen AWS IAM Identity Center, sichern Sie den Anmeldevorgang in diesem Dienst. Für Verbraucheridentitäten können Sie Amazon Cognito-Benutzerpools verwenden und den Anmeldevorgang in diesem Service sichern, oder Sie können einen der Identitätsanbieter verwenden, die Amazon Cognito-Benutzerpools unterstützen.

Wenn Sie Benutzer AWS Identity and Access Management (IAM) verwenden, würden Sie den Anmeldevorgang mit sichern. IAM

Unabhängig vom Anmeldeverfahren ist es wichtig, eine strenge Anmelderichtlinie durchzusetzen.

Implementierungsschritte

Es folgen allgemeine Empfehlungen für starke Anmeldeverfahren. Die tatsächlichen Einstellungen, die Sie konfigurieren, sollten Ihren Unternehmensrichtlinien entsprechen oder einen Standard wie NIST800-63 verwenden.

ErforderlichMFA. Es ist eine IAMbewährte Methode, die MFA für menschliche Identitäten und Workloads erforderlich ist. Die Aktivierung MFA bietet eine zusätzliche Sicherheitsebene, bei der Benutzer Anmeldeinformationen und ein Einmalkennwort (OTP) oder eine kryptografisch verifizierte und generierte Zeichenfolge von einem Hardwaregerät eingeben müssen.
Verlangen Sie eine Mindestlänge für Passwörter als primären Faktor für die Passwortstärke.
Verlangen Sie Passwortkomplexität, um das Erraten von Passwörtern zu erschweren.
Ermöglichen Sie Benutzern, ihre eigenen Passwörter zu ändern.
Erstellen Sie individuelle Identitäten anstelle gemeinsam genutzter Anmeldeinformationen. Da Sie individuelle Identitäten erstellen, können Sie jedem Benutzer eindeutige Anmeldeinformationen zuordnen. Individuelle Benutzer bieten die Möglichkeit, die Aktivität der einzelnen Benutzer zu prüfen.

IAMEmpfehlungen von Identity Center:

IAMIdentity Center bietet bei Verwendung des Standardverzeichnisses eine vordefinierte Kennwortrichtlinie, die Anforderungen an die Länge, Komplexität und Wiederverwendung von Passwörtern festlegt.
Aktivieren MFA und konfigurieren Sie die kontextsensitive oder Always-On-Einstellung für den FallMFA, dass die Identitätsquelle das Standardverzeichnis oder AD Connector AWS Managed Microsoft AD ist.
Erlauben Sie Benutzern, ihre eigenen Geräte zu registrieren. MFA

Empfehlungen für Verzeichnisse der Amazon Cognito-Benutzerpools:

Konfigurieren Sie die Einstellungen für die Passwortstärke.
MFAFür Benutzer erforderlich.
Verwenden Sie die erweiterten Sicherheitseinstellungen der Amazon Cognito-Benutzerpools für Features wie die adaptive Authentifizierung, mit der verdächtige Anmeldungen blockiert werden können.

IAMBenutzerempfehlungen:

Idealerweise verwenden Sie IAM Identity Center oder Direct Federation. Möglicherweise benötigen Sie jedoch IAM Benutzer. Legen Sie in diesem Fall eine Kennwortrichtlinie für IAM Benutzer fest. Sie können die Passwortrichtlinie verwenden, um Anforderungen wie die Mindestlänge zu definieren oder ob das Passwort nicht-alphanumerische Zeichen beinhalten sollte.
Erstellen Sie eine IAM Richtlinie, um die MFAAnmeldung zu erzwingen, sodass Benutzer ihre eigenen Passwörter und MFA Geräte verwalten können.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC2. Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?

SEC02-BP02 Verwenden Sie temporäre Anmeldeinformationen