SEC02-BP01 Verwenden von starken Anmeldemechanismen

Anmeldungen (Authentifizierung unter Verwendung von Anmeldeinformationen) können risikobehaftet sein, wenn nicht Mechanismen wie die Multi-Faktor-Authentifizierung (MFA) verwendet werden, besonders in Situationen, in denen Anmeldeinformationen unbeabsichtigt offengelegt wurden oder leicht zu erraten sind. Verwenden Sie starke Anmeldemechanismen in Form von MFA und Richtlinien für sichere Passwörter, um diese Risiken zu reduzieren.

Gewünschtes Ergebnis: Sie reduzieren das Risiko eines unbeabsichtigten Zugriffs auf Anmeldeinformationen in AWS, indem Sie starke Anmeldemechanismen für AWS Identity and Access Management (IAM)-Benutzer, den Root-Benutzer des AWS-Kontos, AWS IAM Identity Center (Nachfolger von AWS IAM Identity Center) und externe Identitätsanbieter verwenden. Dies bedeutet das Erfordern von MFA, das Durchsetzen von Richtlinien zur Verwendung starker Passwörter und das Erkennen anomaler Anmeldeverhaltensweisen.

Typische Anti-Muster:

Keine Durchsetzung einer Richtlinie zur Verwendung starker Passwörter für Ihre Identitäten, einschließlich komplexer Passwörter und MFA.
Gemeinsame Nutzung derselben Anmeldeinformationen durch mehrere Benutzer.
Keine Verwendung von detektivischen Kontrollen für verdächtige Anmeldevorgänge.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Es gibt mehrere Möglichkeiten zur Anmeldung bei AWS für menschliche Identitäten. Eine bewährte AWS-Methode besteht darin, einen zentralisierten Identitätsanbieter mit Verbundverfahren (direkter SAML-2.0-Verbund zwischen AWS IAM und dem zentralisierten Identitätsanbieter oder Verwendung von AWS IAM Identity Center) für die Authentifizierung bei AWS zu verwenden. Richten Sie in diesem Fall einen sicheren Anmeldevorgang mit Ihrem Identitätsanbieter oder Microsoft Active Directory ein.

Wenn Sie ein AWS-Konto zum ersten Mal einrichten, beginnen Sie mit einem Root-Benutzer für das AWS-Konto. Sie sollten den Root-Benutzer nur verwenden, um den Zugriff für Ihre Benutzer einzurichten (und für Aufgaben, für die der Root-Benutzer erforderlich ist). Es ist wichtig, die Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer des Kontos sofort nach dem Öffnen Ihres AWS-Kontos zu aktivieren und den Root-Benutzer unter Berücksichtigung des AWS-Leitfadens für bewährte Methoden zu sichern.

AWS IAM Identity Center wurde für Belegschaftsbenutzer konzipiert. Sie können Benutzeridentitäten innerhalb des Service erstellen und verwalten und den Anmeldevorgang mit MFA sichern. AWS Cognito dagegen wurde für Customer Identity and Access Management (CIAM) entwickelt, das Benutzerpools und Identitätsanbieter für externe Benutzeridentitäten in Ihren Anwendungen bereitstellt.

Wenn Sie in AWS IAM Identity Center Benutzer erstellen, sollten Sie den Anmeldevorgang in diesem Service schützen und MFA aktivieren. Für externe Benutzeridentitäten in Ihren Anwendungen können Sie Amazon-Cognito-Benutzerpools verwenden und den Anmeldevorgang in diesem Service oder über einen der unterstützten Identitätsanbieter in Amazon-Cognito-Benutzerpools sichern.

Darüber hinaus können Sie für Benutzer in AWS IAM Identity Center unter Verwendung von AWS Verified Access eine zusätzliche Sicherheitsebene bereitstellen, indem Sie die Identität der Benutzers und den Gerätestatus überprüfen, bevor ihnen Zugriff auf AWS-Ressourcen gewährt wird.

Wenn Sie AWS Identity and Access Management (IAM)-Benutzer verwenden, sichern Sie den Anmeldevorgang mit IAM.

Sie können AWS IAM Identity Center und den direkten IAM-Verbund gleichzeitig verwenden, um den Zugriff auf AWS zu verwalten. Sie können den IAM-Verbund für die Verwaltung des Zugriffs auf die AWS Management Console und die Services und IAM Identity Center für die Verwaltung des Zugriffs auf Geschäftsanwendungen wie Amazon QuickSight oder Amazon Q Business verwenden.

Unabhängig vom Anmeldeverfahren ist es wichtig, eine strenge Anmelderichtlinie durchzusetzen.

Implementierungsschritte

Es folgen allgemeine Empfehlungen für starke Anmeldeverfahren. Die tatsächlichen Einstellungen, die Sie konfigurieren, sollten Ihren Unternehmensrichtlinien oder einem Standard wie NIST 800-63 entsprechen.

MFA erforderlich. Es ist eine bewährte IAM-Methode, MFA für menschliche Identitäten und Workloads zu erfordern. Die Aktivierung von MFA bietet eine zusätzliche Sicherheitsebene, die verlangt, dass Benutzer Anmeldeinformationen und ein Einmalpasswort (OTP) oder eine kryptographisch verifizierte und generierte Zeichenfolge von einem Hardware-Gerät vorlegen.
Verlangen Sie eine Mindestlänge für Passwörter als primären Faktor für die Passwortstärke.
Verlangen Sie Passwortkomplexität, um das Erraten von Passwörtern zu erschweren.
Ermöglichen Sie Benutzern, ihre eigenen Passwörter zu ändern.
Erstellen Sie individuelle Identitäten anstelle gemeinsam genutzter Anmeldeinformationen. Da Sie individuelle Identitäten erstellen, können Sie jedem Benutzer eindeutige Anmeldeinformationen zuordnen. Individuelle Benutzer bieten die Möglichkeit, die Aktivität der einzelnen Benutzer zu prüfen.

IAM Identity Center-Empfehlungen:

IAM Identity Center bietet bei Verwendung des Standardverzeichnisses eine vordefinierte Passwortrichtlinie, die Anforderungen an die Länge, Komplexität und Wiederverwendung von Passwörtern festlegt.
Aktivieren Sie MFA und konfigurieren Sie die kontextsensitive oder „always-on“-Einstellung für MFA, wenn die Identitätsquelle das Standardverzeichnis, AWS Managed Microsoft AD oder AD Connector ist.
Erlauben Sie Benutzern, ihre eigenen MFA-Geräte zu registrieren.

Empfehlungen für Verzeichnisse der Amazon Cognito-Benutzerpools:

Konfigurieren Sie die Einstellungen für die Passwortstärke.
Erfordern Sie MFA für Benutzer.
Verwenden Sie die erweiterten Sicherheitseinstellungen der Amazon Cognito-Benutzerpools für Features wie die adaptive Authentifizierung, mit der verdächtige Anmeldungen blockiert werden können.

Empfehlungen für IAM-Benutzer:

Idealerweise verwenden Sie IAM Identity Center oder den direkten Verbund. Möglicherweise benötigen Sie aber auch IAM-Benutzer. Legen Sie in diesem Fall eine Passwortrichtlinie für IAM-Benutzer fest. Sie können die Passwortrichtlinie verwenden, um Anforderungen wie die Mindestlänge zu definieren oder ob das Passwort nicht-alphanumerische Zeichen beinhalten sollte.
Erstellen Sie eine IAM-Richtlinie, um die MFA-Anmeldung zu erzwingen, sodass Benutzer ihre eigenen Passwörter und MFA-Geräte verwalten können.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identitätsverwaltung

SEC02-BP02 Verwenden von temporären Anmeldeinformationen