SEC02-BP01 Utiliser de solides mécanismes d’authentification
Les connexions (authentification au moyen d’informations d’identification de connexion) peuvent présenter des risques lorsque l’on n’utilise pas des mécanismes tels que l’authentification multifactorielle (MFA), surtout dans les situations où les informations d’identification de connexion ont été divulguées par inadvertance ou peuvent être devinées facilement. Vous devez utiliser de solides mécanismes d’authentification pour réduire ces risques en exigeant l’authentification multifactorielle (MFA) et des politiques strictes de gestion des mots de passe.
Résultat souhaité : réduisez les risques d’accès involontaire aux informations d’identification dans AWS en utilisant des mécanismes de connexion robustes pour les utilisateurs AWS Identity and Access Management (IAM)
Anti-modèles courants :
-
Ne pas appliquer de politique stricte de gestion des mots de passe pour vos identités, notamment des mots de passe complexes et l’authentification multifactorielle (MFA).
-
Utiliser les mêmes informations d’identification pour différents utilisateurs.
-
Ne pas utiliser de contrôles de détection pour les connexions suspectes.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé
Directives d’implémentation
Les identités humaines peuvent se connecter à AWS de plusieurs façons. Une bonne pratique AWS consiste à faire appel à un fournisseur d’identité centralisé utilisant la fédération (fédération directe ou AWS IAM Identity Center) lors de l’authentification auprès d’AWS. Dans ce cas, vous devez établir une connexion sécurisée avec votre fournisseur d’identité ou Microsoft Active Directory.
Lorsque vous ouvrez pour la première fois un Compte AWS, vous commencez avec un utilisateur racine de Compte AWS. Vous ne devez utiliser le compte utilisateur racine que pour configurer l’accès de vos utilisateurs (et pour les tâches nécessitant l’utilisateur racine). Il est important d’activer l’authentification multifactorielle pour l’utilisateur racine du compte immédiatement après l’ouverture de votre Compte AWS et de sécuriser l’utilisateur racine à l’aide du guide des bonnes pratiques AWS.
Si vous créez des utilisateurs dans AWS IAM Identity Center, sécurisez le processus de connexion dans ce service. Pour les identités des consommateurs, vous pouvez utiliser les groupes d’utilisateurs Amazon Cognito et sécuriser le processus de connexion dans ce service, ou utiliser l’un des fournisseurs d’identité pris en charge par les groupes d’utilisateurs Amazon Cognito.
Si vous utilisez des utilisateurs AWS Identity and Access Management (IAM)
Quelle que soit la méthode de connexion, il est essentiel d’appliquer une politique de connexion rigoureuse.
Étapes d’implémentation
Voici des recommandations générales en matière de connexion. Les paramètres réels que vous configurez doivent être définis par la politique de votre entreprise ou utiliser une norme telle que NIST 800-63
-
Require MFA (Demander l’authentification MFA). L’une des bonnes pratiques IAM consiste à exiger l’authentification multifactorielle pour les identités humaines et les charges de travail. L’activation de l’authentification multifactorielle fournit une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent des informations d’identification et un mot de passe unique (OTP) ou une chaîne de caractères générée et vérifiée cryptographiquement à partir d’un appareil physique.
-
Mettez en place une longueur de mot de passe minimale, il s’agit d’un facteur essentiel pour garantir la force du mot de passe.
-
Appliquez la complexité des mots de passe pour les rendre plus difficiles à deviner.
-
Autorisez les utilisateurs à modifier leurs propres mots de passe.
-
Créez des identités individuelles plutôt que des informations d’identification partagées. En créant des identités individuelles, vous pouvez attribuer à chaque utilisateur un ensemble unique d’informations d’identification de sécurité. Les utilisateurs individuels offrent la possibilité d’auditer l’activité de chaque utilisateur.
Recommandations IAM Identity Center :
-
IAM Identity Center fournit une politique de mot de passe prédéfinie lors de l’utilisation du répertoire par défaut qui définit la longueur, la complexité et les exigences de réutilisation des mots de passe.
-
Activez l’authentification multifactorielle et configurez le paramètre contextuel ou permanent pour l’authentification multifactorielle lorsque la source d’identité est le répertoire par défaut, AWS Managed Microsoft AD ou AD Connector.
-
Permettez aux utilisateurs d’enregistrer leurs propres appareils d’authentification multifactorielle.
Recommandations d’annuaire des groupes d’utilisateurs Amazon Cognito :
-
Configurez les paramètres de sécurité du mot de passe.
-
Exigez l’authentification multifactorielle pour les utilisateurs.
-
Utilisez les paramètres de sécurité avancés des groupes d’utilisateurs Amazon Cognito pour des fonctionnalités telles que l’authentification adaptative qui permet de bloquer les connexions suspectes.
Recommandations pour les utilisateurs IAM :
-
Idéalement, vous utilisez IAM Identity Center ou la fédération directe. Cependant, vous aurez peut-être besoin d’utilisateurs IAM. Dans ce cas, définissez une politique de mot de passe pour les utilisateurs IAM. Vous pouvez utiliser la politique de gestion des mots de passe pour définir des exigences telles que la longueur minimale ou la nécessité d’utiliser des caractères non alphabétiques.
-
Créez une politique IAM pour appliquer la connexion MFA afin que les utilisateurs soient autorisés à gérer leurs propres mots de passe et appareils d’authentification multifactorielle.
Ressources
Bonnes pratiques associées :
Documents connexes :
Vidéos connexes :