SEC02-BP01 Utiliser de solides mécanismes d’authentification

Les connexions (authentification au moyen d’informations d’identification de connexion) peuvent présenter des risques lorsque l’on n’utilise pas des mécanismes tels que l’authentification multifactorielle (MFA), surtout dans les situations où les informations d’identification de connexion ont été divulguées par inadvertance ou peuvent être devinées facilement. Vous devez utiliser de solides mécanismes d’authentification pour réduire ces risques en exigeant l’authentification multifactorielle (MFA) et des politiques strictes de gestion des mots de passe.

Résultat escompté : réduisez les risques d’accès involontaire aux informations d’identification dans AWS en utilisant de solides mécanismes d’authentification pour les utilisateurs AWS Identity and Access Management (IAM), l’utilisateur racine Compte AWS, AWS IAM Identity Center (successeur de l’AWS IAM Identity Center) et les fournisseurs d’identité tiers. Cela signifie que vous devez exiger une authentification multifactorielle, appliquer des politiques strictes de gestion des mots de passe et détecter les comportements de connexion anormaux.

Anti-modèles courants :

Ne pas appliquer de politique stricte de gestion des mots de passe pour vos identités, notamment des mots de passe complexes et l’authentification multifactorielle (MFA).
Utiliser les mêmes informations d’identification pour différents utilisateurs.
Ne pas utiliser de contrôles de détection pour les connexions suspectes.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Les identités humaines peuvent se connecter à AWS de plusieurs façons. Une bonne pratique AWS consiste à s’appuyer sur un fournisseur d’identité centralisé en utilisant la fédération (fédération SAML 2.0 directe entre AWS IAM et le fournisseur d’identité centralisé ou utilisant AWS IAM Identity Center) lors de l’authentification auprès d’AWS. Dans ce cas, établissez un processus de connexion sécurisée avec votre fournisseur d’identité ou Microsoft Active Directory.

Lorsque vous ouvrez pour la première fois un Compte AWS, vous commencez avec un utilisateur racine de Compte AWS. Vous ne devez utiliser le compte utilisateur racine que pour configurer l’accès de vos utilisateurs (et pour les tâches nécessitant l’utilisateur racine). Il est important d’activer l’authentification multifactorielle (MFA) pour l’utilisateur racine du compte immédiatement après l’ouverture de votre Compte AWS et de sécuriser l’utilisateur racine à l’aide du guide des bonnes pratiques AWS.

AWS IAM Identity Center est conçu pour les utilisateurs en interne et vous pouvez créer et gérer des identités utilisateur au sein du service et sécuriser le processus d’authentification avec la MFA. AWS Cognito, quant à lui, est conçu pour la gestion de l’identité et de l’accès des clients (CIAM), qui fournit des groupes d’utilisateurs et des fournisseurs d’identité pour les identités des utilisateurs externes dans vos applications.

Si vous créez des utilisateurs dans AWS IAM Identity Center, sécurisez le processus d’authentification dans ce service et activez la MFA. Pour les identités des utilisateurs externes dans vos applications, vous pouvez utiliser les groupes d’utilisateurs Amazon Cognito et sécuriser le processus d’authentification dans ce service ou utiliser l’un des fournisseurs d’identité pris en charge dans les groupes d’utilisateurs Amazon Cognito.

En outre, pour les utilisateurs dans AWS IAM Identity Center, vous pouvez utiliser Accès vérifié par AWS pour fournir un niveau de sécurité supplémentaire en vérifiant l’identité de l’utilisateur et la position de l’appareil avant d’accorder l’accès aux ressources AWS.

Si vous utilisez des utilisateurs AWS Identity and Access Management (IAM), sécurisez le processus d’authentification à l’aide d’IAM.

Vous pouvez utiliser AWS IAM Identity Center et la fédération IAM directe simultanément pour gérer l’accès à AWS. Vous pouvez utiliser la fédération IAM pour gérer l’accès à la AWS Management Console et aux services et IAM Identity Center pour gérer l’accès aux applications professionnelles telles qu’Amazon QuickSight ou Amazon Q Business.

Quelle que soit la méthode de connexion, il est essentiel d’appliquer une politique de connexion rigoureuse.

Étapes d’implémentation

Voici des recommandations générales en matière de connexion. Les paramètres réels que vous configurez doivent être définis par la politique de votre entreprise ou utiliser une norme telle que NIST 800-63.

Require MFA (Demander l’authentification MFA). L’une des bonnes pratiques IAM consiste à exiger l’authentification multifactorielle pour les identités humaines et les charges de travail. L’activation de l’authentification multifactorielle fournit une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent des informations d’identification et un mot de passe unique (OTP) ou une chaîne de caractères générée et vérifiée cryptographiquement à partir d’un appareil physique.
Mettez en place une longueur de mot de passe minimale, il s’agit d’un facteur essentiel pour garantir la force du mot de passe.
Appliquez la complexité des mots de passe pour les rendre plus difficiles à deviner.
Autorisez les utilisateurs à modifier leurs propres mots de passe.
Créez des identités individuelles plutôt que des informations d’identification partagées. En créant des identités individuelles, vous pouvez attribuer à chaque utilisateur un ensemble unique d’informations d’identification de sécurité. Les utilisateurs individuels offrent la possibilité d’auditer l’activité de chaque utilisateur.

Recommandations IAM Identity Center :

IAM Identity Center fournit une politique de mot de passe prédéfinie lors de l’utilisation du répertoire par défaut qui définit la longueur, la complexité et les exigences de réutilisation des mots de passe.
Activez l’authentification multifactorielle et configurez le paramètre contextuel ou permanent pour l’authentification multifactorielle lorsque la source d’identité est le répertoire par défaut, AWS Managed Microsoft AD ou AD Connector.
Permettez aux utilisateurs d’enregistrer leurs propres appareils d’authentification multifactorielle.

Recommandations d’annuaire des groupes d’utilisateurs Amazon Cognito :

Configurez les paramètres de sécurité du mot de passe.
Exigez l’authentification multifactorielle pour les utilisateurs.
Utilisez les paramètres de sécurité avancés des groupes d’utilisateurs Amazon Cognito pour des fonctionnalités telles que l’authentification adaptative qui permet de bloquer les connexions suspectes.

Recommandations pour les utilisateurs IAM :

Idéalement, vous utilisez IAM Identity Center ou la fédération directe. Cependant, vous aurez peut-être besoin d’utilisateurs IAM. Dans ce cas, définissez une politique de mot de passe pour les utilisateurs IAM. Vous pouvez utiliser la politique de gestion des mots de passe pour définir des exigences telles que la longueur minimale ou la nécessité d’utiliser des caractères non alphabétiques.
Créez une politique IAM pour appliquer la connexion MFA afin que les utilisateurs soient autorisés à gérer leurs propres mots de passe et appareils d’authentification multifactorielle.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités

SEC02-BP02 Utiliser des informations d’identification temporaires