SEC02-BP01 Gunakan mekanisme masuk yang kuat - Pilar Keamanan
Panduan implementasiSumber daya

SEC02-BP01 Gunakan mekanisme masuk yang kuat

Proses masuk (autentikasi menggunakan kredensial masuk) dapat menimbulkan risiko jika tidak menggunakan mekanisme seperti autentikasi multi-faktor (MFA), khususnya ketika kredensial tanpa sengaja terungkap atau mudah ditebak. Untuk mengurangi risiko ini, gunakan mekanisme masuk yang kuat dengan menerapkan MFA dan kebijakan kata sandi yang kuat.

Hasil yang diinginkan: Mengurangi risiko terjadinya akses yang tidak diinginkan ke kredensial yang ada di AWS menggunakan mekanisme masuk yang kuat untuk pengguna AWS Identity and Access Management (IAM), pengguna root Akun AWS, Pusat Identitas AWS IAM (penerus AWS IAM Identity Center), dan penyedia identitas pihak ketiga. Tujuan-tujuan ini dapat dicapai dengan MFA, yang menerapkan kebijakan kata sandi yang kuat, dan mendeteksi perilaku adanya pengguna yang masuk secara tidak wajar.

Anti-pola umum:

  • Tidak menerapkan kebijakan kata sandi kuat untuk identitas Anda, termasuk kata sandi yang kompleks dan MFA.

  • Kredensial yang sama digunakan oleh beberapa pengguna yang berbeda.

  • Tidak menggunakan kontrol-kontrol detektif untuk mengenali aktivitas masuk yang mencurigakan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Ada banyak cara yang bisa digunakan identitas manusia untuk masuk ke AWS. Praktik terbaik AWS adalah mengandalkan penyedia identitas tersentralisasi dengan menggunakan federasi (federasi SAML 2.0 langsung antara AWS IAM dan IdP tersentralisasi atau menggunakan Pusat Identitas AWS IAM) saat melakukan autentikasi ke AWS. Dalam kasus tersebut, buat proses masuk yang aman dengan penyedia identitas Anda atau Microsoft Active Directory.

Saat pertama kali membuka sebuah Akun AWS, Anda akan memulainya dengan pengguna root Akun AWS. Anda harus hanya menggunakan pengguna root akun untuk mengatur akses bagi para pengguna Anda (dan untuk tugas-tugas yang memerlukan pengguna root). Anda harus mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root akun segera setelah membuka Akun AWS Anda dan mengamankan pengguna root menggunakan panduan praktik terbaik AWS.

Pusat Identitas AWS IAM dirancang untuk pengguna tenaga kerja, dan Anda dapat membuat dan mengelola identitas pengguna dalam layanan dan mengamankan proses masuk dengan MFA. AWS Cognito, di sisi lain, dirancang untuk manajemen identitas pelanggan dan akses (CIAM), yang menyediakan kumpulan pengguna dan penyedia identitas untuk identitas pengguna eksternal dalam aplikasi Anda.

Jika Anda membuat pengguna di Pusat Identitas AWS IAM, amankan proses masuk di layanan tersebut dan aktifkan MFA. Untuk identitas pengguna eksternal, Anda dapat menggunakan kumpulan pengguna Amazon Cognito dan mengamankan proses masuk yang ada di layanan tersebut atau melalui salah satu penyedia identitas yang didukung dalam kumpulan pengguna Amazon Cognito.

Selain itu, untuk pengguna di Pusat Identitas AWS IAM, Anda dapat menggunakan Akses Terverifikasi AWS untuk menyediakan lapisan keamanan tambahan dengan memverifikasi postur identitas dan perangkat pengguna sebelum mereka diberi akses ke sumber daya AWS.

Jika Anda menggunakan pengguna AWS Identity and Access Management (IAM), maka Anda seharusnya mengamankan proses masuk dengan menggunakan IAM.

Anda dapat menggunakan Pusat Identitas AWS IAM dan federasi IAM langsung secara bersamaan untuk mengelola akses ke AWS. Anda dapat menggunakan federasi IAM untuk mengelola akses ke AWS Management Console dan layanan serta Pusat Identitas IAM untuk mengelola akses ke aplikasi bisnis seperti Amazon QuickSight atau Amazon Q Business.

Apa pun metode masuknya, Anda harus menerapkan kebijakan masuk yang kuat.

Langkah-langkah implementasi

Berikut ini adalah beberapa rekomendasi mekanisme masuk yang kuat secara umum. Pengaturan aktual yang Anda konfigurasikan harus ditetapkan oleh kebijakan perusahaan Anda atau menggunakan sebuah standar seperti NIST 800-63.

  • Wajibkan penggunaan MFA. Praktik terbaik IAM adalah mewajibkan penggunaan MFA untuk identitas dan beban kerja manusia. Pengaktifan MFA akan memberikan lapisan keamanan tambahan yang mengharuskan pengguna memberikan kredensial masuk dan kata sandi sekali pakai (OTP) atau string yang dibuat dan diverifikasi secara kriptografis dari perangkat keras.

  • Berlakukan panjang minimum kata sandi, yang merupakan faktor utama dari kekuatan kata sandi.

  • Berlakukan kompleksitas kata sandi agar kata sandi tidak mudah ditebak.

  • Izinkan pengguna mengubah kata sandi mereka sendiri.

  • Buatlah identitas individu, bukan kredensial bersama. Dengan membuat identitas individu, Anda dapat memberikan kredensial keamanan yang unik kepada masing-masing pengguna. Pengguna individu juga menyediakan kemampuan untuk mengaudit aktivitas setiap pengguna.

Rekomendasi Pusat Identitas IAM:

  • Pusat Identitas IAM menyediakan kebijakan kata sandi yang telah ditentukan sebelumnya saat menggunakan direktori default yang menetapkan panjang kata sandi, kompleksitas, dan persyaratan penggunaan kembali.

  • Nyalakan MFA dan konfigurasikan pengaturan sadar konteks atau selalu aktif untuk MFA saat sumber identitasnya adalah direktori default, AWS Managed Microsoft AD, atau AD Connector.

  • Izinkan para pengguna untuk mendaftarkan perangkat MFA mereka sendiri.

Rekomendasi direktori kumpulan pengguna Amazon Cognito:

Rekomendasi pengguna IAM:

  • Idealnya, Anda menggunakan Pusat Identitas IAM atau federasi langsung. Namun demikian, Anda mungkin membutuhkan pengguna IAM. Dalam hal ini, tetapkan sebuah kebijakan kata sandi untuk pengguna IAM. Anda dapat menggunakan kebijakan kata sandi tersebut untuk menentukan persyaratan, seperti jumlah karakter minimum, atau apakah kata sandi harus terdiri dari karakter non-alfabet atau tidak.

  • Buat kebijakan IAM untuk memberlakukan masuk dengan MFA sehingga para pengguna diizinkan untuk mengelola kata sandi dan perangkat MFA mereka sendiri.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait: