SEC02-BP01 Gunakan mekanisme masuk yang kuat - Pilar Keamanan
Panduan implementasiSumber daya

SEC02-BP01 Gunakan mekanisme masuk yang kuat

Proses masuk (autentikasi menggunakan kredensial masuk) dapat menimbulkan risiko jika tidak menggunakan mekanisme seperti autentikasi multi-faktor (MFA), khususnya ketika kredensial tanpa sengaja terungkap atau mudah ditebak. Untuk mengurangi risiko ini, gunakan mekanisme masuk yang kuat dengan menerapkan MFA dan kebijakan kata sandi yang kuat.

Hasil yang diinginkan: Mengurangi risiko terjadinya akses yang tidak diinginkan ke kredensial yang ada di AWS dengan menggunakan mekanisme masuk yang kuat untuk pengguna AWS Identity and Access Management(IAM), pengguna rootAkun AWS, AWS IAM Identity Center (penerus Single Sign-On AWS), dan penyedia identitas pihak ketiga. Tujuan-tujuan ini dapat dicapai dengan MFA, yang menerapkan kebijakan kata sandi yang kuat, dan mendeteksi perilaku adanya pengguna yang masuk secara tidak wajar.

Anti-pola umum:

  • Tidak menerapkan kebijakan kata sandi kuat untuk identitas Anda, termasuk kata sandi yang kompleks dan MFA.

  • Kredensial yang sama digunakan oleh beberapa pengguna yang berbeda.

  • Tidak menggunakan kontrol-kontrol detektif untuk mengenali aktivitas masuk yang mencurigakan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Ada banyak cara yang bisa digunakan identitas manusia masuk untuk ke AWS. Ini adalah praktik terbaik AWS untuk mengandalkan penyedia identitas tersentralisasi dengan menggunakan federasi (federasi langsung atau dengan AWS IAM Identity Center) saat melakukan autentikasi ke AWS. Dalam kasus tersebut, Anda harus membuat proses masuk yang aman dengan penyedia identitas Anda atau Microsoft Active Directory.

Saat pertama kali membuka sebuah Akun AWS, Anda akan memulainya dengan pengguna root Akun AWS. Anda hanya harus menggunakan pengguna root akun untuk mengatur akses bagi para pengguna Anda (dan untuk tugas-tugas yang memerlukan pengguna root). Anda harus mengaktifkan MFA untuk pengguna root akun segera setelah membuka Akun AWS Anda dan Anda harus mengamankan pengguna root dengan menggunakan panduan praktik terbaik AWS.

Jika Anda membuat pengguna di AWS IAM Identity Center, maka Anda harus mengamankan proses masuk dalam layanan tersebut. Untuk identitas konsumen, Anda dapat menggunakan kumpulan pengguna Amazon Cognito dan mengamankan proses masuk yang ada di layanan tersebut, atau dengan menggunakan salah satu penyedia identitas yang didukung oleh kumpulan pengguna Amazon Cognito.

Jika Anda menggunakan pengguna AWS Identity and Access Management (IAM), maka Anda seharusnya mengamankan proses masuk dengan menggunakan IAM.

Apa pun metode masuknya, Anda harus menerapkan kebijakan masuk yang kuat.

Langkah-langkah implementasi

Berikut ini adalah beberapa rekomendasi mekanisme masuk yang kuat secara umum. Pengaturan aktual yang Anda konfigurasikan harus ditetapkan oleh kebijakan perusahaan Anda atau menggunakan sebuah standar seperti NIST 800-63.

  • Mengharuskan penggunaan MFA. Yang menjadi praktik terbaik IAM adalah mewajibkan penggunaan MFA untuk identitas dan beban kerja manusia. Menyalakan MFA akan memberikan lapisan keamanan tambahan yang mengharuskan pengguna untuk memberikan kredensial masuk dan kata sandi sekali pakai (OTP) atau string yang dibuat dan diverifikasi secara kriptografik dari perangkat untuk perangkat keras.

  • Berlakukan batas minimum karakter kata sandi, yang merupakan faktor utama dari kekuatan kata sandi.

  • Berlakukan kompleksitas kata sandi agar kata sandi tidak mudah ditebak.

  • Izinkan pengguna untuk mengubah kata sandi mereka sendiri.

  • Buatlah identitas individu, bukan kredensial bersama. Dengan membuat identitas individu, Anda dapat memberikan kredensial keamanan yang unik kepada masing-masing pengguna. Penggunaan pengguna individu juga menyediakan kemampuan untuk mengaudit aktivitas dari setiap pengguna.

Rekomendasi Pusat Identitas IAM:

  • Pusat Identitas IAM menyediakan kebijakan kata sandi yang telah ditentukan sebelumnya saat menggunakan direktori default yang menetapkan panjang kata sandi, kompleksitas, dan persyaratan penggunaan kembali.

  • Nyalakan MFA dan konfigurasikan pengaturan sadar konteks atau selalu aktif untuk MFA saat sumber identitasnya adalah direktori default, AWS Managed Microsoft AD, atau AD Connector.

  • Izinkan para pengguna untuk mendaftarkan perangkat MFA mereka sendiri.

Rekomendasi direktori kumpulan pengguna Amazon Cognito:

Rekomendasi pengguna IAM:

  • Idealnya, Anda menggunakan Pusat Identitas IAM atau federasi langsung. Namun demikian, Anda mungkin membutuhkan pengguna IAM. Dalam hal ini, tetapkan sebuah kebijakan kata sandi untuk pengguna IAM. Anda dapat menggunakan kebijakan kata sandi tersebut untuk menentukan persyaratan, seperti jumlah karakter minimum, atau apakah kata sandi harus terdiri dari karakter non-alfabet atau tidak.

  • Buat kebijakan IAM untuk memberlakukan masuk dengan MFA sehingga para pengguna diizinkan untuk mengelola kata sandi dan perangkat MFA mereka sendiri.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait: