Funzioni di sicurezza avanzate per pool di utenti - Amazon Cognito
Considerazioni e limitazioni relative alle funzionalità di sicurezza avanzateAttivazione di funzionalità di sicurezza avanzate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzioni di sicurezza avanzate per pool di utenti

Dopo aver creato il bacino d'utenza, potrai accedere ad Advanced security (Sicurezza avanzata) sulla barra di navigazione della console Amazon Cognito. Puoi attivare le caratteristiche di sicurezza avanzata per il bacino d'utenza e personalizzare le azioni che vengono eseguite in risposta a rischi differenti. In alternativa, si può utilizzare la modalità di controllo per raccogliere i parametri sui rischi rilevati, senza applicare mitigazioni della sicurezza. In modalità di controllo, le funzionalità di sicurezza avanzate pubblicano i parametri su Amazon CloudWatch. Puoi visualizzare le metriche di sicurezza avanzate dopo che Amazon Cognito ha generato il suo primo evento di sicurezza avanzato. Per informazioni, consulta Visualizzazione delle metriche di protezione dalle minacce.

Per le funzionalità di sicurezza avanzate di si applicano dei costi aggiuntivi. Per ulteriori informazioni, consulta i prezzi di Amazon Cognito.

Le seguenti opzioni di pool di utenti sono i componenti delle funzionalità di sicurezza avanzate.

Personalizzazione del token di accesso

Quando attivi le funzionalità di sicurezza avanzate, puoi configurare il pool di utenti per accettare le risposte a un evento trigger Lambda versione 2. Con la versione 2, puoi personalizzare gli ambiti e altre attestazioni nei token di accesso. Ciò aumenta la capacità di creare risultati di autorizzazione flessibili quando gli utenti eseguono l'autenticazione. Per ulteriori informazioni, consulta Personalizzazione del token di accesso.

Protezione dalle minacce

La protezione dalle minacce è un insieme di strumenti di monitoraggio delle attività indesiderate nel pool di utenti e strumenti di configurazione per arrestare automaticamente le attività potenzialmente dannose. La protezione dalle minacce offre diverse opzioni di configurazione per le operazioni di autenticazione standard e personalizzate. Ad esempio, potresti voler inviare una notifica a un utente con un accesso di autenticazione personalizzato sospetto, in cui hai impostato fattori di sicurezza aggiuntivi, ma bloccare un utente allo stesso livello di rischio con l'autenticazione di base tra nome utente e password.

Credenziali compromesse

Gli utenti riutilizzano le password per più account utente. La funzionalità credenziali compromesse di Amazon Cognito compila i dati di fughe pubbliche di nomi utente e password e confronta le credenziali degli utenti con gli elenchi di credenziali divulgate. Il rilevamento delle credenziali compromesse verifica inoltre la presenza di password facilmente indovinate. È possibile verificare la presenza di credenziali compromesse nei flussi di autenticazione standard nei username-and-password pool di utenti. Amazon Cognito non rileva credenziali compromesse nella password remota sicura (SRP) o nell'autenticazione personalizzata.

Puoi scegliere le azioni dell'utente che richiedono la verifica della presenza di credenziali compromesse e l'azione che deve effettuare Amazon Cognito in risposta. Per gli eventi di accesso, registrazione e modifica della password, Amazon Cognito può scegliere tra le opzioni Blocca l'accesso o Consenti l'accesso. In entrambi i casi, Amazon Cognito genera un registro delle attività degli utenti in cui è possibile trovare ulteriori informazioni sull'evento.

Autenticazione adattiva

Amazon Cognito può esaminare le informazioni sulla posizione e il dispositivo delle richieste di accesso degli utenti e applicare una risposta automatica per proteggere gli account utente del pool di utenti da attività sospette. Puoi monitorare l'attività degli utenti e automatizzare le risposte ai livelli di rischio rilevati in termini di nome utente-password e SRP autenticazione personalizzata.

Quando attivi la sicurezza avanzata, Amazon Cognito assegna un punteggio di rischio all'attività dell'utente. Puoi assegnare una risposta automatica alle attività sospette: puoi richiedere MFA, bloccare l'accesso o semplicemente registrare i dettagli dell'attività e il punteggio di rischio. Puoi anche inviare automaticamente messaggi e-mail che informano l'utente dell'attività sospetta in modo che possa reimpostare la password o eseguire altre azioni autogestite.

Elenco consentito e elenco di indirizzi IP negati

Grazie alle funzionalità di sicurezza avanzate di Amazon Cognito nella modalità Funzione completa, è possibile creare eccezioni Blocca sempreConsenti sempre dell'indirizzo IP. A una sessione il cui indirizzo IP è nella lista delle eccezioni Blocca sempre non viene assegnato un livello di rischio tramite autenticazione adattiva e non può accedere al bacino d'utenza.

Esportazione del registro

Le funzionalità di sicurezza avanzate registrano i dettagli granulari delle richieste di autenticazione degli utenti nel tuo pool di utenti. Questi registri contengono valutazioni delle minacce, informazioni sugli utenti e metadati della sessione come posizione e dispositivo. È possibile creare archivi esterni di questi registri per la conservazione e l'analisi. I pool di utenti di Amazon Cognito esportano i log di protezione dalle minacce su Amazon S3, Logs CloudWatch e Amazon Data Firehose. Per ulteriori informazioni, consulta Visualizzazione ed esportazione della cronologia degli eventi degli utenti.

Prevenzione del riutilizzo delle password

Gli utenti potrebbero andare avanti e indietro tra alcune password ricordate. Il rilevamento compromesso delle credenziali nella protezione dalle minacce può mitigare alcuni degli effetti a lungo termine di una cattiva gestione delle password. Una politica di cronologia delle password si occupa del resto. Con la prevenzione del riutilizzo delle password, puoi confrontare le nuove password degli utenti con le ultime n password, fino a 24, e bloccare l'operazione di reimpostazione della password se c'è una corrispondenza.

Argomenti

Considerazioni e limitazioni relative alle funzionalità di sicurezza avanzate

Le opzioni di protezione dalle minacce differiscono tra i flussi di autenticazione

Amazon Cognito supporta sia l'autenticazione adattiva che il rilevamento delle credenziali compromesse con i flussi di autenticazione e. USER_PASSWORD_AUTH ADMIN_USER_PASSWORD_AUTH Puoi abilitare solo l'autenticazione adattiva per. USER_SRP_AUTH Non puoi utilizzare la protezione dalle minacce con l'accesso federato.

Blocca sempre i contributi per richiedere quote IPs

Le richieste bloccate provenienti da indirizzi IP nella lista delle eccezioni Blocca sempre nel tuo baclno d'utenza, contribuiscono alle quote tariffarie per le richieste dei tuoi bacini d'utenza.

La protezione dalle minacce non applica limiti di velocità

Parte del traffico malevolo presenta la caratteristica di un elevato volume di richieste, come gli attacchi distributed denial of service (DDoS). Le valutazioni di rischio che Amazon Cognito applica al traffico in entrata si basano sulle singole richieste e non tengono conto del volume delle richieste. Le richieste individuali relative a un evento ad alto volume potrebbero ricevere un punteggio di rischio e una risposta automatica per motivi a livello di applicazione che non sono correlati al loro ruolo in un attacco volumetrico. Per implementare difese contro gli attacchi volumetrici nei tuoi pool di utenti, aggiungi web. AWS WAF ACLs Per ulteriori informazioni, consulta Associazione di un AWS WAF Web a ACL un pool di utenti.

La protezione dalle minacce non influisce sulle richieste M2M

Le credenziali concesse ai client sono destinate all'autorizzazione machine-to-machine (M2M) senza connessione agli account utente. Le funzionalità di sicurezza avanzata monitorano solo gli account utente e le password nel pool di utenti. Per implementare funzionalità di sicurezza nella tua attività M2M, prendi in considerazione le funzionalità di monitoraggio della frequenza delle AWS WAF richieste e dei contenuti. Per ulteriori informazioni, consulta Associazione di un AWS WAF Web a ACL un pool di utenti.

Attivazione di funzionalità di sicurezza avanzate

Amazon Cognito user pools console
Per attivare funzionalità di sicurezza avanzate per un pool di utenti

  1. Passa alla console Amazon Cognito. Se richiesto, inserisci le tue AWS credenziali.

  2. Scegli User Pools (Pool di utenti).

  3. Scegli un bacino d'utenza esistente dall'elenco o creane uno nuovo.

  4. Scegli la scheda Sicurezza avanzata e seleziona Attiva.

  5. Scegli Save changes (Salva modifiche).

API

Imposta le funzionalità di sicurezza avanzate attive in una UpdateUserPoolAPIrichiesta CreateUserPoolo. Il seguente esempio parziale del corpo della richiesta imposta le funzionalità di sicurezza avanzate in modalità a funzionalità complete. Per una richiesta di esempio completa, vedi Esempi.

"UserPoolAddOns": { 
      "AdvancedSecurityMode": "ENFORCED"
   }