SEC02-BP01 Usa meccanismi di accesso avanzati

Gli accessi (autenticazione tramite credenziali di accesso) possono presentare dei rischi quando non si utilizzano meccanismi come l'autenticazione a più fattori (MFA), specialmente in situazioni in cui le credenziali di accesso sono state divulgate inavvertitamente o sono facilmente intuibili. Utilizzate meccanismi di accesso efficaci per ridurre questi rischi richiedendo politiche rigorose in materia di password. MFA

Risultato desiderato: riduci i rischi di accesso involontario alle credenziali AWS utilizzando meccanismi di accesso efficaci per AWS Identity and Access Management (IAM) gli utenti, l'utente Account AWS root AWS IAM Identity Center(successore del AWS Single Sign-On) e i provider di identità di terze parti. Ciò significa richiedere MFA e applicare politiche complesse in materia di password e rilevare comportamenti di accesso anomali.

Anti-pattern comuni:

Non applicare una politica solida in materia di password per le identità, comprese password complesse e. MFA
Condivisione delle stesse credenziali tra utenti diversi.
Nessun utilizzo di controlli investigativi per gli accessi sospetti.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Ci sono molti modi in cui le identità umane possono accedere ad AWS. È consigliabile affidarsi a un AWS provider di identità centralizzato che utilizzi la federazione (federazione diretta o utilizzo AWS IAM Identity Center) per l'autenticazione. AWS In questo caso, è necessario stabilire un processo di accesso sicuro con il gestore dell'identità digitale o con Microsoft Active Directory.

La prima volta che si apre un Account AWS, si inizia con un Account AWS utente root. L'utente root dell'account va utilizzato solo per configurare l'accesso degli utenti (e per le attività che richiedono l'utente root). È importante attivare MFA l'account come utente root subito dopo aver aperto il proprio Account AWS e proteggere l'utente root utilizzando la guida alle AWS migliori pratiche.

Se crei utenti in AWS IAM Identity Center, proteggi la procedura di accesso in quel servizio. Per le identità dei consumatori, puoi utilizzare pool di utenti di Amazon Cognito e proteggere il processo di accesso del servizio in questione o utilizzare uno dei gestori dell'identità digitale supportati dai pool di utenti di Amazon Cognito.

Se utilizzi utenti AWS Identity and Access Management (IAM), proteggi il processo di accesso utilizzando. IAM

Indipendentemente dal metodo di accesso, è fondamentale applicare una policy di accesso efficace.

Passaggi dell'implementazione

Di seguito sono indicate raccomandazioni generali per l'accesso sicuro. Le impostazioni effettive che configuri devono essere impostate dalla politica aziendale o utilizzare uno standard come NIST800-63.

Richiedere. MFA È una IAMbest practice da richiedere MFA per le identità umane e i carichi di lavoro. L'attivazione MFA offre un ulteriore livello di sicurezza che richiede agli utenti di fornire credenziali di accesso e una password monouso (OTP) o una stringa verificata e generata crittograficamente da un dispositivo hardware.
Applica una lunghezza minima della password, fattore primario nell'efficacia della password.
Applica la complessità delle password in modo che sia più difficile individuarle.
Consenti agli utenti di cambiare le loro password.
Crea identità individuali invece di credenziali condivise. Creando identità individuali, puoi assegnare a ciascun utente un set unico di credenziali di sicurezza. I singoli utenti consentono di sottoporre ad audit l'attività di ciascuno.

IAMRaccomandazioni dell'Identity Center:

IAMIdentity Center fornisce una politica di password predefinita quando si utilizza la directory predefinita che stabilisce i requisiti di lunghezza, complessità e riutilizzo della password.
Attiva MFA e configura l'impostazione sensibile al contesto o sempre attiva per MFA quando l'origine dell'identità è la directory predefinita o AD Connector AWS Managed Microsoft AD.
Consenti agli utenti di registrare i propri dispositivi. MFA

Consigli sulle directory dei pool di utenti Amazon Cognito:

Configura le impostazioni relative alla complessità della password.
Richiesto MFA per gli utenti.
Le impostazioni di sicurezza avanzate dei pool di utenti di Amazon Cognito offrono funzionalità come l'autenticazione adattiva, che può bloccare gli accessi sospetti.

IAMconsigli per gli utenti:

Idealmente si utilizza IAM Identity Center o la federazione diretta. Tuttavia, potresti avere bisogno di IAM utenti. In tal caso, imposta una politica di password per IAM gli utenti. Puoi utilizzare la policy sulla password per definire requisiti quali la lunghezza minima o la necessità che la password richieda caratteri non alfabetici.
Crea una IAM politica per imporre MFA l'accesso in modo che gli utenti possano gestire le proprie password e i propri dispositivi. MFA

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC2. Come si gestisce l'autenticazione per persone e macchine?

SEC02-BP02 Usa credenziali temporanee