SEC02-BP01 강력한 로그인 메커니즘 사용

로그인(로그인 자격 증명을 사용한 인증)은 다중 인증(MFA)과 같은 메커니즘을 사용하지 않을 때 특히 로그인 자격 증명이 실수로 공개되었거나 쉽게 추측되는 상황에서 위험을 초래할 수 있습니다. 강력한 로그인 메커니즘을 사용하여 MFA 및 강력한 암호 정책을 요구하여 이러한 위험을 줄입니다.

원하는 결과: AWS Identity and Access Management (IAM) 사용자, AWS 계정 루트 사용자, ( AWS Single Sign-On AWS IAM Identity Center 후속) 및 타사 자격 증명 공급자에 대한 강력한 로그인 메커니즘을 AWS 사용하여 에서 자격 증명에 의도하지 않게 액세스할 위험을 줄입니다. 즉, 가 필요하고MFA, 강력한 암호 정책을 적용하고, 비정상적인 로그인 동작을 감지해야 합니다.

일반적인 안티 패턴:

복잡한 암호 및 를 포함하여 자격 증명에 강력한 암호 정책을 적용하지 않습니다MFA.
다른 사용자 간에 동일한 자격 증명을 공유합니다.
의심스러운 로그인에 대한 탐지 제어를 사용하지 않습니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 높음

구현 가이드

인적 자격 증명으로 AWS에 로그인하는 방법에는 여러 가지가 있습니다. 에 인증할 때 페더레이션(직접 페더레이션 또는 사용 AWS IAM Identity Center)을 사용하여 중앙 집중식 자격 증명 공급자를 사용하는 것이 AWS 가장 좋습니다 AWS. 이 경우 ID 공급업체 또는 Microsoft Active Directory를 사용하여 보안 로그인 프로세스를 설정해야 합니다.

를 처음 열 때 AWS 계정 루트 사용자로 AWS 계정시작합니다. 루트 사용자 계정은 사용자(및 루트 사용자가 필요한 작업)에 대한 액세스 권한을 설정할 때만 사용해야 합니다. 를 연 후 계정 루트 사용자에 MFA 대해 즉시 AWS 계정 를 켜고 AWS 모범 사례 가이드 를 사용하여 루트 사용자를 보호하는 것이 중요합니다.

에서 사용자를 생성하는 경우 해당 서비스에서 로그인 프로세스를 보호 AWS IAM Identity Center하세요. 소비자 자격 증명의 경우 Amazon Cognito 사용자 풀을 사용하고 해당 서비스에서 로그인 프로세스를 보호하거나 Amazon Cognito 사용자 풀이 지원하는 ID 제공업체 중 하나를 사용할 수 있습니다.

AWS Identity and Access Management (IAM) 사용자를 사용하는 경우 를 사용하여 로그인 프로세스를 보호해야 합니다IAM.

로그인 방법에 관계없이 강력한 로그인 정책을 적용하는 것이 중요합니다.

구현 단계

다음은 일반적인 강력한 로그인 권장 사항입니다. 구성한 실제 설정은 회사 정책에 따라 설정하거나 NIST 800-63과 같은 표준을 사용해야 합니다.

가 필요합니다MFA. 인적 자격 증명 및 워크로드IAM에 필요한 모범 사례MFA입니다. 를 켜면 사용자가 로그인 보안 인증 정보와 일회용 암호(OTP) 또는 하드웨어 디바이스에서 암호화로 검증되고 생성된 문자열을 제공해야 하는 추가 보안 계층이 MFA 제공됩니다.
암호 강도의 기본 요소인 최소 암호 길이를 적용합니다.
암호 복잡성을 적용하여 암호를 추측하기 어렵게 만듭니다.
사용자에게 자신의 암호를 변경할 수 있도록 허용
공유 자격 증명 대신 개별 자격 증명을 생성합니다. 개별 자격 증명을 생성하여 각 사용자에게 고유한 보안 자격 증명 세트를 제공할 수 있습니다. 개별 사용자는 각 사용자의 활동을 감사할 수 있는 기능을 제공합니다.

IAM Identity Center 권장 사항:

IAM Identity Center는 암호 길이, 복잡성 및 재사용 요구 사항을 설정하는 기본 디렉터리를 사용할 때 미리 정의된 암호 정책을 제공합니다.
자격 증명 소스가 기본 디렉터리 또는 AD Connector인 MFA 경우 컨텍스트 인식 AWS Managed Microsoft AD또는 상시 설정 기능을 켜고 MFA 구성합니다.
사용자가 자신의 MFA 디바이스를 등록할 수 있도록 허용합니다.

Amazon Cognito 사용자 풀 디렉터리 권장 사항:

암호 강도 설정을 구성합니다.
사용자에게 필요합니다MFA.
Amazon Cognito 사용자 풀의 고급 보안 설정을 사용하여 의심되는 로그인을 차단할 수 있는 적응형 인증과 같은 기능을 사용합니다.

IAM 사용자 권장 사항:

IAM Identity Center 또는 직접 페더레이션을 사용하는 것이 가장 좋습니다. 하지만 IAM 사용자에게는 필요할 수 있습니다. 이 경우 IAM 사용자에 대한 암호 정책을 설정합니다. 암호 정책을 사용하여 최소 길이 또는 알파벳 이외 문자 포함 여부 등과 같은 요구 사항을 정의할 수 있습니다.
사용자가 자신의 암호와 MFA 디바이스를 관리할 수 있도록 MFA 로그인을 강제 적용하는 IAM 정책을 생성합니다.

리소스

관련 모범 사례:

관련 문서:

관련 비디오:

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

SEC 2. 사람과 시스템에 대한 인증은 어떻게 관리하나요?

SEC02-BP02 임시 자격 증명 사용