Recursos avançados de segurança do grupo de usuários - Amazon Cognito
Considerações e limitações para recursos avançados de segurançaAtivando recursos avançados de segurança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recursos avançados de segurança do grupo de usuários

Depois de criar o grupo de usuários, você terá acesso à Advanced security (Segurança avançada) na barra de navegação do console do Amazon Cognito. Você pode ativar os recursos de segurança avançada do grupo de usuários e personalizar as ações executadas em resposta a riscos diferentes. Outra opção é usar o modo de auditoria para coletar métricas sobre riscos detectados sem aplicar mitigação de segurança. No modo de auditoria, os recursos avançados de segurança publicam métricas na Amazon CloudWatch. Você pode ver métricas de segurança avançadas depois que o Amazon Cognito gerar seu primeiro evento de segurança avançada. Consulte Visualizando métricas de proteção contra ameaças.

O preço adicional se aplica aos recursos de segurança avançada do . Para obter mais informações, consulte a definição de preço do Amazon Cognito.

As seguintes opções de grupos de usuários são os componentes dos recursos avançados de segurança.

Personalização do token de acesso

Ao ativar atributos avançados de segurança, é possível configurar o grupo de usuários para aceitar respostas a um evento de gatilho do Lambda versão 2. Com a versão 2, é possível personalizar escopos e outras declarações em tokens de acesso. Isso aumenta a capacidade de criar resultados de autorização flexíveis quando os usuários se autenticam. Para obter mais informações, consulte Personalizar o token de acesso.

Proteção contra ameaças

A proteção contra ameaças é um conjunto de ferramentas de monitoramento de atividades indesejadas em seu grupo de usuários e ferramentas de configuração para encerrar automaticamente atividades potencialmente maliciosas. A proteção contra ameaças tem diferentes opções de configuração para operações de autenticação padrão e personalizadas. Por exemplo, talvez você queira enviar uma notificação a um usuário com um login de autenticação personalizada suspeito, no qual você configurou fatores de segurança adicionais, mas bloqueou um usuário no mesmo nível de risco com a autenticação básica por nome de usuário e senha.

Credenciais comprometidas

Os usuários reutilizam senhas para várias contas de usuário. O recurso de credenciais comprometidas do Amazon Cognito compila dados de vazamentos públicos de nomes de usuário e senhas e compara as credenciais de seus usuários com listas de credenciais vazadas. A detecção de credenciais comprometidas também verifica se há senhas que possam ser deduzidas com facilidade. Você pode verificar se há credenciais comprometidas em fluxos de autenticação username-and-password padrão em grupos de usuários. O Amazon Cognito não detecta credenciais comprometidas na senha remota segura (SRP) ou na autenticação personalizada.

Você pode selecionar as ações do usuário que solicitam a verificação de credenciais comprometidas e a ação que você deseja que o Amazon Cognito realize em resposta. Para eventos de login, inscrição e alteração de senha, o Amazon Cognito pode Bloquear login ou Permitir login. Em ambos os casos, o Amazon Cognito gera um registro de atividades do usuário onde você pode encontrar mais informações sobre o evento.

Autenticação adaptável

O Amazon Cognito pode revisar as informações de localização e dispositivo das solicitações de login dos usuários e aplicar uma resposta automática para proteger as contas de usuário no grupo de usuários contra atividades suspeitas. Você pode monitorar a atividade do usuário e automatizar as respostas aos níveis de risco detectados em nome de usuárioSRP, senha e autenticação personalizada.

Quando você ativa a segurança avançada, o Amazon Cognito atribui uma pontuação de risco à atividade do usuário. Você pode atribuir uma resposta automática a atividades suspeitas: você pode exigir MFA, bloquear o login ou simplesmente registrar os detalhes da atividade e a pontuação de risco. Você também pode enviar automaticamente mensagens de e-mail que notificam o usuário sobre a atividade suspeita para que ele possa redefinir a senha ou realizar outras ações autoguiadas.

Lista de endereços IP permitidos e negados

Com os recursos de segurança avançada do Amazon Cognito no Modo de função completa, você pode criar as exceções Sempre bloquear e Sempre permitir para o endereço IP. Uma sessão de um endereço IP na lista de exceções Always block (Bloquear sempre) não recebe um nível de risco por autenticação adaptativa e não pode fazer login no grupo de usuários.

Exportação de registros

Os recursos avançados de segurança registram detalhes granulares das solicitações de autenticação dos usuários em seu grupo de usuários. Esses registros apresentam avaliações de ameaças, informações do usuário e metadados da sessão, como localização e dispositivo. Você pode criar arquivos externos desses registros para retenção e análise. Os grupos de usuários do Amazon Cognito exportam registros de proteção contra ameaças para o Amazon S3 CloudWatch , o Logs e o Amazon Data Firehose. Para obter mais informações, consulte Visualizando e exportando o histórico de eventos do usuário.

E-mail MFA

Amplie os recursos de autenticação multifatorial (MFA) do seu grupo de usuários. Por padrão, grupos de usuários podem gerar códigos em uma SMS mensagem ou com uma chave privada de senha única (TOTP) baseada em tempo que você compartilha com os aplicativos autenticadores dos usuários. Com recursos avançados de segurança e uma configuração de SES envio de e-mail da Amazon, você pode ativar o e-mail MFA para usuários no grupo de usuários, definir o e-mail como MFA método preferencial e enviar MFA códigos para o endereço de e-mail do usuário. Para obter mais informações, consulte E-mail MFA.

Prevenção de reutilização de senhas

Os usuários podem alternar entre algumas senhas lembradas. A detecção de credenciais comprometidas na proteção contra ameaças pode mitigar alguns dos efeitos de longo prazo do mau gerenciamento de senhas. Uma política de histórico de senhas cuida do resto. Com a prevenção de reutilização de senhas, você pode comparar as novas senhas do usuário com as últimas n senhas, até 24, e bloquear a operação de redefinição de senha se houver uma correspondência.

Tópicos

Considerações e limitações para recursos avançados de segurança

As opções de proteção contra ameaças diferem entre os fluxos de autenticação

O Amazon Cognito suporta tanto a autenticação adaptativa quanto a detecção de credenciais comprometidas com os fluxos de autenticação e. USER_PASSWORD_AUTH ADMIN_USER_PASSWORD_AUTH Você pode habilitar somente a autenticação adaptativa paraUSER_SRP_AUTH. Você não pode usar a proteção contra ameaças com o login federado.

Sempre bloqueie a IPs contribuição para solicitar cotas

Solicitações bloqueadas de endereços IP em uma lista de exceções Always block (Bloquear sempre) em seu grupo de usuários contribuem para as cotas de taxas de solicitação de seus grupos de usuários.

A proteção contra ameaças não aplica limites de taxa

Alguns tráfegos maliciosos têm a característica de um alto volume de solicitações, como ataques distribuídos de negação de serviço (DDoS). As classificações de risco que o Amazon Cognito aplica ao tráfego de entrada são por solicitação e não levam em conta o volume de solicitações. Solicitações individuais em um evento de alto volume podem receber uma pontuação de risco e uma resposta automática por motivos da camada de aplicação que não estão relacionados à sua função em um ataque volumétrico. Para implementar defesas contra ataques volumétricos em seus grupos de usuários, adicione web. AWS WAF ACLs Para obter mais informações, consulte Associando uma AWS WAF web a ACL um grupo de usuários.

A proteção contra ameaças não afeta as solicitações M2M

As concessões de credenciais do cliente são destinadas à autorização machine-to-machine (M2M) sem conexão com contas de usuário. Os recursos avançados de segurança monitoram somente contas e senhas de usuários em seu grupo de usuários. Para implementar recursos de segurança com sua atividade M2M, considere os recursos de AWS WAF monitorar as taxas e o conteúdo das solicitações. Para obter mais informações, consulte Associando uma AWS WAF web a ACL um grupo de usuários.

Ativando recursos avançados de segurança

Amazon Cognito user pools console
Para ativar recursos avançados de segurança para um grupo de usuários

  1. Acesse o console do Amazon Cognito. Se solicitado, insira suas AWS credenciais.

  2. Escolha User Pools (Grupos de usuários).

  3. Escolha um grupo de usuários existente na lista ou crie um grupo de usuários.

  4. Escolha a guia Segurança avançada e selecione Ativar.

  5. Escolha Salvar alterações.

API

Defina recursos avançados de segurança ativos em uma UpdateUserPoolAPIsolicitação CreateUserPoolou. O exemplo parcial de corpo de solicitação a seguir define os recursos de segurança avançados para o modo de função completa. Para ver um exemplo completo de solicitação, consulte Exemplos.

"UserPoolAddOns": { 
      "AdvancedSecurityMode": "ENFORCED"
   }