SEC02-BP01 Usar mecanismos de início de sessão fortes

Os inícios de sessão (autenticação com credenciais de login) podem apresentar riscos quando não são usados mecanismos, como autenticação multifator (MFA), especialmente em situações em que as credenciais de login foram divulgadas acidentalmente ou podem ser deduzidas com facilidade. Utilize mecanismos de início de sessão fortes para reduzir essas riscos exigindo MFA e políticas de senhas fortes.

Resultado desejado: reduza os riscos de acesso não intencional às credenciais na AWS usando mecanismos de início de sessão robustos para usuários do AWS Identity and Access Management (IAM), o usuário-raiz da Conta da AWS, o AWS IAM Identity Center (sucessor do AWS Single Sign-On) e provedores de identidade terceirizados. Isso significa exigir MFA, impor políticas de senhas fortes e detectar comportamento de login anômalo.

Práticas comuns que devem ser evitadas:

Não impor uma política de senhas fortes para suas identidades incluindo senhas complexas e MFA.
Compartilhar as mesmas credenciais entre usuários diferentes.
Não utilizar controles de detecção para logins suspeitos.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Há muitas formas de identidades humanas fazerem iniciarem sessão na AWS. É prática recomendada da AWS confiar em um provedor de identidades centralizado utilizando federação (federação direta ou via AWS IAM Identity Center) ao realizar a autenticação na AWS. Nesse caso, você deve estabelecer um processo de início de sessão seguro com seu provedor de identidades ou o Microsoft Active Directory.

Ao abrir pela primeira vez uma Conta da AWS, você começa com um usuário-raiz da Conta da AWS. Você só deve usar o usuário-raiz da conta para configurar o acesso para seus usuários (e para tarefas que exijam o usuário-raiz). É importante ativar o MFA para o usuário-raiz da conta imediatamente após abrir sua conta Conta da AWS e proteger o usuário-raiz usando o guia de práticas recomendadas da AWS.

Se você criar usuários no AWS IAM Identity Center, proteja o processo de início de sessão nesse serviço. Para identidades de consumidores, é possível usar grupos de usuários do Amazon Cognito e proteger o processo de início de sesão nesse serviço ou usar um dos provedores de identidades aos quais os grupos de usuários do Amazon Cognito oferecem suporte.

Se você estiver usando usuários do AWS Identity and Access Management (IAM), poderá proteger processo de início de sessão usando o IAM.

Seja qual for o método de início de sessão, é essencial impor uma política de login forte.

Etapas de implementação

Veja a seguir as recomendações gerais de início de sessão forte. As configurações reais que você configurar deverão ser definidas pela política da sua empresa ou usar um padrão como o NIST 800-63.

Solicite a MFA. É prática recomendada do IAM exigir MFA para identidades humanas e workloads. A ativação da MFA oferece uma camada adicional de segurança que exige que os usuários forneçam credenciais de início de sessão e uma senha de uso único (OTP) ou uma string gerada e verificada criptograficamente por um dispositivo de hardware.
Imponha um comprimento mínimo de senha, que é um fator essencial da força da senha.
Imponha complexidade para tornar as senhas mais difíceis de deduzir.
Permitir que os usuários troquem suas próprias senhas.
Crie identidades individuais em vez de credenciais compartilhadas. Com a criação de identidades individuais, é possível fornecer a cada usuário um conjunto exclusivo de credenciais de segurança. Os usuários individuais oferecem a capacidade de auditar a atividade de cada usuário.

Recomendações do Centro de Identidade do IAM:

O Centro de Identidade do IAM fornece uma política de senha predefinida ao usar o diretório padrão que estabelece o tamanho, a complexidade e os requisitos de reutilização da senha.
Ative o MFA e defina a configuração contextual ou sempre ativa do MFA quando a fonte de identidade for o diretório padrão, o AWS Managed Microsoft AD ou o AD Connector.
Permita que os usuários registrem seus próprios dispositivos de MFA.

Recomendações do diretório de grupos de usuários do Amazon Cognito:

Configure as opções de força da senha.
Exija MFA para os usuários.
Use as configurações de segurança avançadas dos grupos de usuários do Amazon Cognito para recursos como a autenticação adaptativa, a qual pode bloquear logins suspeitos.

Recomendações para usuários do IAM:

Em teoria, você está utilizando Centro de Identidade do IAM ou federação direta. No entanto, talvez você precise de usuários do IAM. Nesse caso, defina uma política de senhas para usuários do IAM. A política de senhas pode ser usada para definir requisitos como extensão mínima ou a obrigatoriedade de uso de caracteres não alfabéticos.
Crie uma política do IAM para impor o início de sessão com MFA para que os usuários possam gerenciar suas próprias senhas e dispositivos de MFA.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC 2. Como gerenciar a autenticação de pessoas e máquinas?

SEC02-BP02 Usar credenciais temporárias