SEC02-BP01 使用强大的登录机制 - AWS Well-Architected 框架
实施指导资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SEC02-BP01 使用强大的登录机制

不使用多因素身份验证 () 等机制时,登录(使用登录凭据进行身份验证MFA)可能会带来风险,尤其是在登录凭据被无意中泄露或容易被猜到的情况下。使用强大的登录机制,通过要求MFA和严格的密码策略来降低这些风险。

预期结果: AWS 通过为 () 用户、AWS 账户 root 用户AWS Identity and Access Management(Sing AWS le Sign-On 的继任者IAM)和第三方身份提供者使用强大的登录机制,AWS IAM Identity Center降低意外访问凭证的风险。这意味着要求MFA、强制执行严格的密码策略并检测异常登录行为。

常见反模式:

  • 不对您的身份(包括复杂的密码和)强制执行严格的密码政策MFA。

  • 在不同的用户之间共享相同的凭证。

  • 不对可疑的登录使用检测性控制。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

人类身份可通过多种方式登录 AWS。在进行身份验证时, AWS 最佳做法是依赖使用联合身份验证(直接联合或使用 AWS IAM Identity Center)的集中式身份提供商。 AWS在这种情况下,您应与身份提供程序或 Microsoft Active Directory 建立安全登录过程。

首次打开时 AWS 账户,首先是 AWS 账户 根用户。您应仅使用账户根用户为用户(以及为需要根用户的任务)设置访问权限。请务必在打开您的账户后立即MFA为 root 用户开启账户, AWS 账户 并使用 AWS 最佳实践指南保护 root 用户。

如果您在中创建用户 AWS IAM Identity Center,请确保该服务中的登录过程安全。对于消费者身份,您可以使用 Amazon Cognito 用户池并保护该服务中的登录过程,或者使用 Amazon Cognito 用户池支持的一种身份提供程序。

如果您使用的是 AWS Identity and Access Management (IAM) 用户,则应使用IAM保护登录过程。

无论采用何种登录方法,执行强登录策略都非常关键。

实施步骤

以下是一般的强登录建议。您配置的实际设置应由您的公司政策进行设置,或者使用诸如 NIST800- 63 之类的标准。

  • 需要MFA。这是对人类身份和工作负载MFA进行要求IAM的最佳实践。开启MFA可以提供额外的安全层,要求用户提供登录凭证和一次性密码 (OTP) 或硬件设备中经过加密验证和生成的字符串。

  • 强制执行最小密码长度,这是密码强度的主要因素。

  • 强制执行密码复杂性,使密码更难以猜到。

  • 允许用户更改其密码。

  • 创建个人身份而不是共享凭证。通过创建个人身份,您可以为每个用户提供一组唯一的安全凭证。个人用户可以审核每个用户的活动。

IAM身份中心建议:

  • IAM在使用默认目录时,Identity Center 会提供预定义的密码策略,以确定密码长度、复杂性和重复使用要求。

  • 当身份源为默认目录或 A AWS Managed Microsoft AD D Connector MFA 时,打开MFA并配置上下文感知或始终开启设置。

  • 允许用户注册自己的MFA设备

Amazon Cognito 用户池目录建议:

IAM用户推荐:

  • 理想情况下,您使用的是IAM身份中心或直接联合。但是,您可能需要IAM用户。在这种情况下,请为IAM用户设置密码策略。您可以使用密码策略来定义诸如最小长度、密码是否需要非字母字符之类的要求。

  • 创建强制MFA登录的IAM政策,以便允许用户管理自己的密码和MFA设备。

资源

相关最佳实践:

相关文档:

相关视频: