SEC02-BP01 使用强大的登录机制
当不使用多重身份验证(MFA)等机制时,登录(使用登录凭证的身份验证)可能会带来风险,特别是在登录凭证被无意泄露或很容易猜到的情况下。使用强大的登录机制,通过要求使用 MFA 和强密码策略来降低这些风险。
期望结果:通过为 AWS Identity and Access Management(IAM)
常见反模式:
-
没有为您的身份执行强密码策略,包括复杂密码和 MFA。
-
在不同的用户之间共享相同的凭证。
-
不对可疑的登录使用检测性控制。
在未建立这种最佳实践的情况下暴露的风险等级:高
实施指导
人类身份可通过多种方式登录 AWS。在向 AWS 进行身份验证时,AWS 最佳做法是寻找使用联合身份验证(直接联合或使用 AWS IAM Identity Center)的集中式身份提供者进行验证。在这种情况下,您应与您的身份提供者或 Microsoft Active Directory 建立安全登录过程。
第一次开设 AWS 账户 时,您会从 AWS 账户 根用户开始。您应仅使用账户根用户为您的用户(以及为需要根用户的任务)设置访问权限。开设 AWS 账户 后立即为账户根用户启用 MFA,并使用 AWS 最佳实践指南保护根用户,这一点非常重要。
如果您在 AWS IAM Identity Center 中创建用户,请确保该服务中的登录过程安全。对于消费者身份,您可以使用 Amazon Cognito user pools 并保护该服务中的登录过程,或者使用 Amazon Cognito user pools 支持的身份提供者之一。
如果您使用 AWS Identity and Access Management(IAM)
无论采用何种登录方法,执行强登录策略都非常关键。
实施步骤
以下是一般的强登录建议。应根据您的公司策略或使用 NIST 800-63
-
要求使用 MFA。对于人类身份和工作负载,要求使用 MFA 是 IAM 最佳实践。启用 MFA 提供了一层额外的安全保障,这会要求用户提供登录凭证和一次性密码(OTP),或从硬件设备加密验证和生成的字符串。
-
强制执行最小密码长度,这是密码强度的主要因素。
-
强制执行密码复杂性,使密码更难以猜到。
-
允许用户更改自己的密码。
-
创建个人身份而不是共享凭证。通过创建个人身份,您可以为每个用户提供一组唯一的安全凭证。个人用户可以审计每个用户的活动。
IAM Identity Center 建议:
-
IAM Identity Center 在使用默认目录时提供了预定义的密码策略,该策略确定了密码长度、复杂性和重用要求。
-
当身份源为默认目录、AWS Managed Microsoft AD 或 AD Connector 时,启用 MFA 并为 MFA 配置“背景认知”或“始终开启”设置。
-
允许用户注册自己的 MFA 设备。
Amazon Cognito user pools 目录建议:
IAM 用户建议:
-
最好是使用 IAM Identity Center 或直接联合。然而,您可能需要 IAM 用户。在这种情况下,为 IAM 用户设置密码策略。您可以使用密码策略来定义诸如最小长度、密码是否需要非字母字符之类的要求。
-
创建 IAM 策略来强制执行 MFA 登录,以允许用户管理其自己的密码和 MFA 设备。
资源
相关最佳实践:
相关文档:
相关视频:
