SEC02-BP01 使用強式登入機制
登入 (使用登入憑證進行驗證) 可預防當沒有使用多重要素驗證 (MFA) 等機制時的風險,尤其是在登入憑證遭到意外暴露或輕易被猜出的情況下。使用強式登入機制透過要求 MFA 和強式密碼政策來降低這些風險。
預期成果:透過對 AWS Identity and Access Management (IAM) 使用者
常見的反模式:
-
沒有為您的身分強制強式密碼政策,包括複雜密碼和 MFA。
-
在不同使用者之間共用相同的憑證。
-
沒有針對可疑的登入使用偵測控制。
未建立此最佳實務時的曝險等級:高
實作指引
真人身分可採用數種方法來登入 AWS。AWS 最佳實務是依賴使用聯合 (在 AWS IAM 與集中式 IdP 之間的直接 SAML 2.0 聯合或使用 AWS IAM Identity Center) 的集中式身分提供者,向 AWS 進行身分驗證。在這種情況下,以您的身分提供者或 Microsoft Active Directory 建立安全的登入程序。
當您第一次開啟 AWS 帳戶 時,是從 AWS 帳戶 根使用者開始。您應僅使用帳戶根使用者來設定使用者的存取權 (以及需要根使用者的任務)。務必在開啟 AWS 帳戶 之後,立即為帳戶根使用者開啟多重要素驗證 (MFA),並使用 AWS 最佳實務指南來保護根使用者。
AWS IAM Identity Center 是專為員工使用者所設計,您可以在服務內建立和管理使用者身分,並使用 MFA 保護登入程序。AWS另一方面,Cognito 是專為客戶身分和存取管理 (CIAM) 所設計,它為應用程式中的外部使用者身分提供使用者集區和身分提供者。
如果您在 AWS IAM Identity Center 中建立使用者,請保護該服務中的登入程序,並開啟 MFA。對於您應用程式中的外部使用者身分,您可以使用 Amazon Cognito 使用者集區並保護該服務中的登入程序,或透過 Amazon Cognito 使用者集區支援的其中一個身分提供者。
此外,對於 AWS IAM Identity Center 中的使用者,您可以在將存取權授予 AWS 資源之前,使用 AWS Verified Access 來確認使用者的身分和裝置狀態,藉此提供一層額外的保護。
如果您使用 AWS Identity and Access Management (IAM)
您可以同時使用 AWS IAM Identity Center 和直接 IAM 聯合來管理 AWS 的存取權。您可以使用 IAM 聯合來管理 AWS Management Console 和服務的存取權,以及使用 IAM Identity Center 來管理 Amazon QuickSight 或 Amazon Q Business 等業務應用程式的存取權。
無論登入方法為何,強制執行強式登入政策至關重要。
實作步驟
以下是一般的強式登入建議。您設定的實際設定應由貴公司政策來規定,或使用如 NIST 800-63
-
Require MFA (需要 MFA)。IAM 最佳實務是對真人身分和工作負載要求 MFA。開啟 MFA 可提供多一層安全防護,要求使用者提供登入憑證和一次性密碼 (OTP),或是從硬體裝置以密碼編譯方式驗證和產生的字串。
-
強制密碼長度下限,此為密碼強度的要素。
-
強制密碼複雜性,使密碼更難猜測。
-
允許使用者變更自己的密碼。
-
建立個別身分,而不是共用憑證。透過建立個別身分,您可以為每個使用者提供一組獨一無二的安全憑證。個別使用者可讓您稽核每個使用者的活動。
IAM Identity Center 建議:
-
當使用預設目錄來建立密碼長度、複雜性和重複使用需求時,IAM Identity Center 提供預先定義的密碼政策。
-
當身分來源為預設目錄、AWS Managed Microsoft AD 或 AD Connector 時,開啟 MFA 並為 MFA 設定內容感知或永遠開啟設定。
-
允許使用者註冊自己的 MFA 裝置。
Amazon Cognito 使用者集區目錄建議:
IAM 使用者建議:
資源
相關的最佳實務:
相關文件:
相關影片:
