SEC02-BP01 Verwenden von starken Anmeldemechanismen - AWS Well-Architected Framework

SEC02-BP01 Verwenden von starken Anmeldemechanismen

Anmeldungen (Authentifizierung unter Verwendung von Anmeldeinformationen) können risikobehaftet sein, wenn nicht Mechanismen wie die Multi-Faktor-Authentifizierung (MFA) verwendet werden, besonders in Situationen, in denen Anmeldeinformationen unbeabsichtigt offengelegt wurden oder leicht zu erraten sind. Verwenden Sie starke Anmeldemechanismen in Form von MFA und Richtlinien für sichere Passwörter, um diese Risiken zu reduzieren.

Gewünschtes Ergebnis: Reduzieren Sie das Risiko eines unbeabsichtigten Zugriffs auf Anmeldeinformationen in AWS, indem Sie starke Anmeldemechanismen für AWS Identity and Access Management (IAM)-Benutzer, den AWS-KontoRoot-Benutzer, AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) und externe Identitätsanbieter verwenden. Dies bedeutet das Erfordern von MFA, das Durchsetzen von Richtlinien zur Verwendung starker Passwörter und das Erkennen anomaler Anmeldeverhaltensweisen.

Typische Anti-Muster:

  • Keine Durchsetzung einer Richtlinie zur Verwendung starker Passwörter für Ihre Identitäten, einschließlich komplexer Passwörter und MFA.

  • Gemeinsame Nutzung derselben Anmeldeinformationen durch mehrere Benutzer.

  • Keine Verwendung von detektivischen Kontrollen für verdächtige Anmeldevorgänge.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Es gibt viele Möglichkeiten zur Anmeldung für menschliche Identitäten bei AWS. Eine bewährte AWS-Methode besteht darin, einen zentralisierten Identitätsanbieter mit Verbundverfahren (direkter Verbund oder unter Verwendung von AWS IAM Identity Center) für die Authentifizierung bei AWS zu verwenden. In diesem Fall sollten Sie einen sicheren Anmeldeprozess mit Ihrem Identitätsanbieter oder Microsoft Active Directory einrichten.

Wenn Sie ein AWS-Konto zum ersten Mal einrichten, beginnen Sie mit einem Root-Benutzer für das AWS-Konto. Sie sollten den Root-Benutzer nur verwenden, um den Zugriff für Ihre Benutzer einzurichten (und für Aufgaben, für die der Root-Benutzer erforderlich ist). Es ist wichtig, MFA für den Root-Benutzer des Kontos sofort nach dem Öffnen Ihres AWS-Kontos zu aktivieren und den Root-Benutzer anhand des AWS-Leitfadens für bewährte Methoden zu sichern.

Wenn Sie in AWS IAM Identity Center Benutzer erstellen, dann sollten Sie auch den Anmeldeprozess in diesem Service schützen. Für Verbraucheridentitäten können Sie Amazon Cognito-Benutzerpools verwenden und den Anmeldevorgang in diesem Service sichern, oder Sie können einen der Identitätsanbieter verwenden, die Amazon Cognito-Benutzerpools unterstützen.

Wenn Sie AWS Identity and Access Management (IAM)-Benutzer verwenden, ist der Anmeldevorgang mit IAM zu sichern.

Unabhängig vom Anmeldeverfahren ist es wichtig, eine strenge Anmelderichtlinie durchzusetzen.

Implementierungsschritte

Es folgen allgemeine Empfehlungen für starke Anmeldeverfahren. Die tatsächlichen Einstellungen, die Sie konfigurieren, sollten Ihren Unternehmensrichtlinien oder einem Standard wie NIST 800-63 entsprechen.

  • MFA erforderlich. Es ist eine bewährte IAM-Methode, MFA für menschliche Identitäten und Workloads zu erfordern. Die Aktivierung von MFA bietet eine zusätzliche Sicherheitsebene, die verlangt, dass Benutzer Anmeldeinformationen und ein Einmalpasswort (OTP) oder eine kryptographisch verifizierte und generierte Zeichenfolge von einem Hardware-Gerät vorlegen.

  • Verlangen Sie eine Mindestlänge für Passwörter als primären Faktor für die Passwortstärke.

  • Verlangen Sie Passwortkomplexität, um das Erraten von Passwörtern zu erschweren.

  • Ermöglichen Sie Benutzern, ihre eigenen Passwörter zu ändern.

  • Erstellen Sie individuelle Identitäten anstelle gemeinsam genutzter Anmeldeinformationen. Da Sie individuelle Identitäten erstellen, können Sie jedem Benutzer eindeutige Anmeldeinformationen zuordnen. Individuelle Benutzer bieten die Möglichkeit, die Aktivität der einzelnen Benutzer zu prüfen.

IAM Identity Center-Empfehlungen:

  • IAM Identity Center bietet bei Verwendung des Standardverzeichnisses eine vordefinierte Passwortrichtlinie, die Anforderungen an die Länge, Komplexität und Wiederverwendung von Passwörtern festlegt.

  • Aktivieren Sie MFA und konfigurieren Sie die kontextsensitive oder „always-on“-Einstellung für MFA, wenn die Identitätsquelle das Standardverzeichnis, AWS Managed Microsoft AD oder AD Connector ist.

  • Erlauben Sie Benutzern, ihre eigenen MFA-Geräte zu registrieren.

Empfehlungen für Verzeichnisse der Amazon Cognito-Benutzerpools:

Empfehlungen für IAM-Benutzer:

  • Idealerweise verwenden Sie IAM Identity Center oder den direkten Verbund. Möglicherweise benötigen Sie aber auch IAM-Benutzer. Legen Sie in diesem Fall eine Passwortrichtlinie für IAM-Benutzer fest. Sie können die Passwortrichtlinie verwenden, um Anforderungen wie die Mindestlänge zu definieren oder ob das Passwort nicht-alphanumerische Zeichen beinhalten sollte.

  • Erstellen Sie eine IAM-Richtlinie, um die MFA-Anmeldung zu erzwingen, sodass Benutzer ihre eigenen Passwörter und MFA-Geräte verwalten können.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos: