SEC02-BP01 Usar mecanismos de inicio de sesión sólidos

Los inicios de sesión (autenticación mediante credenciales de inicio de sesión) pueden ser arriesgados si no se utilizan mecanismos como la autenticación multifactor (MFA), especialmente en situaciones en las que las credenciales de inicio de sesión se han revelado de forma inadvertida o son fáciles de adivinar. Utilice mecanismos de inicio de sesión sólidos para reducir estos riesgos. Para ello, exija que se cumplan políticas de contraseñas sólidas y se utilice MFA.

Resultado deseado: reducir los riesgos que supone el acceso involuntario a las credenciales en AWS utilizando mecanismos de inicio de sesión sólidos para los usuarios de AWS Identity and Access Management (IAM), el usuario raíz de la Cuenta de AWS AWS IAM Identity Center (successor to AWS Single Sign-On) (sucesor de AWS Single Sign-On) y los proveedores de identidad de terceros. Esto significa exigir que se use MFA, aplicar políticas de contraseñas sólidas y detectar comportamientos de inicio de sesión anómalos.

Antipatrones usuales:

No aplicar una política de contraseñas segura para sus identidades que incluya contraseñas complejas y MFA.
Compartir las mismas credenciales entre diferentes usuarios.
No utilizar controles de detección de inicios de sesión sospechosos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Existen muchas formas en que las identidades humanas pueden iniciar sesión en AWS. Una práctica recomendada de AWS es confiar en un proveedor de identidades centralizado que utilice la federación (federación directa o mediante AWS IAM Identity Center (successor to AWS Single Sign-On)) a la hora de autenticarse en AWS. En ese caso, deberá establecer un proceso de inicio de sesión seguro con su proveedor de identidades o Microsoft Active Directory.

Cuando abre una Cuenta de AWS por primera vez, comienza con un usuario raíz de la Cuenta de AWS. Solo debe utilizar el usuario raíz de la cuenta para configurar el acceso de sus usuarios (y para las tareas que requieran el usuario raíz). Es importante habilitar MFA para el usuario raíz de la cuenta inmediatamente después de abrir su Cuenta de AWS y proteger ese usuario utilizando la guía de prácticas recomendadas de AWS.

Si crea usuarios en AWS IAM Identity Center (successor to AWS Single Sign-On), asegure el proceso de inicio de sesión en ese servicio. Para las identidades de consumidor, puede utilizar Amazon Cognito user pools y proteger el proceso de inicio de sesión en ese servicio, o utilizar uno de los proveedores de identidades que admiten los Amazon Cognito user pools.

Si utiliza usuarios de AWS Identity and Access Management (IAM), debe asegurar el proceso de inicio de sesión mediante IAM.

Independientemente del método de inicio de sesión que se utilice, es fundamental aplicar una política de inicio de sesión sólida.

Pasos para la implementación

Estas son recomendaciones generales para un inicio de sesión sólido. Los ajustes reales que configure se deben establecer en la política de la empresa o se debe utilizar un estándar como NIST 800-63.

Exija el uso de MFA. Es una práctica recomendada de IAM exigir que se utilice MFA para identidades y cargas de trabajo humanas. Si se habilita MFA, habrá una capa adicional de seguridad que requiere que los usuarios proporcionen credenciales de inicio de sesión y una contraseña de un solo uso (OTP) o una cadena que se verifica criptográficamente y se genera desde un dispositivo físico.
Imponga una longitud mínima para la contraseña. Esto es un factor fundamental para la seguridad de la contraseña.
Imponga una complejidad de las contraseñas para que sean más difíciles de adivinar.
Permita que los usuarios cambien sus propias contraseñas.
Cree identidades individuales en lugar de credenciales compartidas. Si crea identidades individuales, puede dar a cada usuario un conjunto único de credenciales de seguridad. Tener usuarios individuales permite auditar la actividad de cada uno de ellos.

Recomendaciones sobre IAM Identity Center

IAM Identity Center proporciona una política de contraseñas predefinida cuando se utiliza el directorio predeterminado que establece los requisitos de longitud, complejidad y reutilización de las contraseñas.
Habilite MFA y configure el ajuste contextual o continuo para MFA cuando la fuente de identidad sea el directorio predeterminado, AWS Managed Microsoft AD o AD Connector.
Permita que los usuarios registren sus propios dispositivos MFA.

Recomendaciones sobre el directorio de Amazon Cognito user pools:

Configure los ajustes de seguridad de la contraseña.
Exija el uso de MFA a los usuarios.
Utilice la configuración de seguridad avanzada de Amazon Cognito user pools para funciones como la autenticación adaptativa, que puede bloquear inicios de sesión sospechosos.

Recomendaciones de usuarios de IAM

Lo ideal es que utilice IAM Identity Center o la federación directa. Sin embargo, es posible que necesite usuarios de IAM. En ese caso, establezca una política de contraseñas para los usuarios de IAM. Puede usar una política de contraseñas para definir requisitos, tales como la longitud mínima o si deben contener caracteres alfanuméricos.
Cree una política de IAM para imponer el inicio de sesión MFA de modo que los usuarios puedan administrar sus propias contraseñas y dispositivos MFA.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Managing user permissions at scale with AWS IAM Identity Center (successor to AWS Single Sign-On) (Administración de permisos de usuario a escala con AWS SSO)
Mastering identity at every layer of the cake (Dominar la identidad en cada capa del pastel)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC 2 ¿Cómo administra la autenticación para personas y máquinas?

SEC02-BP02 Usar credenciales temporales