SEC02-BP01 Utiliser de solides mécanismes d'authentification - AWS Well-Architected Framework

SEC02-BP01 Utiliser de solides mécanismes d'authentification

Les connexions (authentification au moyen d'informations d'identification de connexion) peuvent présenter des risques lorsque l'on n'utilise pas des mécanismes tels que l'authentification multifactorielle (MFA), surtout dans les situations où les informations d'identification de connexion ont été divulguées par inadvertance ou peuvent être devinées facilement. Vous devez utiliser de solides mécanismes d'authentification pour réduire ces risques en exigeant l'authentification multifactorielle (MFA) et des politiques strictes de gestion des mots de passe.

Résultat souhaité : réduire les risques d'accès involontaire aux informations d'identification dans AWS en utilisant des mécanismes de connexion solides pour les utilisateurs AWS Identity and Access Management (IAM), l'utilisateur root Compte AWS, AWS IAM Identity Center (successeur d'AWS Single Sign-On [AWS SSO]), et les fournisseurs d'identité tiers. Cela signifie que vous devez exiger une authentification multifactorielle, appliquer des politiques strictes de gestion des mots de passe et détecter les comportements de connexion anormaux.

Anti-modèles courants :

  • Ne pas appliquer de politique stricte de gestion des mots de passe pour vos identités, notamment des mots de passe complexes et l'authentification multifactorielle (MFA).

  • Utiliser les mêmes informations d'identification pour différents utilisateurs.

  • Ne pas utiliser de contrôles de détection pour les connexions suspectes.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : élevé

Directives d'implémentation

Les identités humaines peuvent se connecter à AWS de plusieurs façons. Une bonne pratique AWS consiste à faire appel à un fournisseur d'identité centralisé utilisant la fédération (fédération directe ou AWS IAM Identity Center) lors de l'authentification auprès d'AWS. Dans ce cas, vous devez établir une connexion sécurisée avec votre fournisseur d'identité ou Microsoft Active Directory.

Lorsque vous ouvrez pour la première fois un Compte AWS, vous commencez avec un utilisateur root de Compte AWS. Vous devez utiliser uniquement l'utilisateur root du compte afin de configurer l'accès pour vos utilisateurs (et pour les tâches qui requièrent l'utilisateur root). Il est important d'activer l'authentification multifactorielle pour l'utilisateur root du compte immédiatement après l'ouverture de votre Compte AWS et de sécuriser l'utilisateur root en s'appuyant sur le Guide des bonnes pratiques AWS.

Si vous créez des utilisateurs dans AWS IAM Identity Center, sécurisez le processus de connexion dans ce service. Pour les identités des consommateurs, vous pouvez utiliser Amazon Cognito user pools et sécuriser le processus de connexion dans ce service, ou utiliser l'un des fournisseurs d'identité pris en charge par Amazon Cognito user pools.

Si vous employez des utilisateurs AWS Identity and Access Management (IAM), vous devez sécuriser le processus de connexion à l'aide d'IAM.

Quelle que soit la méthode de connexion, il est essentiel d'appliquer une politique de connexion rigoureuse.

Étapes d'implémentation

Voici des recommandations générales en matière de connexion. Les paramètres réels que vous configurez doivent être définis par votre politique d'entreprise ou utiliser une norme telle que NIST 800-63.

  • Exigez l'authentification multifactorielle. Dans le cadre des bonnes pratiques IAM, il est recommandé d'exiger l'authentification multifactorielle pour les identités et les charges de travail humaines. L'activation de l'authentification multifactorielle fournit une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent des informations d'identification et un mot de passe unique (OTP) ou une chaîne de caractères générée et vérifiée cryptographiquement à partir d'un appareil physique.

  • Mettez en place une longueur de mot de passe minimale, il s'agit d'un facteur essentiel pour garantir la force du mot de passe.

  • Appliquez la complexité des mots de passe pour les rendre plus difficiles à deviner.

  • Permettez aux utilisateurs de changer leurs propres mots de passe.

  • Créez des identités individuelles plutôt que des informations d'identification partagées. En créant des identités individuelles, vous pouvez attribuer à chaque utilisateur un ensemble unique d'informations d'identification de sécurité. Les utilisateurs individuels offrent la possibilité d'auditer l'activité de chaque utilisateur.

Recommandations IAM Identity Center :

Recommandations pour les répertoires Amazon Cognito user pools :

Recommandations pour les utilisateurs IAM :

  • Idéalement, vous utilisez IAM Identity Center ou la fédération directe. Cependant, vous aurez peut-être besoin d'utilisateurs IAM. Le cas échéant, définissez une politique de mot de passe pour les utilisateurs IAM. Vous pouvez utiliser la politique de gestion des mots de passe pour définir des exigences telles que la longueur minimale ou la nécessité d'utiliser des caractères non alphabétiques.

  • Créez une politique IAM pour appliquer la connexion avec authentification multifactorielle afin que les utilisateurs puissent gérer leurs propres mots de passe et appareils d'authentification multifactorielle.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :