SEC02-BP01 Utiliser des mécanismes de connexion robustes

Les connexions (authentification à l'aide d'informations d'identification) peuvent présenter des risques lorsque des mécanismes tels que l'authentification multifactorielle (MFA) ne sont pas utilisés, en particulier dans les situations où les informations de connexion ont été divulguées par inadvertance ou sont facilement devinées. Utilisez des mécanismes de connexion robustes pour réduire ces risques en exigeant MFA des politiques de mot de passe strictes.

Résultat souhaité : Réduisez les risques d'accès involontaire aux informations d'identification en AWS utilisant des mécanismes de connexion robustes pour AWS Identity and Access Management (IAM) les utilisateurs, l'utilisateur Compte AWS root AWS IAM Identity Center(successeur de l'authentification AWS unique) et les fournisseurs d'identité tiers. Cela implique d'exigerMFA, d'appliquer des politiques de mots de passe strictes et de détecter les comportements de connexion anormaux.

Anti-modèles courants :

Ne pas appliquer une politique de mot de passe stricte pour vos identités, y compris les mots de passe complexes etMFA.
Utiliser les mêmes informations d’identification pour différents utilisateurs.
Ne pas utiliser de contrôles de détection pour les connexions suspectes.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Les identités humaines peuvent se connecter à AWS de plusieurs façons. Il est recommandé AWS de s'appuyer sur un fournisseur d'identité centralisé utilisant la fédération (fédération directe ou utilisation AWS IAM Identity Center) lors de l'authentification. AWS Dans ce cas, vous devez établir une connexion sécurisée avec votre fournisseur d’identité ou Microsoft Active Directory.

Lorsque vous ouvrez un Compte AWS, vous commencez par un utilisateur Compte AWS root. Vous ne devez utiliser le compte utilisateur racine que pour configurer l’accès de vos utilisateurs (et pour les tâches nécessitant l’utilisateur racine). Il est important de l'activer MFA pour l'utilisateur root immédiatement après avoir ouvert le vôtre Compte AWS et de le sécuriser à l'aide du guide des AWS meilleures pratiques.

Si vous créez des utilisateurs dans AWS IAM Identity Center, sécurisez le processus de connexion dans ce service. Pour les identités des consommateurs, vous pouvez utiliser les groupes d’utilisateurs Amazon Cognito et sécuriser le processus de connexion dans ce service, ou utiliser l’un des fournisseurs d’identité pris en charge par les groupes d’utilisateurs Amazon Cognito.

Si vous utilisez des utilisateurs AWS Identity and Access Management (IAM), vous devez sécuriser le processus de connexion à l'aide IAM de.

Quelle que soit la méthode de connexion, il est essentiel d’appliquer une politique de connexion rigoureuse.

Étapes d’implémentation

Voici des recommandations générales en matière de connexion. Les paramètres réels que vous configurez doivent être définis par la politique de votre entreprise ou utiliser une norme telle que NIST800-63.

ExigerMFA. C'est une IAMbonne pratique à exiger MFA pour les identités humaines et les charges de travail. L'activation MFA fournit un niveau de sécurité supplémentaire, obligeant les utilisateurs à fournir des informations d'identification et un mot de passe à usage unique (OTP) ou une chaîne vérifiée et générée par cryptographie à partir d'un périphérique matériel.
Mettez en place une longueur de mot de passe minimale, il s’agit d’un facteur essentiel pour garantir la force du mot de passe.
Appliquez la complexité des mots de passe pour les rendre plus difficiles à deviner.
Autorisez les utilisateurs à modifier leurs propres mots de passe.
Créez des identités individuelles plutôt que des informations d’identification partagées. En créant des identités individuelles, vous pouvez attribuer à chaque utilisateur un ensemble unique d’informations d’identification de sécurité. Les utilisateurs individuels offrent la possibilité d’auditer l’activité de chaque utilisateur.

IAMRecommandations d'Identity Center :

IAMIdentity Center fournit une politique de mot de passe prédéfinie lors de l'utilisation du répertoire par défaut qui définit la longueur, la complexité et les exigences de réutilisation des mots de passe.
Activez MFA et configurez le paramètre contextuel ou permanent MFA lorsque la source d'identité est le répertoire par défaut, ou AWS Managed Microsoft AD AD Connector.
Permettez aux utilisateurs d'enregistrer leurs propres MFA appareils.

Recommandations d’annuaire des groupes d’utilisateurs Amazon Cognito :

Configurez les paramètres de sécurité du mot de passe.
MFAObligatoire pour les utilisateurs.
Utilisez les paramètres de sécurité avancés des groupes d’utilisateurs Amazon Cognito pour des fonctionnalités telles que l’authentification adaptative qui permet de bloquer les connexions suspectes.

IAMrecommandations pour les utilisateurs :

Idéalement, vous utilisez IAM Identity Center ou la fédération directe. Cependant, vous pourriez avoir besoin d'IAMutilisateurs. Dans ce cas, définissez une politique de mot de passe pour IAM les utilisateurs. Vous pouvez utiliser la politique de gestion des mots de passe pour définir des exigences telles que la longueur minimale ou la nécessité d’utiliser des caractères non alphabétiques.
Créez une IAM politique pour appliquer la MFA connexion afin que les utilisateurs soient autorisés à gérer leurs propres mots de passe et MFA appareils.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC2. Comment gérer l’authentification des personnes et des machines ?

SEC02-BP02 Utiliser des informations d'identification temporaires