SEC02-BP01 Menggunakan mekanisme masuk yang kuat

Proses masuk (autentikasi menggunakan kredensial masuk) dapat menimbulkan risiko jika tidak menggunakan mekanisme seperti autentikasi multi-faktor (MFA), khususnya ketika kredensial tanpa sengaja bocor atau mudah ditebak. Untuk mengurangi risiko ini, gunakan mekanisme masuk yang kuat dengan menerapkan MFA dan kebijakan kata sandi yang kuat.

Hasil yang diinginkan: Mengurangi risiko adanya akses yang tidak diinginkan ke kredensial di AWS menggunakan mekanisme masuk yang kuat bagi pengguna AWS Identity and Access Management (IAM), pengguna root Akun AWS, AWS IAM Identity Center (pengganti AWS Single Sign-On), dan penyedia identitas pihak ketiga. Tujuan ini dapat dicapai dengan MFA, menerapkan kebijakan kata sandi yang kuat, dan mendeteksi perilaku masuk tidak wajar.

Antipola umum:

• Tidak menerapkan kebijakan kata sandi yang kuat untuk identitas Anda, termasuk kata sandi yang kompleks dan MFA.

• Kredensial yang sama digunakan oleh pengguna yang berbeda.

• Tidak menggunakan kontrol deteksi untuk aktivitas masuk yang mencurigakan.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Ada banyak cara bagi identitas manusia masuk untuk ke AWS. Ini adalah praktik terbaik AWS untuk mengandalkan penyedia identitas terpusat menggunakan federasi (federasi langsung atau dengan AWS IAM Identity Center) saat melakukan autentikasi ke AWS. Dalam kasus tersebut, Anda harus membuat proses masuk yang aman dengan penyedia identitas atau Microsoft Active Directory.

Saat pertama kali membuka Akun AWS, Anda akan memulainya dengan pengguna root Akun AWS. Hanya gunakan akun pengguna root untuk mengonfigurasikan akses bagi pengguna Anda (dan untuk tugas yang memerlukan pengguna root). Penting halnya untuk segera mengaktifkan MFA bagi akun pengguna root setelah membuka Akun AWS Anda dan mengamankan pengguna root menggunakan panduan praktik terbaik AWS.

Jika Anda membuat pengguna di AWS IAM Identity Center, amankan proses masuk dalam layanan tersebut. Untuk identitas konsumen, Anda dapat menggunakan Amazon Cognito user pools dan mengamankan proses masuk dalam layanan tersebut, atau dengan salah satu penyedia identitas yang didukung Amazon Cognito user pools.

Jika Anda menggunakan pengguna AWS Identity and Access Management (IAM), amankan proses masuk menggunakan IAM.

Apa pun metode masuknya, menerapkan kebijakan masuk yang kuat adalah hal yang sangat penting.

Langkah implementasi

Berikut ini adalah rekomendasi mekanisme masuk yang kuat secara umum. Pengaturan aktual yang Anda konfigurasikan harus diatur sesuai kebijakan perusahaan Anda atau gunakan standar seperti NIST 800-63.

• Terapkan MFA. Ini adalah praktik terbaik IAM untuk menerapkan MFA untuk beban kerja dan identitas manusia. Mengaktifkan MFA akan memberikan lapisan keamanan tambahan yang mengharuskan pengguna untuk memberikan kredensial masuk dan kata sandi sekali pakai (OTP) atau string yang dibuat dan diverifikasi secara kriptografik dari perangkat untuk perangkat keras.

• Terapkan batas minimum karakter kata sandi, yang merupakan faktor utama dari kekuatan kata sandi.

• Terapkan kompleksitas kata sandi agar tidak mudah ditebak.

• Izinkan pengguna mengubah kata sandi mereka sendiri.

• Buat identitas individu, bukan kredensial bersama. Dengan membuat identitas individu, Anda dapat memberikan kredensial keamanan yang unik kepada setiap pengguna. Pengguna individu juga memungkinkan pengauditan aktivitas setiap pengguna.

Rekomendasi IAM Identity Center:

• IAM Identity Center memberikan kebijakan kata sandi yang telah ditentukan sebelumnya apabila menggunakan direktori default yang menerapkan persyaratan jumlah karakter, kompleksitas, dan penggunaan ulang kata sandi.

• Aktifkan MFA dan konfigurasikan pengaturan sesuai konteks (context-aware) atau selalu aktif (always-on) untuk MFA saat sumber identitas merupakan AWS Managed Microsoft AD, AD Connector, atau direktori default.

• Izinkan pengguna untuk mendaftarkan perangkat MFA miliknya.

Rekomendasi direktori Amazon Cognito user pools:

• Konfigurasikan pengaturan Kekuatan kata sandi.

• Terapkan MFA bagi pengguna.

• Gunakan pengaturan keamanan lanjutan Amazon Cognito user pools untuk fitur seperti autentikasi adaptif yang dapat memblokir aktivitas masuk yang mencurigakan.

Rekomendasi pengguna IAM:

• Idealnya, Anda menggunakan IAM Identity Center atau federasi langsung. Namun, Anda mungkin membutuhkan pengguna IAM. Dalam kasus seperti itu, atur kebijakan kata sandi untuk pengguna IAM. Anda dapat menggunakan kebijakan kata sandi untuk menentukan persyaratan, seperti minimum karakter atau apakah kata sandi harus terdiri dari karakter nonalfabet.

• Buat kebijakan IAM untuk menerapkan mekanisme masuk MFA sehingga pengguna dapat mengelola perangkat MFA dan kata sandi miliknya.

Sumber daya

Praktik Terbaik Terkait:

• SEC02-BP03 Menyimpan dan menggunakan rahasia secara aman

• SEC02-BP04 Mengandalkan penyedia identitas terpusat

• SEC03-BP08 Membagikan sumber daya secara aman dalam organisasi Anda

Dokumen terkait:

• Kebijakan Kata Sandi AWS IAM Identity Center (pengganti AWS Single Sign-On)

• Kebijakan kata sandi pengguna IAM

• Mengatur kata sandi pengguna root Akun AWS

• Kebijakan kata sandi Amazon Cognito

• Kredensial AWS

• Praktik terbaik keamanan IAM

Video terkait:

• Mengelola izin pengguna dalam skala besar dengan AWS IAM Identity Center

• Menguasai identitas di setiap lapisan susunan