Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
SEC02-BP01 Utilizzo di meccanismi di accesso efficaci
Gli accessi (autenticazione tramite credenziali di accesso) possono presentare dei rischi se non si utilizzano meccanismi come l'autenticazione a più fattori (MFA), soprattutto in situazioni in cui le credenziali di accesso sono state inavvertitamente divulgate o sono facilmente identificabili. Utilizza meccanismi di accesso efficaci per ridurre tali rischi, richiedendo l'MFA e policy sulle password sicure.
Risultato desiderato: ridurre i rischi di accessi accidentali alle credenziali in AWS utilizzando meccanismi di accesso avanzati per gli utenti AWS Identity and Access Management (IAM)
Anti-pattern comuni:
-
Nessuna applicazione di policy sulle password efficaci per le proprie identità, comprese password complesse e MFA.
-
Condivisione delle stesse credenziali tra utenti diversi.
-
Nessun utilizzo di controlli investigativi per gli accessi sospetti.
Livello di rischio associato se questa best practice non fosse adottata: elevato
Guida all'implementazione
Ci sono diversi modi in cui le identità umane possono accedere a AWS. È una best practice di AWS affidarsi a un gestore dell'identità digitale centralizzato utilizzando la federazione (federazione diretta SAML 2.0 tra AWS IAM e l'IdP centralizzato o utilizzando Centro identità AWS IAM) per l'autenticazione ad AWS. In questo caso, stabilisci un processo di accesso sicuro con il gestore dell'identità digitale o con Microsoft Active Directory.
Quando apri un Account AWS, inizi con un utente root Account AWS. L'utente root dell'account va utilizzato solo per configurare l'accesso degli utenti (e per le attività che richiedono l'utente root). È importante attivare l'autenticazione a più fattori (MFA) per l'utente root dell'account subito dopo l'apertura dell'Account AWS e proteggere l'utente root utilizzando la guida alle best practice di AWS.
Centro identità AWS IAM è progettato per gli utenti della forza lavoro; puoi creare e gestire le identità degli utenti all'interno del servizio e proteggere il processo di accesso con l'MFA. AWS Cognito, invece, è progettato per la gestione di identità e accessi del cliente (CIAM), che fornisce pool di utenti e gestore dell'identità digitale per le identità degli utenti esterni nelle applicazioni.
Se crei utenti in Centro identità AWS IAM, proteggi il processo di accesso in tale servizio e attiva MFA. Per le identità degli utenti esterni nelle applicazioni, puoi utilizzare i pool di utenti di Amazon Cognito e proteggere il processo di accesso in tale servizio o attraverso uno dei gestori dell'identità digitale supportati nei pool di utenti di Amazon Cognito.
Inoltre, per gli utenti in Centro identità AWS IAM, puoi utilizzare Accesso verificato da AWS per fornire un ulteriore livello di sicurezza, verificando l'identità e la postura del dispositivo dell'utente prima che venga concesso l'accesso alle risorse AWS.
Se utilizzi utenti AWS Identity and Access Management (IAM)
Puoi utilizzare contemporaneamente Centro identità AWS IAM e federazione diretta IAM per gestire l'accesso ad AWS. Puoi utilizzare la federazione IAM per gestire l'accesso ad AWS Management Console e ai servizi e Centro identità IAM per gestire l'accesso ad applicazioni aziendali come Amazon QuickSight o Amazon Q Business.
Indipendentemente dal metodo di accesso, è fondamentale applicare una policy di accesso efficace.
Passaggi dell'implementazione
Di seguito sono indicate raccomandazioni generali per l'accesso sicuro. Configura le impostazioni effettive in base alla policy aziendale. In alternativa, utilizza uno standard, come NIST 800-63
-
Richiedi MFA. È una best practice IAM richiedere l'MFA per identità umane e carichi di lavoro. L'attivazione dell'MFA fornisce un ulteriore livello di sicurezza che richiede agli utenti di fornire le credenziali di accesso e un codice OTP (One-Time Password) o una stringa verificata e generata a livello crittografico da un dispositivo hardware.
-
Applica una lunghezza minima della password, fattore primario nell'efficacia della password.
-
Applica la complessità delle password in modo che sia più difficile individuarle.
-
Consenti agli utenti di cambiare le loro password.
-
Crea identità individuali invece di credenziali condivise. Creando identità individuali, puoi assegnare a ciascun utente un set unico di credenziali di sicurezza. I singoli utenti consentono di sottoporre ad audit l'attività di ciascuno.
Consigli del Centro identità IAM:
-
Il Centro identità IAM offre una policy sulle password prestabilita in caso di utilizzo della directory predefinita che stabilisce lunghezza, complessità e requisiti di riutilizzo della password.
-
Attiva l'MFA e configura l'impostazione relativa alla sensibilità al contesto o all'attivazione costante per l'MFA quando l'origine di identità è la directory predefinita, AWS Managed Microsoft AD o AD Connector.
-
Consenti agli utenti di registrare i propri dispositivi MFA.
Consigli sulle directory dei pool di utenti Amazon Cognito:
-
Configura le impostazioni relative alla complessità della password.
-
Richiedi l'MFA per gli utenti.
-
Le impostazioni di sicurezza avanzate dei pool di utenti di Amazon Cognito offrono funzionalità come l'autenticazione adattiva, che può bloccare gli accessi sospetti.
Suggerimenti per l'utente IAM:
-
Idealmente stai utilizzando il Centro identità IAM o la federazione diretta. Tuttavia, potrebbero essere necessari utenti IAM. In tal caso, imposta una policy sulle password per gli utenti IAM. Puoi utilizzare la policy sulle password per definire requisiti quali la lunghezza minima o la necessità che la password richieda caratteri non alfabetici.
-
Crea una policy IAM per applicare l'accesso MFA: in questo modo, gli utenti potranno gestire le proprie password e i propri dispositivi MFA.
Risorse
Best practice correlate:
Documenti correlati:
Video correlati:
