SEC02-BP01 Utilizzo meccanismi di accesso efficaci

I sign-in (autenticazione tramite credenziali di accesso) possono presentare dei rischi se non si utilizzano meccanismi come l'autenticazione a più fattori (MFA), soprattutto in situazioni in cui le credenziali di accesso sono state inavvertitamente divulgate o sono facilmente identificabili. Utilizza meccanismi di accesso efficaci per ridurre questi rischi, richiedendo l'MFA e policy sulle password sicure.

Risultato desiderato: ridurre i rischi di accesso involontario alle credenziali in AWS utilizzando meccanismi di accesso efficaci per gli utenti AWS Identity and Access Management (IAM), l'utente root Account AWS, AWS IAM Identity Center (successore di AWS Single Sign-On) e i provider di identità di terze parti. Ciò significa richiedere l'MFA, applicare policy sulle password efficaci e rilevare comportamenti di accesso anomali.

Anti-pattern comuni:

Nessuna applicazione di policy sulle password efficaci per le proprie identità, comprese password complesse e MFA.
Condivisione delle stesse credenziali tra utenti diversi.
Nessun utilizzo di controlli investigativi per gli accessi sospetti.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Ci sono molti modi in cui le identità umane possono accedere ad AWS. È una best practice di AWS affidarsi a un provider di identità centralizzato che si avvale della federazione (federazione diretta o utilizzo di AWS IAM Identity Center) per l’autenticazione ad AWS. In questo caso, è necessario stabilire un processo di accesso sicuro con il provider di identità o con Microsoft Active Directory.

Quando apri un Account AWS, inizi con un utente root Account AWS. L'account utente root deve essere utilizzato solo per impostare l'accesso per gli utenti e per le attività che richiedono l'utente root). È importante abilitare l'MFA per l'utente root dell'account subito dopo l'apertura di Account AWS e proteggere l'utente root usando la guida AWS alle best practice.

Se crei utenti in AWS IAM Identity Center, proteggi il processo di accesso in quel servizio. Per le identità dei consumatori, puoi usare Amazon Cognito user pools e proteggere il processo di accesso in tale servizio oppure puoi utilizzare uno dei fornitori di identità supportato da Amazon Cognito user pools.

Se si utilizzano gli utenti AWS Identity and Access Management (IAM), è opportuno proteggere il processo di accesso mediante IAM.

Indipendentemente dal metodo di accesso, è fondamentale applicare una policy di accesso efficace.

Passaggi dell'implementazione

Le seguenti sono raccomandazioni generali per l'accesso sicuro. Le impostazioni effettive da configurare devono essere stabilite dalla policy aziendale o utilizzare uno standard come NIST 800-63.

Richiedere l'MFA. Richiedere l'MFA è una best practice IAM per le identità e i carichi di lavoro umani. L'abilitazione dell'MFA fornisce un ulteriore livello di sicurezza che richiede agli utenti di fornire le credenziali di accesso e un codice OTP (One-Time Password) o una stringa verificata e generata crittograficamente da un dispositivo hardware.
Applicare una lunghezza minima della password, che è un fattore primario nella forza della password.
Applicare la complessità delle password in modo che sia più difficile individuarle.
Consentire agli utenti di modificare le proprie password.
Creare identità individuali invece di credenziali condivise. Creando identità individuali, è possibile assegnare a ciascun utente un set unico di credenziali di sicurezza. I singoli utenti consentono di sottoporre a audit l'attività di ciascuno.

Suggerimenti IAM Identity Center:

IAM Identity Center fornisce una policy sulla password prestabilita quando si utilizza la directory predefinita che stabilisce i requisiti di lunghezza, complessità e riutilizzo delle password.
Abilitare l'MFA e configurare l'impostazione "Compatibile con il contesto" o "Sempre attivo" per l'MFA quando l'origine dell'identità è la directory predefinita, AWS Managed Microsoft AD o AD Connector.
Consenti agli utenti di registrare i propri dispositivi MFA.

Suggerimenti sulla directory Amazon Cognito user pools:

Configura le impostazioni di forza della password.
Richiedi l'MFA per gli utenti.
Utilizza le Amazon Cognito user pools impostazioni di sicurezza avanzate per le funzionalità quali l'autenticazione adattiva che può bloccare sign-in sospetti.

Suggerimenti per l'utente IAM:

Idealmente stai utilizzando IAM Identity Center o la federazione diretta. Tuttavia, potrebbero essere necessari utenti IAM. In tal caso, imposta una policy sulla password per gli utenti IAM. Puoi utilizzare la policy sulla password per definire requisiti quali la lunghezza minima o la necessità che la password richieda caratteri non alfabetici.
Crea una policy IAM per applicare l'accesso MFA in modo che gli utenti possano gestire le proprie password e i dispositivi MFA.

Risorse

Best practice correlate:

Documenti correlati:

AWS IAM Identity Center (successor to AWS Single Sign-On) Password Policy Policy sulle password AWS IAM Identity Center (successore di AWS Single Sign-On)
IAM user password policy (Policy sulle password degli utenti IAM)
Setting the Account AWS root user password (Impostazione della password dell'utente root dell'account AWS)
Amazon Cognito password policy (Policy sulla password di Amazon Cognito)
AWS credentials (Credenziali AWS)
IAM security best practices (Best Practice di sicurezza IAM)

Video correlati:

Managing user permissions at scale with AWS IAM Identity Center (Gestire le autorizzazioni degli utenti su larga scala con AWS SSO)
Mastering identity at every layer of the cake

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione delle identità

SEC02-BP02 Utilizzo di credenziali temporanee