SEC02-BP01 강력한 로그인 메커니즘 사용

로그인(로그인 보안 인증 정보를 사용한 인증)은 다중 인증(MFA)과 같은 메커니즘을 사용하지 않을 때, 특히 로그인 보안 인증 정보가 의도치 않게 공개되었거나 쉽게 추측되는 상황에서 위험을 초래할 수 있습니다. 강력한 로그인 메커니즘을 사용하면 MFA 및 강력한 암호 정책을 요구하여 이러한 위험을 줄일 수 있습니다.

원하는 결과: AWS Identity and Access Management(IAM) 사용자, AWS 계정 루트 사용자, AWS IAM Identity Center(AWS Single Sign-On의 후속 서비스), 타사 자격 증명 공급자에 대한 강력한 로그인 메커니즘을 사용하여 AWS의 보안 인증 정보에 대한 의도치 않은 액세스 위험을 줄입니다. 즉, MFA를 요구하고 강력한 암호 정책을 적용하며 비정상적인 로그인 동작을 감지합니다.

일반적인 안티 패턴:

• 복잡한 암호 및 MFA를 포함하여 자격 증명에 대한 강력한 암호 정책을 적용하지 않습니다.

• 다른 사용자 간에 동일한 보안 인증 정보를 공유합니다.

• 의심스러운 로그인에 대한 탐지 제어를 사용하지 않습니다.

이 모범 사례를 따르지 않을 경우 노출 위험도: 높음

구현 가이드

인적 자격 증명으로 AWS에 로그인하는 방법에는 여러 가지가 있습니다. AWS로 인증할 때 페더레이션(직접 페더레이션 또는 AWS IAM Identity Center 사용)을 사용하는 중앙 집중식 자격 증명 공급자를 사용하는 것이 AWS 모범 사례입니다. 이 경우 자격 증명 공급자 또는 Microsoft Active Directory를 사용하여 보안 로그인 프로세스를 설정해야 합니다.

AWS 계정를 처음 열면 AWS 계정 루트 사용자로 시작합니다. 루트 사용자 계정은 사용자(및 루트 사용자가 필요한 작업)에 대한 액세스 권한을 설정할 때만 사용해야 합니다. AWS 계정를 연 직후에는 계정 루트 사용자에 대해 MFA를 활성화하고 AWS 모범 사례 가이드를 사용하여 루트 사용자를 보호하는 것이 중요합니다.

AWS IAM Identity Center에서 사용자를 생성하는 경우 해당 서비스의 로그인 프로세스를 보호하세요. 소비자 자격 증명의 경우 Amazon Cognito user pools를 사용하고 해당 서비스에서 로그인 프로세스를 보호하거나 Amazon Cognito user pools가 지원하는 자격 증명 공급자 중 하나를 사용할 수 있습니다.

AWS Identity and Access Management(IAM) 사용자를 사용하는 경우 IAM을 사용하여 로그인 프로세스를 보호합니다.

로그인 방법에 관계없이 강력한 로그인 정책을 적용하는 것이 중요합니다.

구현 단계

다음은 일반적인 강력한 로그인 권장 사항입니다. 구성하는 실제 설정은 회사 정책에 따라 설정하거나 NIST 800-63과 같은 표준을 사용해야 합니다.

• MFA가 필요합니다. 인적 자격 증명 및 워크로드에 대해 MFA를 요구하는 것이 IAM 모범 사례입니다. MFA를 활성화하면 사용자가 로그인 보안 인증 정보와 일회용 암호(OTP) 또는 하드웨어 디바이스에서 암호로 확인 및 생성된 문자열을 제공해야 하는 추가 보안 계층이 제공됩니다.

• 암호 강도의 기본 요소인 최소 암호 길이를 적용합니다.

• 암호 복잡성을 적용하여 암호를 추측하기 어렵게 만듭니다.

• 사용자가 자신의 암호를 변경할 수 있도록 허용합니다.

• 공유 보안 인증 정보 대신 개별 자격 증명을 생성합니다. 개별 자격 증명을 생성하여 각 사용자에게 고유한 보안 보안 인증 정보를 제공할 수 있습니다. 개별 사용자는 각 사용자의 활동을 감사할 수 있는 기능을 제공합니다.

IAM Identity Center 권장 사항:

• IAM Identity Center는 암호 길이, 복잡성 및 재사용 요구 사항을 설정하는 기본 디렉터리를 사용할 때 사전 정의된 암호 정책을 제공합니다.

• MFA를 활성화하고 자격 증명 소스가 기본 디렉터리, AWS Managed Microsoft AD 또는 AD Connector인 경우 MFA에 대한 컨텍스트 인식 또는 상시 설정을 구성합니다.

• 사용자가 자신의 MFA 디바이스를 등록하도록 허용합니다.

Amazon Cognito user pools 디렉터리 권장 사항:

• 암호 강도 설정을 구성합니다.

• 사용자에게 MFA 설정을 요구합니다.

• 의심스러운 로그인을 차단할 수 있는 적응형 인증과 같은 기능에 대해 Amazon Cognito user pools 고급 보안 설정을 사용합니다.

IAM 사용자 권장 사항:

• IAM Identity Center 또는 직접 페더레이션을 사용하는 것이 좋습니다. 그러나 IAM 사용자가 필요할 수 있습니다. 이 경우 IAM 사용자에 대해 암호 정책을 설정합니다. 암호 정책을 사용하여 최소 길이 또는 알파벳 이외 문자 포함 여부 등과 같은 요구 사항을 정의할 수 있습니다.

• 사용자가 자신의 암호화 MFA 디바이스를 관리할 수 있도록 MFA 로그인을 적용하는 IAM 정책을 생성합니다.

리소스

관련 모범 사례:

• SEC02-BP03 안전하게 보안 암호 저장 및 사용

• SEC02-BP04 중앙 집중식 자격 증명 공급자 사용

• SEC03-BP08 안전하게 조직과 리소스 공유

관련 문서:

• AWS IAM Identity Center(AWS Single Sign-On의 후속 서비스) 암호 정책

• IAM 사용자 암호 정책

• AWS 계정 루트 사용자 암호 설정

• Amazon Cognito 암호 정책

• AWS 보안 인증 정보

• IAM 보안 모범 사례

관련 동영상:

• Managing user permissions at scale with AWS IAM Identity Center(AWS IAM Identity Center를 사용하여 대규모로 사용자 권한 관리)

• Mastering identity at every layer of the cake(케이크의 모든 계층에서 자격 증명 마스터링)