SEC02-BP01 Usar mecanismos de login fortes

Os logins (autenticação com credenciais de login) podem apresentar riscos quando não são usados mecanismos, como autenticação multifator (MFA), especialmente em situações em que as credenciais de login foram divulgadas acidentalmente ou podem ser deduzidas com facilidade. Utilize mecanismos de login fortes para reduzir essas riscos exigindo MFA e políticas de senhas fortes.

Resultado desejado: reduzir os riscos de acesso acidental a credenciais na AWS usando mecanismos de login fortes para usuários do AWS Identity and Access Management (IAM), o usuário raiz da Conta da AWS, o AWS IAM Identity Center (sucessor do AWS Single Sign-On), e provedores de identidades de terceiros. Isso significa exigir MFA, impor políticas de senhas fortes e detectar comportamento de login anômalo.

Antipadrões comuns:

Não impor uma política de senhas fortes para suas identidades incluindo senhas complexas e MFA.
Compartilhar as mesmas credenciais entre usuários diferentes.
Não utilizar controles de detecção para logins suspeitos.

Nível de exposição a riscos quando esta prática recomendada não é estabelecida: alto

Orientação de implementação

Há muitas formas de identidades humanas fazerem login na AWS. É prática recomendada da AWS depender de um provedor de identidades centralizado utilizando federação (federação direta ou usando AWS IAM Identity Center) ao realizar a autenticação na AWS. Nesse caso, você deve estabelecer um processo de login seguro com seu provedor de identidades ou o Microsoft Active Directory.

Ao abrir pela primeira vez uma Conta da AWS, você começa com um usuário raiz da Conta da AWS. Você só deve usar o usuário raiz da conta para configurar o acesso para seus usuários (e para tarefas que exijam o usuário raiz. É importante ativar a MFA para o usuário raiz da conta logo após abrir sua Conta da AWS e para proteger o usuário raiz usando o Guia de práticas recomendadas da AWS.

Se você criar usuários no AWS IAM Identity Center, proteja o processo de login nesse serviço. Para identidades dos consumidores, é possível usar o Amazon Cognito user pools e proteger o processo de login nesse serviço ou usar os provedores de identidades compatíveis com o Amazon Cognito user pools.

Se estiver usando usuários do AWS Identity and Access Management (IAM), você protegerá o processo de login com o IAM.

Seja qual for o método de login, é essencial impor uma política de login forte.

Etapas da implementação

Veja a seguir as recomendações gerais de login forte. As configurações reais devem ser definidas pela política de sua empresa ou usando um padrão como NIST 800-63.

Exija MFA. É prática recomendada IAM exigir MFA para identidades humanas e workloads. A ativação da MFA oferece uma camada adicional de segurança que exige que os usuários forneçam credenciais de login e uma senha de uso único (OTP) ou uma string gerada e verificada criptograficamente por um dispositivo de hardware.
Imponha um comprimento mínimo de senha, que é um fator essencial da força da senha.
Imponha complexidade para tornar as senhas mais difíceis de deduzir.
Permita que os usuários alterem suas próprias senhas.
Crie identidades individuais em vez de credenciais compartilhadas. Com a criação de identidades individuais, é possível fornecer a cada usuário um conjunto exclusivo de credenciais de segurança. Os usuários individuais oferecem a capacidade de auditar a atividade de cada usuário.

Recomendações do IAM Identity Center:

O IAM Identity Center oferece uma política de senha predefinida ao usar o diretório padrão que estabelece o comprimento da senha, a complexidade e requisitos de reutilização.
Ative a MFA e defina a configuração de reconhecimento de contexto ou sempre ativo da MFA quando a origem da identidade for o diretório padrão, o AWS Managed Microsoft AD ou o AD Connector.
Permita que os usuários registrem seus próprios dispositivos de MFA.

Recomendações de diretório do Amazon Cognito user pools:

Defina as configurações de força da senha.
Exija MFA dos usuários.
Use as configurações de segurança avançadas do Amazon Cognito user pools para recursos como autenticação adaptável que podem bloquear logins suspeitos.

Recomendações para usuários do IAM:

Em teoria, você está utilizando IAM Identity Center ou federação direta. No entanto, talvez você precise de usuários do IAM. Nesse caso, defina uma política de senha para usuários do IAM. A política de senhas pode ser usada para definir requisitos como extensão mínima ou a obrigatoriedade de uso de caracteres não alfabéticos.
Crie uma política do IAM com o objetivo de impor login de MFA para que os usuários possam gerenciar suas próprias senhas e dispositivos de MFA.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC 2 Como você gerencia a autenticação de pessoas e máquinas?

SEC02-BP02 Usar credenciais temporárias