SEC02-BP01 Usar mecanismos de início de sessão fortes - Framework Well-Architected da AWS
Orientação para implementaçãoRecursos

SEC02-BP01 Usar mecanismos de início de sessão fortes

Os inícios de sessão (autenticação com credenciais de login) podem apresentar riscos quando não são usados mecanismos, como autenticação multifator (MFA), especialmente em situações em que as credenciais de login foram divulgadas acidentalmente ou podem ser deduzidas com facilidade. Utilize mecanismos de início de sessão fortes para reduzir essas riscos exigindo MFA e políticas de senhas fortes.

Resultado desejado: reduzir os riscos de acesso não intencional às credenciais na AWS usando mecanismos de login robustos para usuários do AWS Identity and Access Management (IAM), o usuário-raiz da Conta da AWS, o AWS IAM Identity Center e provedores de identidade terceirizados. Isso significa exigir MFA, impor políticas de senhas fortes e detectar comportamento de login anômalo.

Práticas comuns que devem ser evitadas:

  • Não impor uma política de senhas fortes para suas identidades incluindo senhas complexas e MFA.

  • Compartilhar as mesmas credenciais entre usuários diferentes.

  • Não utilizar controles de detecção para logins suspeitos.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Há muitas maneiras pelas quais identidades humanas podem iniciar sessão na AWS. É prática recomendada da AWS confiar em um provedor de identidades centralizado utilizando federação (federação direta SAML 2.0 entre o AWS IAM e o IdP centralizado, ou usando o Centro de Identidade do AWS IAM) ao realizar a autenticação na AWS. Nesse caso, estabeleça um processo de início de sessão seguro com o provedor de identidades ou o Microsoft Active Directory.

Ao abrir pela primeira vez uma Conta da AWS, você começa com um usuário-raiz da Conta da AWS. Você só deve usar o usuário-raiz da conta para configurar o acesso para seus usuários (e para tarefas que exijam o usuário-raiz). É importante ativar a autenticação multifator (MFA) para o usuário-raiz da conta imediatamente após abrir sua Conta da AWS e proteger o usuário-raiz usando o guia de práticas recomendadas da AWS.

O Centro de Identidade do AWS IAM foi projetado para usuários da força de trabalho, e você pode criar e gerenciar identidades de usuários dentro do serviço e proteger o processo de login com MFA. O AWS Cognito, por outro lado, foi projetado para gerenciamento de identidade e acesso de clientes (CIAM), que fornece grupos de usuários e provedores de identidades para usuários externos nas aplicações.

Se você criar usuários no Centro de Identidade do AWS IAM, proteja o processo de início de sessão nesse serviço e ative a MFA. Para identidades de usuários externos, é possível usar grupos de usuários do Amazon Cognito e proteger o processo de início de sessão nesse serviço ou usar um dos provedores de identidades compatíveis com os grupos de usuários do Amazon Cognito.

Além disso, para usuários do Centro de Identidade do AWS IAM, você pode usar o Acesso Verificado pela AWS para fornecer uma camada adicional de segurança, verificando a identidade do usuário e a postura do dispositivo antes que tenha acesso aos recursos da AWS.

Se você estiver utilizando usuários do AWS Identity and Access Management (IAM), proteja o processo de início de sessão usando o IAM.

Você pode usar o Centro de Identidade do AWS IAM e a federação direta do IAM simultaneamente para gerenciar o acesso à AWS. Você pode usar a federação do IAM para gerenciar o acesso ao AWS Management Console e aos serviços e o Centro de Identidade do IAM para gerenciar o acesso a aplicações de negócios, como o Amazon QuickSight ou o Amazon Q Business.

Seja qual for o método de início de sessão, é essencial impor uma política de login forte.

Etapas de implementação

Veja a seguir as recomendações gerais de início de sessão forte. As configurações reais que você configurar deverão ser definidas pela política da sua empresa ou usar um padrão como o NIST 800-63.

  • Solicite a MFA. É prática recomendada do IAM exigir MFA para identidades humanas e workloads. A ativação da MFA oferece uma camada adicional de segurança que exige que os usuários forneçam credenciais de início de sessão e uma senha de uso único (OTP) ou uma string gerada e verificada criptograficamente por um dispositivo de hardware.

  • Imponha um comprimento mínimo de senha, que é um fator essencial da força da senha.

  • Imponha complexidade para tornar as senhas mais difíceis de deduzir.

  • Permitir que os usuários troquem suas próprias senhas.

  • Crie identidades individuais em vez de credenciais compartilhadas. Com a criação de identidades individuais, é possível fornecer a cada usuário um conjunto exclusivo de credenciais de segurança. Os usuários individuais oferecem a capacidade de auditar a atividade de cada usuário.

Recomendações do Centro de Identidade do IAM:

  • O Centro de Identidade do IAM fornece uma política de senha predefinida ao usar o diretório padrão que estabelece o tamanho, a complexidade e os requisitos de reutilização da senha.

  • Ative o MFA e defina a configuração contextual ou sempre ativa do MFA quando a fonte de identidade for o diretório padrão, o AWS Managed Microsoft AD ou o AD Connector.

  • Permita que os usuários registrem seus próprios dispositivos de MFA.

Recomendações do diretório de grupos de usuários do Amazon Cognito:

Recomendações para usuários do IAM:

  • Em teoria, você está utilizando Centro de Identidade do IAM ou federação direta. No entanto, talvez você precise de usuários do IAM. Nesse caso, defina uma política de senhas para usuários do IAM. A política de senhas pode ser usada para definir requisitos como extensão mínima ou a obrigatoriedade de uso de caracteres não alfabéticos.

  • Crie uma política do IAM para impor o início de sessão com MFA para que os usuários possam gerenciar suas próprias senhas e dispositivos de MFA.

Recursos

Práticas recomendadas relacionadas:

Documentos relacionados:

Vídeos relacionados: