SEC02-BP01 Use mecanismos de login fortes

Os logins (autenticação usando credenciais de login) podem apresentar riscos quando não são usados mecanismos como a autenticação multifatorial (MFA), especialmente em situações em que as credenciais de login foram divulgadas inadvertidamente ou são facilmente adivinhadas. Use mecanismos de login robustos para reduzir esses riscos exigindo políticas MFA de senha fortes.

Resultado desejado: reduza os riscos de acesso não intencional às credenciais AWS usando mecanismos de login robustos para AWS Identity and Access Management (IAM) usuários, usuário Conta da AWS raiz AWS IAM Identity Center(sucessor do AWS Single Sign-On) e provedores de identidade terceirizados. Isso significa exigirMFA, aplicar políticas de senha fortes e detectar comportamentos anômalos de login.

Práticas comuns que devem ser evitadas:

• Não aplicar uma política de senha forte para suas identidades, incluindo senhas complexas e. MFA

• Compartilhar as mesmas credenciais entre usuários diferentes.

• Não utilizar controles de detecção para logins suspeitos.

Nível de risco exposto se esta prática recomendada não for estabelecida: Alto

Orientação para implementação

Há muitas formas de identidades humanas fazerem iniciarem sessão na AWS. É uma prática AWS recomendada confiar em um provedor de identidade centralizado usando federação (federação direta ou uso AWS IAM Identity Center) ao se autenticar. AWS Nesse caso, você deve estabelecer um processo de início de sessão seguro com seu provedor de identidades ou o Microsoft Active Directory.

Ao abrir um pela primeira vez Conta da AWS, você começa com um usuário Conta da AWS root. Você só deve usar o usuário-raiz da conta para configurar o acesso para seus usuários (e para tarefas que exijam o usuário-raiz). É importante ativar a conta do usuário root imediatamente após abrir sua conta Conta da AWS e proteger o usuário root usando o guia de AWS melhores práticas. MFA

Se você criar usuários AWS IAM Identity Center, proteja o processo de login nesse serviço. Para identidades de consumidores, é possível usar grupos de usuários do Amazon Cognito e proteger o processo de início de sesão nesse serviço ou usar um dos provedores de identidades aos quais os grupos de usuários do Amazon Cognito oferecem suporte.

Se você estiver usando usuários AWS Identity and Access Management (IAM), protegeria o processo de login usando. IAM

Seja qual for o método de início de sessão, é essencial impor uma política de login forte.

Etapas de implementação

Veja a seguir as recomendações gerais de início de sessão forte. As configurações reais que você define devem ser definidas pela política da sua empresa ou usar um padrão como NIST800-63.

• ExigirMFA. É uma prática IAM recomendada MFA exigida para identidades humanas e cargas de trabalho. A ativação MFA fornece uma camada adicional de segurança, exigindo que os usuários forneçam credenciais de login e uma senha de uso único (OTP) ou uma string criptograficamente verificada e gerada a partir de um dispositivo de hardware.

• Imponha um comprimento mínimo de senha, que é um fator essencial da força da senha.

• Imponha complexidade para tornar as senhas mais difíceis de deduzir.

• Permitir que os usuários troquem suas próprias senhas.

• Crie identidades individuais em vez de credenciais compartilhadas. Com a criação de identidades individuais, é possível fornecer a cada usuário um conjunto exclusivo de credenciais de segurança. Os usuários individuais oferecem a capacidade de auditar a atividade de cada usuário.

IAMRecomendações do Identity Center:

• IAMO Identity Center fornece uma política de senha predefinida ao usar o diretório padrão que estabelece o tamanho, a complexidade e os requisitos de reutilização da senha.

• Ative MFA e defina a configuração contextual ou sempre ativa para MFA quando a fonte de identidade for o diretório padrão ou AWS Managed Microsoft AD o AD Connector.

• Permita que os usuários registrem seus próprios MFA dispositivos.

Recomendações do diretório de grupos de usuários do Amazon Cognito:

• Configure as opções de força da senha.

• Exigir MFA para os usuários.

• Use as configurações de segurança avançadas dos grupos de usuários do Amazon Cognito para recursos como a autenticação adaptativa, a qual pode bloquear logins suspeitos.

IAMrecomendações do usuário:

• Idealmente, você está usando o IAM Identity Center ou a federação direta. No entanto, talvez você precise de IAM usuários. Nesse caso, defina uma política de senha para IAM os usuários. A política de senhas pode ser usada para definir requisitos como extensão mínima ou a obrigatoriedade de uso de caracteres não alfabéticos.

• Crie uma IAM política para impor o MFA login para que os usuários possam gerenciar suas próprias senhas e dispositivos. MFA

Recursos

Práticas recomendadas relacionadas:

• SEC02-BP03 Armazene e use segredos com segurança

• SEC02-BP04 Confie em um provedor de identidade centralizado

• SEC03-BP08 Compartilhe recursos com segurança em sua organização

Documentos relacionados:

• AWS IAM Identity Center Política de senha

• IAMpolítica de senha de usuário

• Definindo a senha do usuário Conta da AWS root

• Política de senhas do Amazon Cognito

• AWS credenciais

• IAMmelhores práticas de segurança

Vídeos relacionados:

• Gerenciando permissões de usuário em grande escala com AWS IAM Identity Center

• Como dominar a identidade em cada camada do bolo