Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Security Hub CSPM-Steuerelemente für Amazon Cognito
Diese AWS Security Hub CSPM Kontrollen bewerten den Service und die Ressourcen von Amazon Cognito. Die Steuerelemente sind möglicherweise nicht in allen AWS-Regionen verfügbar. Weitere Informationen finden Sie unter Verfügbarkeit von Kontrollen nach Regionen.
[Cognito.1] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die Standardauthentifizierung aktiviert sein
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Ressourcentyp: AWS::Cognito::UserPool
AWS Config-Regel: cognito-user-pool-advanced-security-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
|---|---|---|---|---|
|
|
Der Modus zur Durchsetzung des Bedrohungsschutzes, nach dem das Steuerelement sucht. |
Zeichenfolge |
|
|
Diese Kontrolle prüft, ob in einem Amazon Cognito Cognito-Benutzerpool der Bedrohungsschutz aktiviert ist und der Erzwingungsmodus für die Standardauthentifizierung auf Vollfunktion eingestellt ist. Die Kontrolle schlägt fehl, wenn der Bedrohungsschutz für den Benutzerpool deaktiviert ist oder wenn der Erzwingungsmodus für die Standardauthentifizierung nicht auf volle Funktionalität eingestellt ist. Sofern Sie keine benutzerdefinierten Parameterwerte angeben, verwendet Security Hub CSPM den Standardwert für den Erzwingungsmodus, der ENFORCED für die Standardauthentifizierung auf Vollfunktion gesetzt ist.
Nachdem Sie einen Amazon Cognito Cognito-Benutzerpool erstellt haben, können Sie den Bedrohungsschutz aktivieren und die Maßnahmen anpassen, die als Reaktion auf verschiedene Risiken ergriffen werden. Oder Sie können den Überwachungsmodus verwenden, um Metriken zu erkannten Risiken zu sammeln, ohne Sicherheitsmaßnahmen ergreifen zu müssen. Im Auditmodus veröffentlicht Threat Protection Kennzahlen an Amazon CloudWatch. Sie können Metriken sehen, nachdem Amazon Cognito sein erstes Ereignis generiert hat.
Abhilfe
Informationen zur Aktivierung des Bedrohungsschutzes für einen Amazon Cognito-Benutzerpool finden Sie unter Erweiterte Sicherheit mit Bedrohungsschutz im Amazon Cognito Developer Guide.
[Cognito.2] Cognito-Identitätspools sollten keine nicht authentifizierten Identitäten zulassen
Kategorie: Schützen > Sichere Zugriffsverwaltung > Passwortlose Authentifizierung
Schweregrad: Mittel
Art der Ressource: AWS::Cognito::IdentityPool
AWS Config-Regel: cognito-identity-pool-unauth-access-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob ein Amazon Cognito Cognito-Identitätspool so konfiguriert ist, dass er nicht authentifizierte Identitäten zulässt. Die Kontrolle schlägt fehl, wenn der Gastzugriff für den Identitätspool aktiviert ist (der AllowUnauthenticatedIdentities Parameter ist auf gesetzttrue).
Wenn ein Amazon Cognito Cognito-Identitätspool nicht authentifizierte Identitäten zulässt, stellt der Identitätspool temporäre AWS Anmeldeinformationen für Benutzer bereit, die sich nicht über einen Identitätsanbieter authentifiziert haben (Gäste). Dies birgt Sicherheitsrisiken, da es anonymen Zugriff auf Ressourcen ermöglicht. AWS Wenn Sie den Gastzugriff deaktivieren, können Sie sicherstellen, dass nur ordnungsgemäß authentifizierte Benutzer auf Ihre AWS Ressourcen zugreifen können, wodurch das Risiko eines unbefugten Zugriffs und potenzieller Sicherheitsverletzungen verringert wird. Als bewährte Methode sollte ein Identitätspool die Authentifizierung durch unterstützte Identitätsanbieter erfordern. Wenn ein nicht authentifizierter Zugriff erforderlich ist, ist es wichtig, die Berechtigungen für nicht authentifizierte Identitäten sorgfältig einzuschränken und deren Verwendung regelmäßig zu überprüfen und zu überwachen.
Abhilfe
Informationen zur Deaktivierung des Gastzugriffs für einen Amazon Cognito-Identitätspool finden Sie unter Gastzugriff aktivieren oder deaktivieren im Amazon Cognito Developer Guide.
[Cognito.3] Passwortrichtlinien für Cognito-Benutzerpools sollten starke Konfigurationen haben
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Ressourcentyp: AWS::Cognito::UserPool
AWS Config-Regel: cognito-user-pool-password-policy-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter:
| Parameter | Description | Typ | Zulässige benutzerdefinierte Werte | Security Hub CSPM-Standardwert |
|---|---|---|---|---|
|
|
Die Mindestanzahl an Zeichen, die ein Passwort enthalten muss. | Ganzzahl |
|
|
|
|
Erfordert mindestens einen Kleinbuchstaben in einem Passwort. | Boolesch |
|
|
|
|
Erfordert mindestens einen Großbuchstaben in einem Passwort. | Boolesch |
|
|
|
|
Erfordert mindestens eine Zahl in einem Passwort. | Boolesch |
|
|
|
|
Erfordert mindestens ein Symbol in einem Passwort. | Boolesch |
|
|
|
|
Die maximale Anzahl von Tagen, die ein Passwort bestehen kann, bevor es abläuft. | Ganzzahl |
|
|
Dieses Steuerelement prüft, ob die Passwortrichtlinie für einen Amazon Cognito Cognito-Benutzerpool die Verwendung sicherer Passwörter erfordert, basierend auf den empfohlenen Einstellungen für Passwortrichtlinien. Die Kontrolle schlägt fehl, wenn die Passwortrichtlinie für den Benutzerpool keine sicheren Passwörter erfordert. Sie können optional benutzerdefinierte Werte für die Richtlinieneinstellungen angeben, die das Steuerelement überprüft.
Starke Passwörter sind eine bewährte Sicherheitsmethode für Amazon Cognito Cognito-Benutzerpools. Schwache Passwörter können dazu führen, dass Benutzeranmeldedaten Systemen zugänglich gemacht werden, die Passwörter erraten und versuchen, auf Daten zuzugreifen. Dies gilt insbesondere für Anwendungen, die offen für das Internet sind. Passwortrichtlinien sind ein zentrales Element der Sicherheit von Benutzerverzeichnissen. Mithilfe einer Kennwortrichtlinie können Sie einen Benutzerpool so konfigurieren, dass er die Komplexität von Kennwörtern und andere Einstellungen erfordert, die Ihren Sicherheitsstandards und -anforderungen entsprechen.
Abhilfe
Informationen zum Erstellen oder Aktualisieren der Passwortrichtlinie für einen Amazon Cognito-Benutzerpool finden Sie unter Passwortanforderungen für Benutzerpools hinzufügen im Amazon Cognito Developer Guide.
[Cognito.4] In Cognito-Benutzerpools sollte der Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktiviert sein
Kategorie: Schutz > Sichere Zugriffsverwaltung
Schweregrad: Mittel
Ressourcentyp: AWS::Cognito::UserPool
AWS Config-Regel: cognito-userpool-cust-auth-threat-full-check
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Diese Kontrolle prüft, ob in einem Amazon Cognito Cognito-Benutzerpool der Bedrohungsschutz aktiviert ist und der Erzwingungsmodus für die benutzerdefinierte Authentifizierung auf Vollfunktion eingestellt ist. Die Kontrolle schlägt fehl, wenn für den Benutzerpool der Bedrohungsschutz deaktiviert ist oder wenn der Erzwingungsmodus für die benutzerdefinierte Authentifizierung nicht auf volle Funktionalität eingestellt ist.
Der Bedrohungsschutz, früher als erweiterte Sicherheitsfunktionen bezeichnet, besteht aus einer Reihe von Tools zur Überwachung unerwünschter Aktivitäten in Ihrem Benutzerpool sowie aus Konfigurationstools, mit denen potenziell bösartige Aktivitäten automatisch geschlossen werden. Nachdem Sie einen Amazon Cognito Cognito-Benutzerpool erstellt haben, können Sie den Bedrohungsschutz mit vollem Funktionsumfang für die benutzerdefinierte Authentifizierung aktivieren und die Maßnahmen anpassen, die als Reaktion auf verschiedene Risiken ergriffen werden. Der Vollfunktionsmodus umfasst eine Reihe von automatischen Reaktionen zur Erkennung unerwünschter Aktivitäten und kompromittierter Passwörter.
Abhilfe
Informationen zur Aktivierung des Bedrohungsschutzes für einen Amazon Cognito-Benutzerpool finden Sie unter Erweiterte Sicherheit mit Bedrohungsschutz im Amazon Cognito Developer Guide.
[Cognito.5] MFA sollte für Cognito-Benutzerpools aktiviert sein
Kategorie: Schützen > Sicheres Zugriffsmanagement > Multi-Faktor-Authentifizierung
Schweregrad: Mittel
Art der Ressource: AWS::Cognito::UserPool
AWS Config-Regel: cognito-user-pool-mfa-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob in einem Amazon Cognito Cognito-Benutzerpool, der mit einer Anmelderichtlinie nur mit Passwort konfiguriert ist, die Multi-Faktor-Authentifizierung (MFA) aktiviert ist. Die Steuerung schlägt fehl, wenn für den Benutzerpool, der mit einer rein kennwortgeschützten Anmelderichtlinie konfiguriert ist, MFA nicht aktiviert ist.
Die Multi-Faktor-Authentifizierung (MFA) fügt dem Faktor „Etwas, das Sie wissen“ (normalerweise Benutzername und Passwort) einen Authentifizierungsfaktor hinzu, den Sie haben. Für Verbundbenutzer delegiert Amazon Cognito die Authentifizierung an den Identitätsanbieter (IdP) und bietet keine zusätzlichen Authentifizierungsfaktoren. Wenn Sie jedoch lokale Benutzer mit Kennwortauthentifizierung haben, erhöht die Konfiguration von MFA für den Benutzerpool deren Sicherheit.
Anmerkung
Diese Kontrolle gilt nicht für Verbundbenutzer und Benutzer, die sich mit kennwortlosen Faktoren anmelden.
Abhilfe
Informationen zur Konfiguration von MFA für einen Amazon Cognito-Benutzerpool finden Sie unter Hinzufügen von MFA zu einem Benutzerpool im Amazon Cognito Developer Guide.
[Cognito.6] In Cognito-Benutzerpools sollte der Löschschutz aktiviert sein
Kategorie: Schützen > Datenschutz > Schutz vor Datenlöschung
Schweregrad: Mittel
Art der Ressource: AWS::Cognito::UserPool
AWS Config-Regel: cognito-user-pool-deletion-protection-enabled
Art des Zeitplans: Änderung wurde ausgelöst
Parameter: Keine
Dieses Steuerelement prüft, ob für einen Amazon Cognito Cognito-Benutzerpool der Löschschutz aktiviert ist. Die Steuerung schlägt fehl, wenn der Löschschutz für den Benutzerpool deaktiviert ist.
Durch den Löschschutz wird sichergestellt, dass Ihr Benutzerpool nicht versehentlich gelöscht wird. Wenn Sie einen Benutzerpool mit Löschschutz konfigurieren, kann der Pool von keinem Benutzer gelöscht werden. Der Löschschutz verhindert, dass Sie das Löschen eines Benutzerpools anfordern, es sei denn, Sie ändern den Pool zuerst und deaktivieren den Löschschutz.
Abhilfe
Informationen zum Konfigurieren des Löschschutzes für einen Amazon Cognito-Benutzerpool finden Sie unter Löschschutz für Benutzerpools im Amazon Cognito Developer Guide.
