Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles CSPM de Security Hub para Amazon Cognito
Estos AWS Security Hub CSPM controles evalúan el servicio y los recursos de Amazon Cognito. Es posible que los controles no estén disponibles en todosRegiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Cognito.1] Los grupos de usuarios de Cognito deben tener la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::Cognito::UserPool
Regla de AWS Config: cognito-user-pool-advanced-security-enabled
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
|---|---|---|---|---|
|
|
El modo de aplicación obligatoria de la protección contra amenazas que el control revisa. |
Cadena |
|
|
Este control verifica si un grupo de usuarios de Amazon Cognito tiene la protección contra amenazas activada con el modo de aplicación obligatoria configurado en función completa para la autenticación estándar. El control falla si el grupo de usuarios tiene la protección contra amenazas desactivada o si el modo de aplicación obligatoria no está configurado en función completa para la autenticación estándar. A menos que proporcione valores de parámetros personalizados, el CSPM de Security Hub utiliza el valor predeterminado de ENFORCED para el modo de aplicación establecido en función completa para la autenticación estándar.
Después de crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas y personalizar las acciones que se realizan en respuesta a distintos riesgos. O puede usar el modo de auditoría para recopilar métricas sobre riesgos detectados sin aplicar ninguna mitigación de seguridad. En el modo auditoría, Threat Protection publica las métricas en Amazon CloudWatch. Puede ver las métricas después de que Amazon Cognito genere su primer evento.
Corrección
Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte Seguridad avanzada con protección contra amenazas en la Guía del desarrollador de Amazon Cognito.
[Cognito.2] Los grupos de identidades de Cognito no deben permitir identidades no autenticadas
Categoría: Proteger > Gestión del acceso seguro > Autenticación sin contraseña
Gravedad: media
Tipo de recurso: AWS::Cognito::IdentityPool
Regla de AWS Config: cognito-identity-pool-unauth-access-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control verifica si un grupo de identidades de Amazon Cognito está configurado para permitir identidades no autenticadas. El control falla si el acceso de invitado está activado (el parámetro AllowUnauthenticatedIdentities está configurado en true) para el grupo de identidades.
Si un grupo de identidades de Amazon Cognito permite identidades no autenticadas, el grupo de identidades proporciona AWS credenciales temporales a los usuarios que no se han autenticado a través de un proveedor de identidades (invitados). Esto crea riesgos de seguridad porque permite el acceso anónimo a los recursos. AWS Si desactiva el acceso como invitado, puede garantizar que solo los usuarios debidamente autenticados puedan acceder a sus AWS recursos, lo que reduce el riesgo de acceso no autorizado y de posibles violaciones de seguridad. Como práctica recomendada, un grupo de identidades debe requerir autenticación a través de proveedores de identidades compatibles. Si el acceso no autenticado es necesario, es importante restringir cuidadosamente los permisos para las identidades no autenticadas y revisar y supervisar regularmente su uso.
Corrección
Para obtener información sobre cómo desactivar el acceso de invitado para un grupo de identidades de Amazon Cognito, consulte Activación o desactivación del acceso de invitado en la Guía del desarrollador de Amazon Cognito.
[Cognito.3] Las políticas de contraseñas para los grupos de usuarios de Cognito deben tener configuraciones sólidas
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::Cognito::UserPool
Regla de AWS Config: cognito-user-pool-password-policy-check
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
|---|---|---|---|---|
|
|
El número mínimo de caracteres que debe contener una contraseña. | Entero | De |
|
|
|
Requerir al menos un carácter en minúscula en una contraseña. | Booleano |
|
|
|
|
Requerir al menos un carácter en mayúscula en una contraseña. | Booleano |
|
|
|
|
Requerir al menos un número en una contraseña. | Booleano |
|
|
|
|
Requerir al menos un símbolo en una contraseña. | Booleano |
|
|
|
|
El número máximo de días que una contraseña puede existir antes de que expire. | Entero | De |
|
Este control verifica si la política de contraseñas de un grupo de usuarios de Amazon Cognito requiere el uso de contraseñas sólidas, basadas en configuraciones recomendadas para políticas de contraseñas. El control falla si la política de contraseñas del grupo de usuarios no exige contraseñas sólidas. Puede especificar opcionalmente valores personalizados para los ajustes de la política que el control verifica.
Las contraseñas sólidas son una práctica recomendada de seguridad para los grupos de usuarios de Amazon Cognito. Las contraseñas débiles pueden exponer las credenciales de los usuarios a sistemas que adivinan contraseñas y tratan de acceder a datos. Este es especialmente el caso de aplicaciones que están abiertas a Internet. Las políticas de contraseñas son un elemento central de la seguridad de los directorios de usuarios. Al usar una política de contraseñas, puede configurar un grupo de usuarios para exigir complejidad de contraseñas y otros ajustes que cumplan con los estándares y requisitos de seguridad.
Corrección
Para obtener información sobre cómo crear o actualizar la política de contraseñas para un grupo de usuarios de Amazon Cognito, consulte Cómo agregar requisitos de contraseña para grupos de usuarios en la Guía del desarrollador de Amazon Cognito.
[Cognito.4] Los grupos de usuarios de Cognito deberían tener activada la protección contra amenazas con un modo de aplicación de funciones completas para una autenticación personalizada
Categoría: Proteger - Administración de acceso seguro
Gravedad: media
Tipo de recurso: AWS::Cognito::UserPool
Regla de AWS Config: cognito-userpool-cust-auth-threat-full-check
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de usuarios de Amazon Cognito tiene activada la protección contra amenazas con el modo de aplicación configurado en función completa para la autenticación personalizada. El control falla si el grupo de usuarios tiene deshabilitada la protección contra amenazas o si el modo de aplicación no está configurado para funcionar al máximo para la autenticación personalizada.
La protección contra amenazas, anteriormente conocida como características avanzadas de seguridad, consiste en un conjunto de herramientas de supervisión de la actividad no deseada en el grupo de usuarios y las herramientas de configuración para detener automáticamente cualquier actividad potencialmente maliciosa. Tras crear un grupo de usuarios de Amazon Cognito, puede activar la protección contra amenazas con un modo de aplicación con todas las funciones para una autenticación personalizada y personalizar las acciones que se toman en respuesta a los diferentes riesgos. El modo con todas las funciones incluye un conjunto de reacciones automáticas para detectar actividades no deseadas y contraseñas comprometidas.
Corrección
Para obtener información sobre cómo activar la protección contra amenazas para un grupo de usuarios de Amazon Cognito, consulte Seguridad avanzada con protección contra amenazas en la Guía del desarrollador de Amazon Cognito.
[Cognito.5] El MFA debe estar habilitado para los grupos de usuarios de Cognito
Categoría: Proteger > Gestión del acceso seguro > Autenticación multifactorial
Gravedad: media
Tipo de recurso: AWS::Cognito::UserPool
Regla de AWS Config: cognito-user-pool-mfa-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de usuarios de Amazon Cognito configurado con una política de inicio de sesión solo con contraseña tiene habilitada la autenticación multifactor (MFA). El control falla si el grupo de usuarios configurado con una política de inicio de sesión solo con contraseña no tiene habilitada la MFA.
La autenticación multifactor (MFA) añade un factor de autenticación de algo que tienes al factor de algo que sabes (normalmente nombre de usuario y contraseña). Para los usuarios federados, Amazon Cognito delega la autenticación en el proveedor de identidad (IdP) y no ofrece factores de autenticación adicionales. Sin embargo, si tiene usuarios locales con autenticación por contraseña, la configuración de MFA para el grupo de usuarios aumenta su seguridad.
nota
Este control no se aplica a los usuarios federados ni a los usuarios que inician sesión sin contraseña.
Corrección
Para obtener información sobre cómo configurar MFA para un grupo de usuarios de Amazon Cognito, consulte Añadir MFA a un grupo de usuarios en la Guía para desarrolladores de Amazon Cognito.
[Cognito.6] Los grupos de usuarios de Cognito deberían tener habilitada la protección contra eliminaciones
Categoría: Proteger > Protección de datos > Protección contra la eliminación de datos
Gravedad: media
Tipo de recurso: AWS::Cognito::UserPool
Regla de AWS Config: cognito-user-pool-deletion-protection-enabled
Tipo de horario: provocado por un cambio
Parámetros: ninguno
Este control comprueba si un grupo de usuarios de Amazon Cognito tiene habilitada la protección contra eliminaciones. El control falla si la protección contra la eliminación está deshabilitada para el grupo de usuarios.
La protección contra la eliminación ayuda a garantizar que su grupo de usuarios no se elimine accidentalmente. Al configurar un grupo de usuarios con protección contra la eliminación, ningún usuario puede eliminarlo. La protección contra la eliminación le impide solicitar la eliminación de un grupo de usuarios a menos que primero modifique el grupo y desactive la protección contra la eliminación.
Corrección
Para configurar la protección contra la eliminación de un grupo de usuarios de Amazon Cognito, consulte Protección contra la eliminación de grupos de usuarios en la Guía para desarrolladores de Amazon Cognito.
