Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles CSPM du Security Hub pour Amazon Cognito
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Amazon Cognito. Les commandes ne sont peut-être pas toutes disponiblesRégions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.
[Cognito.1] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec le mode d'application complet pour l'authentification standard
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::Cognito::UserPool
Règle AWS Config : cognito-user-pool-advanced-security-enabled
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
|---|---|---|---|---|
|
|
Mode d'application de la protection contre les menaces vérifié par le contrôle. |
String |
|
|
Ce contrôle vérifie si la protection contre les menaces est activée dans un groupe d'utilisateurs Amazon Cognito avec le mode d'application réglé sur toutes les fonctionnalités pour l'authentification standard. Le contrôle échoue si la protection contre les menaces du groupe d'utilisateurs est désactivée ou si le mode d'application n'est pas configuré pour fonctionner pleinement pour l'authentification standard. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub CSPM utilise la valeur par défaut de ENFORCED pour le mode d'application défini sur pleine fonction pour l'authentification standard.
Après avoir créé un groupe d'utilisateurs Amazon Cognito, vous pouvez activer la protection contre les menaces et personnaliser les actions entreprises en réponse aux différents risques. Vous pouvez également utiliser le mode audit pour recueillir des mesures sur les risques détectés sans appliquer de mesures de sécurité. En mode audit, la protection contre les menaces publie des statistiques sur Amazon CloudWatch. Vous pouvez consulter les statistiques une fois qu'Amazon Cognito a généré son premier événement.
Correction
Pour plus d'informations sur l'activation de la protection contre les menaces pour un groupe d'utilisateurs Amazon Cognito, consultez la section Sécurité avancée avec protection contre les menaces dans le guide du développeur Amazon Cognito.
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
Catégorie : Protéger > Gestion des accès sécurisés > Authentification sans mot de passe
Gravité : Moyenne
Type de ressource : AWS::Cognito::IdentityPool
Règle AWS Config : cognito-identity-pool-unauth-access-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un pool d'identités Amazon Cognito est configuré pour autoriser les identités non authentifiées. Le contrôle échoue si l'accès invité est activé (le AllowUnauthenticatedIdentities paramètre est défini surtrue) pour le pool d'identités.
Si un pool d'identités Amazon Cognito autorise les identités non authentifiées, il fournit des informations d'AWSidentification temporaires aux utilisateurs qui ne se sont pas authentifiés via un fournisseur d'identité (invités). Cela crée des risques de sécurité car cela permet un accès anonyme aux AWS ressources. Si vous désactivez l'accès invité, vous pouvez garantir que seuls les utilisateurs correctement authentifiés peuvent accéder à vos AWS ressources, ce qui réduit le risque d'accès non autorisé et de failles de sécurité potentielles. En tant que bonne pratique, un pool d'identités doit nécessiter une authentification auprès des fournisseurs d'identité pris en charge. Si un accès non authentifié est nécessaire, il est important de limiter soigneusement les autorisations relatives aux identités non authentifiées et de vérifier et de surveiller régulièrement leur utilisation.
Correction
Pour plus d'informations sur la désactivation de l'accès invité pour un pool d'identités Amazon Cognito, consultez la section Activer ou désactiver l'accès invité dans le guide du développeur Amazon Cognito.
[Cognito.3] Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être fortement configurées
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::Cognito::UserPool
Règle AWS Config : cognito-user-pool-password-policy-check
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
|---|---|---|---|---|
|
|
Le nombre minimum de caractères que doit contenir un mot de passe. | Entier |
|
|
|
|
Le mot de passe doit comporter au moins une minuscule. | Booléen |
|
|
|
|
Le mot de passe doit comporter au moins une majuscule. | Booléen |
|
|
|
|
Le mot de passe doit contenir au moins un chiffre. | Booléen |
|
|
|
|
Un mot de passe doit comporter au moins un symbole. | Booléen |
|
|
|
|
Nombre maximal de jours pendant lesquels un mot de passe peut exister avant son expiration. | Entier |
|
|
Ce contrôle vérifie si la politique de mot de passe d'un groupe d'utilisateurs Amazon Cognito nécessite l'utilisation de mots de passe forts, sur la base des paramètres recommandés pour les politiques de mots de passe. Le contrôle échoue si la politique de mot de passe du groupe d'utilisateurs n'exige pas de mots de passe forts. Vous pouvez éventuellement spécifier des valeurs personnalisées pour les paramètres de politique vérifiés par le contrôle.
Les mots de passe forts constituent une bonne pratique de sécurité pour les groupes d'utilisateurs d'Amazon Cognito. Les mots de passe faibles peuvent exposer les informations d'identification des utilisateurs à des systèmes qui devinent les mots de passe et tentent d'accéder aux données. C'est notamment le cas pour les applications ouvertes sur Internet. Les politiques de mot de passe constituent un élément central de la sécurité des annuaires d'utilisateurs. En utilisant une politique de mot de passe, vous pouvez configurer un groupe d'utilisateurs pour exiger la complexité des mots de passe et d'autres paramètres conformes à vos normes et exigences de sécurité.
Correction
Pour plus d'informations sur la création ou la mise à jour de la politique de mot de passe pour un groupe d'utilisateurs Amazon Cognito, consultez la section Ajout d'exigences relatives au mot de passe du groupe d'utilisateurs dans le guide du développeur Amazon Cognito.
[Cognito.4] La protection contre les menaces doit être activée pour les groupes d'utilisateurs de Cognito avec mode d'application complet pour une authentification personnalisée
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::Cognito::UserPool
Règle AWS Config : cognito-userpool-cust-auth-threat-full-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les menaces est activée dans un groupe d'utilisateurs Amazon Cognito, le mode d'application étant réglé sur toutes les fonctionnalités pour une authentification personnalisée. Le contrôle échoue si la protection contre les menaces est désactivée dans le groupe d'utilisateurs ou si le mode d'application n'est pas configuré sur toutes les fonctionnalités pour une authentification personnalisée.
La protection contre les menaces, anciennement appelée fonctionnalités de sécurité avancées, est un ensemble d'outils de surveillance des activités indésirables dans votre groupe d'utilisateurs et d'outils de configuration permettant de mettre automatiquement fin aux activités potentiellement malveillantes. Après avoir créé un groupe d'utilisateurs Amazon Cognito, vous pouvez activer la protection contre les menaces avec le mode d'application complet pour une authentification personnalisée et personnaliser les actions entreprises en réponse aux différents risques. Le mode multifonction inclut un ensemble de réactions automatiques pour détecter les activités indésirables et les mots de passe compromis.
Correction
Pour plus d'informations sur l'activation de la protection contre les menaces pour un groupe d'utilisateurs Amazon Cognito, consultez la section Sécurité avancée avec protection contre les menaces dans le guide du développeur Amazon Cognito.
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
Catégorie : Protection > Gestion des accès sécurisés > Authentification multifactorielle
Gravité : Moyenne
Type de ressource : AWS::Cognito::UserPool
Règle AWS Config : cognito-user-pool-mfa-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée dans un groupe d'utilisateurs Amazon Cognito configuré avec une politique de connexion par mot de passe uniquement. Le contrôle échoue si le groupe d'utilisateurs configuré avec une politique de connexion par mot de passe uniquement n'a pas activé la MFA.
L'authentification multifactorielle (MFA) ajoute un facteur d'authentification à un facteur que vous connaissez (généralement un nom d'utilisateur et un mot de passe). Pour les utilisateurs fédérés, Amazon Cognito délègue l'authentification au fournisseur d'identité (IdP) et ne propose aucun facteur d'authentification supplémentaire. Toutefois, si vous avez des utilisateurs locaux dotés d'une authentification par mot de passe, la configuration de l'authentification MFA pour le groupe d'utilisateurs renforce leur sécurité.
Note
Ce contrôle ne s'applique pas aux utilisateurs fédérés et aux utilisateurs qui se connectent sans mot de passe.
Correction
Pour plus d'informations sur la configuration de l'authentification multifacteur pour un groupe d'utilisateurs Amazon Cognito, consultez la section Ajouter une authentification multifacteur à un groupe d'utilisateurs dans le manuel Amazon Cognito Developer Guide.
[Cognito.6] La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito
Catégorie : Protéger > Protection des données > Protection contre la suppression des données
Gravité : Moyenne
Type de ressource : AWS::Cognito::UserPool
Règle AWS Config : cognito-user-pool-deletion-protection-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée pour un groupe d'utilisateurs Amazon Cognito. Le contrôle échoue si la protection contre la suppression est désactivée pour le groupe d'utilisateurs.
La protection contre la suppression permet de garantir que votre groupe d'utilisateurs n'est pas supprimé accidentellement. Lorsque vous configurez un groupe d'utilisateurs avec protection contre les suppressions, aucun utilisateur ne peut le supprimer. La protection contre la suppression vous empêche de demander la suppression d'un groupe d'utilisateurs à moins que vous ne le modifiiez au préalable et que vous ne désactiviez la protection contre les suppressions.
Correction
Pour configurer la protection contre la suppression pour un groupe d'utilisateurs Amazon Cognito, consultez la section Protection contre la suppression du groupe d'utilisateurs dans le manuel Amazon Cognito Developer Guide.
