Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kontrol CSPM Security Hub untuk Amazon Cognito
AWS Security Hub CSPMKontrol ini mengevaluasi layanan dan sumber daya Amazon Cognito. Kontrol mungkin tidak tersedia di semuaWilayah AWS. Untuk informasi selengkapnya, lihat Ketersediaan kontrol berdasarkan Wilayah.
[Cognito.1] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi standar
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::UserPool
AWS Configaturan: cognito-user-pool-advanced-security-enabled
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
|
|
Mode penegakan perlindungan ancaman yang diperiksa oleh kontrol. |
String |
|
|
Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito memiliki perlindungan ancaman yang diaktifkan dengan mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar. Kontrol gagal jika kumpulan pengguna menonaktifkan perlindungan ancaman atau jika mode penegakan tidak disetel ke fungsi penuh untuk otentikasi standar. Kecuali Anda memberikan nilai parameter kustom, Security Hub CSPM menggunakan nilai default ENFORCED untuk mode penegakan yang disetel ke fungsi penuh untuk otentikasi standar.
Setelah membuat kumpulan pengguna Amazon Cognito, Anda dapat mengaktifkan perlindungan ancaman dan menyesuaikan tindakan yang diambil sebagai respons terhadap berbagai risiko. Atau, Anda dapat menggunakan mode audit untuk mengumpulkan metrik risiko yang terdeteksi tanpa menerapkan mitigasi keamanan apa pun. Dalam mode audit, perlindungan ancaman menerbitkan metrik ke Amazon. CloudWatch Anda dapat melihat metrik setelah Amazon Cognito menghasilkan acara pertamanya.
Remediasi
Untuk informasi tentang mengaktifkan perlindungan ancaman untuk kumpulan pengguna Amazon Cognito, lihat Keamanan lanjutan dengan perlindungan ancaman di Panduan Pengembang Amazon Cognito.
[Cognito.2] Kumpulan identitas Cognito seharusnya tidak mengizinkan identitas yang tidak diautentikasi
Kategori: Lindungi > Manajemen akses aman > Otentikasi tanpa kata sandi
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::IdentityPool
AWS Configaturan: cognito-identity-pool-unauth-access-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kumpulan identitas Amazon Cognito dikonfigurasi untuk mengizinkan identitas yang tidak diautentikasi. Kontrol gagal jika akses tamu diaktifkan (AllowUnauthenticatedIdentitiesparameter disetel ketrue) untuk kumpulan identitas.
Jika kumpulan identitas Amazon Cognito mengizinkan identitas yang tidak diautentikasi, kumpulan identitas akan memberikan AWS kredensi sementara kepada pengguna yang belum melakukan autentikasi melalui penyedia identitas (tamu). Ini menciptakan risiko keamanan karena memungkinkan akses anonim ke AWS sumber daya. Jika Anda menonaktifkan akses tamu, Anda dapat membantu memastikan bahwa hanya pengguna yang diautentikasi dengan benar yang dapat mengakses AWS sumber daya Anda, yang mengurangi risiko akses tidak sah dan potensi pelanggaran keamanan. Sebagai praktik terbaik, kumpulan identitas harus memerlukan otentikasi melalui penyedia identitas yang didukung. Jika akses yang tidak diautentikasi diperlukan, penting untuk secara hati-hati membatasi izin untuk identitas yang tidak diautentikasi, dan secara teratur meninjau dan memantau penggunaannya.
Remediasi
Untuk informasi tentang menonaktifkan akses tamu untuk kumpulan identitas Amazon Cognito, lihat Mengaktifkan atau menonaktifkan akses tamu di Panduan Pengembang Amazon Cognito.
[Cognito.3] Kebijakan kata sandi untuk kumpulan pengguna Cognito harus memiliki konfigurasi yang kuat
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::UserPool
AWS Configaturan: cognito-user-pool-password-policy-check
Jenis jadwal: Perubahan dipicu
Parameter:
| Parameter | Deskripsi | Tipe | Nilai kustom yang diizinkan | Nilai default CSPM Security Hub |
|---|---|---|---|---|
|
|
Jumlah minimum karakter yang harus dikandung kata sandi. | Bilangan Bulat |
|
|
|
|
Memerlukan setidaknya satu karakter huruf kecil dalam kata sandi. | Boolean |
|
|
|
|
Memerlukan setidaknya satu karakter huruf besar dalam kata sandi. | Boolean |
|
|
|
|
Memerlukan setidaknya satu nomor dalam kata sandi. | Boolean |
|
|
|
|
Memerlukan setidaknya satu simbol dalam kata sandi. | Boolean |
|
|
|
|
Jumlah hari maksimum kata sandi dapat ada sebelum kedaluwarsa. | Bilangan Bulat |
|
|
Kontrol ini memeriksa apakah kebijakan kata sandi untuk kumpulan pengguna Amazon Cognito memerlukan penggunaan kata sandi yang kuat, berdasarkan pengaturan yang disarankan untuk kebijakan kata sandi. Kontrol gagal jika kebijakan kata sandi untuk kumpulan pengguna tidak memerlukan kata sandi yang kuat. Anda dapat menentukan nilai kustom secara opsional untuk setelan kebijakan yang diperiksa oleh kontrol.
Kata sandi yang kuat adalah praktik terbaik keamanan untuk kumpulan pengguna Amazon Cognito. Kata sandi yang lemah dapat mengekspos kredensi pengguna ke sistem yang menebak kata sandi dan mencoba mengakses data. Ini terutama berlaku untuk aplikasi yang terbuka untuk internet. Kebijakan kata sandi adalah elemen sentral dari keamanan direktori pengguna. Dengan menggunakan kebijakan kata sandi, Anda dapat mengonfigurasi kumpulan pengguna untuk meminta kompleksitas kata sandi dan pengaturan lain yang sesuai dengan standar dan persyaratan keamanan Anda.
Remediasi
Untuk informasi tentang membuat atau memperbarui kebijakan kata sandi untuk kumpulan pengguna Amazon Cognito, lihat Menambahkan persyaratan kata sandi kumpulan pengguna di Panduan Pengembang Amazon Cognito.
[Cognito.4] Kumpulan pengguna Cognito harus mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus
Kategori: Lindungi > Manajemen akses yang aman
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::UserPool
AWS Configaturan: cognito-userpool-cust-auth-threat-full-check
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito memiliki perlindungan ancaman yang diaktifkan dengan mode penegakan yang disetel ke fungsi penuh untuk otentikasi khusus. Kontrol gagal jika kumpulan pengguna menonaktifkan perlindungan ancaman atau jika mode penegakan tidak disetel ke fungsi penuh untuk otentikasi kustom.
Perlindungan ancaman, sebelumnya disebut fitur keamanan canggih, adalah seperangkat alat pemantauan untuk aktivitas yang tidak diinginkan di kumpulan pengguna Anda, dan alat konfigurasi untuk secara otomatis mematikan aktivitas yang berpotensi berbahaya. Setelah membuat kumpulan pengguna Amazon Cognito, Anda dapat mengaktifkan perlindungan ancaman dengan mode penegakan fungsi penuh untuk otentikasi khusus dan menyesuaikan tindakan yang diambil sebagai respons terhadap risiko yang berbeda. Mode fungsi penuh mencakup serangkaian reaksi otomatis untuk mendeteksi aktivitas yang tidak diinginkan dan kata sandi yang dikompromikan.
Remediasi
Untuk informasi tentang mengaktifkan perlindungan ancaman untuk kumpulan pengguna Amazon Cognito, lihat Keamanan lanjutan dengan perlindungan ancaman di Panduan Pengembang Amazon Cognito.
[Cognito.5] MFA harus diaktifkan untuk kumpulan pengguna Cognito
Kategori: Lindungi > Manajemen akses yang aman > Otentikasi multi-faktor
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::UserPool
AWS Configaturan: cognito-user-pool-mfa-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito yang dikonfigurasi dengan kebijakan masuk khusus kata sandi telah mengaktifkan autentikasi multi-faktor (MFA). Kontrol gagal jika kumpulan pengguna yang dikonfigurasi dengan kebijakan masuk khusus kata sandi tidak mengaktifkan MFA.
Otentikasi multi-faktor (MFA) menambahkan sesuatu yang Anda miliki faktor otentikasi ke faktor yang Anda ketahui (biasanya nama pengguna dan kata sandi). Untuk pengguna federasi, Amazon Cognito mendelegasikan autentikasi ke penyedia identitas (iDP) dan tidak menawarkan faktor otentikasi tambahan. Namun, jika Anda memiliki pengguna lokal dengan otentikasi kata sandi, mengonfigurasi MFA untuk kumpulan pengguna meningkatkan keamanan mereka.
catatan
Kontrol ini tidak berlaku untuk pengguna gabungan dan pengguna yang masuk dengan faktor tanpa kata sandi.
Remediasi
Untuk informasi tentang cara mengonfigurasi MFA untuk kumpulan pengguna Amazon Cognito, lihat Menambahkan MFA ke kumpulan pengguna di Panduan Pengembang Amazon Cognito.
[Cognito.6] Kumpulan pengguna Cognito harus mengaktifkan perlindungan penghapusan
Kategori: Lindungi > Perlindungan data > Perlindungan penghapusan data
Tingkat keparahan: Sedang
Jenis sumber daya: AWS::Cognito::UserPool
AWS Configaturan: cognito-user-pool-deletion-protection-enabled
Jenis jadwal: Perubahan dipicu
Parameter: Tidak ada
Kontrol ini memeriksa apakah kumpulan pengguna Amazon Cognito mengaktifkan perlindungan penghapusan. Kontrol gagal jika perlindungan penghapusan dinonaktifkan untuk kumpulan pengguna.
Perlindungan penghapusan membantu memastikan bahwa kumpulan pengguna Anda tidak terhapus secara tidak sengaja. Saat Anda mengonfigurasi kumpulan pengguna dengan perlindungan penghapusan, kumpulan tidak dapat dihapus oleh pengguna mana pun. Perlindungan penghapusan mencegah Anda meminta penghapusan kumpulan pengguna kecuali Anda terlebih dahulu memodifikasi kumpulan dan menonaktifkan perlindungan penghapusan.
Remediasi
Untuk mengonfigurasi perlindungan penghapusan kumpulan pengguna Amazon Cognito, lihat Perlindungan penghapusan kumpulan pengguna di Panduan Pengembang Amazon Cognito.
