Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli CSPM del Security Hub per Amazon Cognito
Questi AWS Security Hub CSPM controlli valutano il servizio e le risorse Amazon Cognito. I controlli potrebbero non essere disponibili in tuttiRegioni AWS. Per ulteriori informazioni, consulta Disponibilità dei controlli per regione.
[Cognito.1] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione standard
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::Cognito::UserPool
Regola AWS Config: cognito-user-pool-advanced-security-enabled
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
|
|
La modalità di applicazione della protezione dalle minacce verificata dal controllo. |
Stringa |
|
|
Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione dalle minacce attivata con la modalità di imposizione impostata sulla piena funzionalità per l'autenticazione standard. Il controllo fallisce se nel pool di utenti la protezione dalle minacce è disattivata o se la modalità di imposizione non è impostata sulla funzionalità completa per l'autenticazione standard. A meno che non si forniscano valori di parametro personalizzati, Security Hub CSPM utilizza il valore predefinito di ENFORCED for enforcement mode impostato su full function per l'autenticazione standard.
Dopo aver creato un pool di utenti Amazon Cognito, puoi attivare la protezione dalle minacce e personalizzare le azioni intraprese in risposta a diversi rischi. In alternativa, puoi utilizzare la modalità di controllo per raccogliere metriche sui rischi rilevati senza applicare alcuna mitigazione della sicurezza. In modalità di controllo, la protezione dalle minacce pubblica i parametri su Amazon. CloudWatch Puoi visualizzare le metriche dopo che Amazon Cognito ha generato il suo primo evento.
Correzione
Per informazioni sull'attivazione della protezione dalle minacce per un pool di utenti di Amazon Cognito, consulta Sicurezza avanzata con protezione dalle minacce nella Amazon Cognito Developer Guide.
[Cognito.2] I pool di identità Cognito non dovrebbero consentire identità non autenticate
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione senza password
Gravità: media
Tipo di risorsa: AWS::Cognito::IdentityPool
Regola AWS Config: cognito-identity-pool-unauth-access-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un pool di identità di Amazon Cognito è configurato per consentire identità non autenticate. Il controllo fallisce se l'accesso guest è attivato (il AllowUnauthenticatedIdentities parametro è impostato sutrue) per il pool di identità.
Se un pool di identità di Amazon Cognito consente identità non autenticate, il pool di identità fornisce AWS credenziali temporanee agli utenti che non si sono autenticati tramite un provider di identità (ospiti). Ciò crea rischi per la sicurezza perché consente l'accesso anonimo alle risorse. AWS Se disattivi l'accesso come ospite, puoi contribuire a garantire che solo gli utenti correttamente autenticati possano accedere alle tue AWS risorse, riducendo il rischio di accessi non autorizzati e potenziali violazioni della sicurezza. Come best practice, un pool di identità dovrebbe richiedere l'autenticazione tramite provider di identità supportati. Se è necessario un accesso non autenticato, è importante limitare attentamente le autorizzazioni per le identità non autenticate e rivederne e monitorarne regolarmente l'utilizzo.
Correzione
Per informazioni sulla disattivazione dell'accesso guest per un pool di identità di Amazon Cognito, consulta Attivare o disattivare l'accesso guest nella Amazon Cognito Developer Guide.
[Cognito.3] Le politiche relative alle password per i pool di utenti di Cognito devono avere configurazioni avanzate
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::Cognito::UserPool
Regola AWS Config: cognito-user-pool-password-policy-check
Tipo di pianificazione: modifica attivata
Parametri:
| Parametro | Description | Tipo | Valori personalizzati consentiti | Valore predefinito CSPM di Security Hub |
|---|---|---|---|---|
|
|
Il numero minimo di caratteri che una password deve contenere. | Numero intero |
|
|
|
|
Richiede almeno un carattere minuscolo in una password. | Booleano |
|
|
|
|
Richiede almeno un carattere maiuscolo in una password. | Booleano |
|
|
|
|
Richiede almeno un numero in una password. | Booleano |
|
|
|
|
Richiede almeno un simbolo in una password. | Booleano |
|
|
|
|
Il numero massimo di giorni in cui una password può esistere prima della scadenza. | Numero intero |
|
|
Questo controllo verifica se la politica delle password per un pool di utenti di Amazon Cognito richiede l'uso di password complesse, in base alle impostazioni consigliate per le politiche di password. Il controllo ha esito negativo se la politica delle password per il pool di utenti non richiede password complesse. Facoltativamente, è possibile specificare valori personalizzati per le impostazioni dei criteri controllate dal controllo.
Le password complesse sono una best practice di sicurezza per i pool di utenti di Amazon Cognito. Le password deboli possono esporre le credenziali degli utenti a sistemi che indovinano le password e cercano di accedere ai dati. Questo è particolarmente vero per le applicazioni aperte a Internet. Le politiche relative alle password sono un elemento centrale della sicurezza degli elenchi degli utenti. Utilizzando una politica in materia di password, è possibile configurare un pool di utenti in modo da richiedere la complessità delle password e altre impostazioni conformi agli standard e ai requisiti di sicurezza.
Correzione
Per informazioni sulla creazione o l'aggiornamento della politica di password per un pool di utenti di Amazon Cognito, consulta Aggiungere i requisiti di password del pool di utenti nella Amazon Cognito Developer Guide.
[Cognito.4] I pool di utenti di Cognito dovrebbero avere la protezione dalle minacce attivata con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata
Categoria: Protezione > Gestione degli accessi sicuri
Gravità: media
Tipo di risorsa: AWS::Cognito::UserPool
Regola AWS Config: cognito-userpool-cust-auth-threat-full-check
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione dalle minacce attivata con la modalità di imposizione impostata sulla funzionalità completa per l'autenticazione personalizzata. Il controllo fallisce se il pool di utenti ha la protezione dalle minacce disabilitata o se la modalità di imposizione non è impostata sulla funzionalità completa per l'autenticazione personalizzata.
La protezione dalle minacce, precedentemente denominata funzionalità di sicurezza avanzate, è un insieme di strumenti di monitoraggio delle attività indesiderate nel pool di utenti e strumenti di configurazione per arrestare automaticamente le attività potenzialmente dannose. Dopo aver creato un pool di utenti Amazon Cognito, puoi attivare la protezione dalle minacce con la modalità di imposizione completa delle funzioni per l'autenticazione personalizzata e personalizzare le azioni intraprese in risposta a diversi rischi. La modalità con funzionalità complete include una serie di reazioni automatiche per rilevare attività indesiderate e password compromesse.
Correzione
Per informazioni sull'attivazione della protezione dalle minacce per un pool di utenti di Amazon Cognito, consulta Sicurezza avanzata con protezione dalle minacce nella Amazon Cognito Developer Guide.
[Cognito.5] L'MFA deve essere abilitata per i pool di utenti Cognito
Categoria: Protezione > Gestione sicura degli accessi > Autenticazione a più fattori
Gravità: media
Tipo di risorsa: AWS::Cognito::UserPool
Regola AWS Config: cognito-user-pool-mfa-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un pool di utenti di Amazon Cognito configurato con una politica di accesso con sola password ha l'autenticazione a più fattori (MFA) abilitata. Il controllo ha esito negativo se il pool di utenti configurato con un criterio di accesso basato sulla sola password non ha l'MFA abilitata.
L'autenticazione a più fattori (MFA) aggiunge un fattore di autenticazione «qualcosa che possiedi» al fattore «qualcosa che conosci» (in genere nome utente e password). Per gli utenti federati, Amazon Cognito delega l'autenticazione al provider di identità (IdP) e non offre fattori di autenticazione aggiuntivi. Tuttavia, se si dispone di utenti locali con autenticazione tramite password, la configurazione dell'MFA per il pool di utenti ne aumenta la sicurezza.
Nota
Questo controllo non è applicabile agli utenti federati e agli utenti che accedono con fattori privi di password.
Correzione
Per informazioni su come configurare l'autenticazione a più fattori per un pool di utenti di Amazon Cognito, consulta Adding MFA a un pool di utenti nella Amazon Cognito Developer Guide.
[Cognito.6] I pool di utenti Cognito devono avere la protezione dall'eliminazione abilitata
Categoria: Proteggi > Protezione dei dati > Protezione dalla cancellazione dei dati
Gravità: media
Tipo di risorsa: AWS::Cognito::UserPool
Regola AWS Config: cognito-user-pool-deletion-protection-enabled
Tipo di pianificazione: modifica attivata
Parametri: nessuno
Questo controllo verifica se un pool di utenti di Amazon Cognito ha la protezione da eliminazione abilitata. Il controllo fallisce se la protezione da eliminazione è disabilitata per il pool di utenti.
La protezione dall'eliminazione aiuta a garantire che il pool di utenti non venga eliminato accidentalmente. Quando si configura un pool di utenti con protezione dall'eliminazione, il pool non può essere eliminato da nessun utente. La protezione da eliminazione impedisce di richiedere l'eliminazione di un pool di utenti a meno che non si modifichi prima il pool e si disattivi la protezione dall'eliminazione.
Correzione
Per configurare la protezione dall'eliminazione per un pool di utenti di Amazon Cognito, consulta Protezione dall'eliminazione del pool di utenti nella Amazon Cognito Developer Guide.
