# SEC02-BP01 Utilizzo di meccanismi di accesso efficaci
<a name="sec_identities_enforce_mechanisms"></a>

 Gli accessi (autenticazione tramite credenziali di accesso) possono presentare dei rischi se non si utilizzano meccanismi come l’autenticazione a più fattori (MFA), soprattutto in situazioni in cui le credenziali di accesso sono state inavvertitamente divulgate o sono facilmente identificabili. Utilizza meccanismi di accesso efficaci per ridurre tali rischi, richiedendo l’MFA e policy sulle password sicure. 

 **Risultato desiderato:** ridurre i rischi di accessi accidentali alle credenziali AWS utilizzando meccanismi di accesso avanzati per gli utenti [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/), l’[utente root Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) e i gestori dell’identità digitale di terze parti. Ciò significa richiedere l’MFA, applicare policy sulle password efficaci e rilevare comportamenti di accesso anomali. 

 **Anti-pattern comuni:** 
+  Nessuna applicazione di policy sulle password efficaci per le proprie identità, comprese password complesse e MFA. 
+  Condivisione delle stesse credenziali tra utenti diversi. 
+  Nessun utilizzo di controlli investigativi per gli accessi sospetti. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all’implementazione
<a name="implementation-guidance"></a>

 Ci sono diversi modi in cui le identità umane possono accedere a AWS. È una best practice di AWS affidarsi a un gestore dell’identità digitale centralizzato utilizzando la federazione (federazione diretta SAML 2.0 tra AWS IAM e l’IdP centralizzato o utilizzando Centro identità AWS IAM) per l’autenticazione ad AWS. In questo caso, stabilisci un processo di accesso sicuro con il gestore dell’identità digitale o con Microsoft Active Directory. 

 Quando apri un Account AWS, inizi con un utente root Account AWS. L’utente root dell’account va utilizzato solo per configurare l’accesso degli utenti (e per le [attività che richiedono l’utente root](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)). È importante attivare l’autenticazione a più fattori (MFA) per l’utente root dell’account subito dopo l’apertura dell’Account AWS e proteggere l’utente root utilizzando la [guida alle best practice di AWS](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_aws_account.html). 

 Centro identità AWS IAM è progettato per gli utenti della forza lavoro; puoi creare e gestire le identità degli utenti all’interno del servizio e proteggere il processo di accesso con l’MFA. AWS Cognito, invece, è progettato per la gestione di identità e accessi del cliente (CIAM), che fornisce pool di utenti e gestore dell’identità digitale per le identità degli utenti esterni nelle applicazioni. 

 Se crei utenti in Centro identità AWS IAM, proteggi il processo di accesso in tale servizio e [attiva MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html). Per le identità degli utenti esterni nelle applicazioni, puoi utilizzare i [pool di utenti di Amazon Cognito](https://docs.aws.amazon.com/cognito/index.html) e proteggere il processo di accesso in tale servizio o attraverso uno dei gestori dell’identità digitale supportati nei pool di utenti di Amazon Cognito. 

 Inoltre, per gli utenti in Centro identità AWS IAM, puoi utilizzare [Accesso verificato da AWS](https://docs.aws.amazon.com/verified-access/latest/ug/what-is-verified-access.html) per fornire un ulteriore livello di sicurezza, verificando l’identità e la postura del dispositivo dell’utente prima che venga concesso l’accesso alle risorse AWS. 

 Se utilizzi utenti [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/), proteggi il processo di accesso utilizzando IAM. 

 Puoi utilizzare contemporaneamente Centro identità AWS IAM e federazione diretta IAM per gestire l’accesso ad AWS. Puoi utilizzare la federazione IAM per gestire l’accesso a Console di gestione AWS e ai servizi e Centro identità IAM per gestire l’accesso ad applicazioni aziendali come QuickSight o Amazon Q Business. 

 Indipendentemente dal metodo di accesso, è fondamentale applicare una policy di accesso efficace. 

### Passaggi dell’implementazione
<a name="implementation-steps"></a>

 Di seguito sono indicate raccomandazioni generali per l’accesso sicuro. Configura le impostazioni effettive in base alla policy aziendale. In alternativa, utilizza uno standard, come [NIST 800-63](https://pages.nist.gov/800-63-3/sp800-63b.html). 
+  Richiedi MFA. È una [best practice IAM richiedere l’MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users) per identità umane e carichi di lavoro. L’attivazione dell’MFA fornisce un ulteriore livello di sicurezza che richiede agli utenti di fornire le credenziali di accesso e un codice OTP (One-Time Password) o una stringa verificata e generata a livello crittografico da un dispositivo hardware. 
+  Applica una lunghezza minima della password, fattore primario nell’efficacia della password. 
+  Applica la complessità delle password in modo che sia più difficile individuarle. 
+  Consenti agli utenti di cambiare le loro password. 
+  Crea identità individuali invece di credenziali condivise. Creando identità individuali, puoi assegnare a ciascun utente un set unico di credenziali di sicurezza. I singoli utenti consentono di sottoporre ad audit l’attività di ciascuno. 

 Consigli del Centro identità IAM: 
+  Il Centro identità IAM offre una [policy sulle password](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html) prestabilita in caso di utilizzo della directory predefinita che stabilisce lunghezza, complessità e requisiti di riutilizzo della password. 
+  [Attiva l’MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-enable-how-to.html) e configura l’impostazione relativa alla sensibilità al contesto o all’attivazione costante per l’MFA quando l’origine di identità è la directory predefinita, AWS Managed Microsoft AD o AD Connector. 
+  Consenti agli utenti di [registrare i propri dispositivi MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-allow-user-registration.html). 

 Consigli sulle directory dei pool di utenti Amazon Cognito: 
+  Configura le impostazioni relative alla [complessità della password](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html). 
+  [Richiedi l’MFA](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) per gli utenti. 
+  Le [impostazioni di sicurezza avanzate](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html) dei pool di utenti di Amazon Cognito offrono funzionalità come l’[autenticazione adattiva](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-adaptive-authentication.html), che può bloccare gli accessi sospetti. 

 Suggerimenti per l’utente IAM: 
+  Idealmente stai utilizzando il Centro identità IAM o la federazione diretta. Tuttavia, potrebbero essere necessari utenti IAM. In tal caso, [imposta una policy sulle password](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) per gli utenti IAM. Puoi utilizzare la policy sulle password per definire requisiti quali la lunghezza minima o la necessità che la password richieda caratteri non alfabetici. 
+  Crea una policy IAM per [applicare l’accesso MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1): in questo modo, gli utenti potranno gestire le proprie password e i propri dispositivi MFA. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html) 
+  [SEC02-BP04 Fai affidamento su un gestore dell’identità digitale centralizzato](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) 
+  [SEC03-BP08 Condivisione delle risorse in modo sicuro all’interno dell’organizzazione](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html) 

 **Documenti correlati:** 
+  [AWS IAM Identity Center Password Policy](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html) 
+  [IAM user password policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) 
+  [Setting the Account AWS root user password](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 
+  [Amazon Cognito password policy](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html) 
+  [AWS credentials](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html) 
+  [IAM security best practices](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 

 **Video correlati:** 
+  [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)