기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Cognito에 대한 Security Hub CSPM 제어
이러한 AWS Security Hub CSPM제어는 Amazon Cognito 서비스 및 리소스를 평가합니다. 컨트롤을 전혀 사용하지 못할 수 있습니다AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.
[Cognito.1] Cognito 사용자 풀에는 표준 인증을 위한 전체 기능 적용 모드로 위협 방지가 활성화되어 있어야 합니다
범주: 보호 > 보안 액세스 관리
심각도: 중간
리소스 유형: AWS::Cognito::UserPool
AWS Config 규칙: cognito-user-pool-advanced-security-enabled
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
|---|---|---|---|---|
|
|
제어가 확인하는 위협 방지 적용 모드입니다. |
문자열 |
|
|
이 제어는 Amazon Cognito 사용자 풀에 위협 방지가 활성화되고 표준 인증을 위한 적용 모드가 전체 기능으로 설정되어 있는지 확인합니다. 사용자 풀에 위협 방지 기능이 비활성화되어 있거나 표준 인증을 위한 적용 모드가 전체 기능으로 설정되지 않은 경우 제어가 실패합니다. 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub CSPM은 표준 인증을 ENFORCED 위해 전체 함수로 설정된 적용 모드에의 기본값을 사용합니다.
Amazon Cognito 사용자 풀을 생성한 후 위협 방지를 활성화하고 다양한 위험에 대응하여 취하는 조치를 사용자 지정할 수 있습니다. 또는 감사 모드를 사용하여 보안 완화를 적용하지 않고 탐지된 위험에 대한 지표를 수집할 수 있습니다. 감사 모드에서 위협 방지는 Amazon CloudWatch에 지표를 게시합니다. Amazon Cognito가 첫 번째 이벤트를 생성한 후에 지표를 볼 수 있습니다.
문제 해결
Amazon Cognito 사용자 풀에 대한 위협 방지 활성화에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 위협 방지를 사용한 고급 보안을 참조하세요.
[Cognito.2] Cognito ID 풀은 인증되지 않은 ID를 허용하면 안 됩니다
범주: 보호 > 보안 액세스 관리 > 비밀번호 없는 인증
심각도: 중간
리소스 유형: AWS::Cognito::IdentityPool
AWS Config 규칙: cognito-identity-pool-unauth-access-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon Cognito ID 풀이 인증되지 않은 ID를 허용하도록 구성되어 있는지 확인합니다. ID 풀에서 게스트 액세스가 활성화되어 있는 경우(AllowUnauthenticatedIdentities 파라미터가 true로 설정됨) 제어가 실패합니다.
Amazon Cognito 자격 증명 풀이 인증되지 않은 자격 증명을 허용하는 경우 자격 증명 풀은 자격 증명 공급자(게스트)를 통해 인증하지 않은 사용자에게 임시 AWS자격 증명을 제공합니다. 이렇게 하면 AWS리소스에 대한 익명 액세스를 허용하므로 보안 위험이 발생합니다. 게스트 액세스를 비활성화하면 제대로 인증된 사용자만 AWS리소스에 액세스할 수 있으므로 무단 액세스 및 잠재적 보안 침해의 위험이 줄어듭니다. 모범 사례로 ID 풀은 지원되는 ID 제공업체를 통해 인증하도록 요구해야 합니다. 인증되지 않은 액세스가 필요한 경우 인증되지 않은 ID의 권한을 신중하게 제한하고 해당 사용을 정기적으로 검토하고 모니터링하는 것이 중요합니다.
문제 해결
Amazon Cognito ID 풀에서 게스트 액세스를 비활성화하는 방법에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 게스트 액세스 활성화 또는 비활성화를 참조하세요.
[Cognito.3] Cognito 사용자 풀의 암호 정책은 강력한 구성을 사용해야 합니다
범주: 보호 > 보안 액세스 관리
심각도: 중간
리소스 유형: AWS::Cognito::UserPool
AWS Config 규칙: cognito-user-pool-password-policy-check
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub CSPM 기본값 |
|---|---|---|---|---|
|
|
암호가 포함해야 할 최소 문자 수입니다. | Integer |
|
|
|
|
암호에 소문자가 1개 이상이어야 합니다. | 부울 |
|
|
|
|
암호에 대문자가 1개 이상이어야 합니다. | 부울 |
|
|
|
|
암호에 숫자가 1개 이상이어야 합니다. | 부울 |
|
|
|
|
암호에 기호가 1개 이상이어야 합니다. | 부울 |
|
|
|
|
암호가 만료까지 존재할 수 있는 최대 일수입니다. | Integer |
|
|
이 제어는 Amazon Cognito 사용자 풀의 암호 정책이 암호 정책의 권장 설정에 따른 강력한 암호를 사용하도록 요구하는지 여부를 확인합니다. 사용자 풀의 암호 정책이 강력한 암호를 요구하지 않는 경우 제어가 실패합니다. 선택적으로 제어가 확인하는 정책 설정에 사용자 지정 값을 지정할 수 있습니다.
강력한 암호는 Amazon Cognito 사용자 풀의 보안 모범 사례입니다. 약한 암호를 사용하면 사용자의 자격 증명이 암호를 추측하여 데이터에 액세스하려고 시도하는 시스템에 노출될 수 있습니다. 인터넷에 공개된 애플리케이션의 경우 특히 그렇습니다. 암호 정책은 사용자 디렉터리 보안의 핵심 요소입니다. 암호 정책을 사용하면 사용자의 보안 표준 및 요구 사항을 준수하는 암호 복잡성 및 기타 설정을 요구하도록 사용자 풀을 구성할 수 있습니다.
문제 해결
Amazon Cognito 사용자 풀의 암호 정책을 생성하거나 업데이트하는 방법에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 사용자 풀 암호 요구 사항 추가를 참조하세요.
[Cognito.4] Cognito 사용자 풀에는 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지가 활성화되어 있어야 합니다.
범주: 보호 > 보안 액세스 관리
심각도: 중간
리소스 유형: AWS::Cognito::UserPool
AWS Config 규칙: cognito-userpool-cust-auth-threat-full-check
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 사용자 지정 인증을 위해 전체 함수로 설정된 적용 모드로 Amazon Cognito 사용자 풀에 위협 방지 기능이 활성화되어 있는지 확인합니다. 사용자 풀에 위협 방지 기능이 비활성화되어 있거나 적용 모드가 사용자 지정 인증을 위한 전체 함수로 설정되지 않은 경우 제어가 실패합니다.
위협 방지는 이전에 고급 보안 기능으로 불렸으며, 사용자 풀에서 원치 않는 활동에 대한 모니터링 도구 세트이며 잠재적으로 악의적인 활동을 자동으로 종료하는 구성 도구입니다. Amazon Cognito 사용자 풀을 생성한 후 사용자 지정 인증을 위한 전체 함수 적용 모드로 위협 방지를 활성화하고 다양한 위험에 대응하여 수행되는 작업을 사용자 지정할 수 있습니다. 전체 기능 모드에는 원치 않는 활동 및 손상된 암호를 감지하기 위한 자동 반응 세트가 포함되어 있습니다.
문제 해결
Amazon Cognito 사용자 풀에 대한 위협 방지 활성화에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 위협 방지를 사용한 고급 보안을 참조하세요.
[Cognito.5] Cognito 사용자 풀에 대해 MFA를 활성화해야 합니다.
범주: 보호 > 보안 액세스 관리 > 다중 인증
심각도: 중간
리소스 유형: AWS::Cognito::UserPool
AWS Config 규칙: cognito-user-pool-mfa-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 암호 전용 로그인 정책으로 구성된 Amazon Cognito 사용자 풀에 다중 인증(MFA)이 활성화되어 있는지 확인합니다. 암호 전용 로그인 정책으로 구성된 사용자 풀에 MFA가 활성화되지 않은 경우 제어가 실패합니다.
다중 인증(MFA)은 사용자가 알고 있는 요소(일반적으로 사용자 이름 및 암호)에 인증 요소가 있는 요소를 추가합니다. 페더레이션 사용자의 경우 Amazon Cognito는 자격 증명 공급자(IdP)에 인증을 위임하며 추가 인증 요소를 제공하지 않습니다. 그러나 암호 인증을 사용하는 로컬 사용자가 있는 경우 사용자 풀에 대해 MFA를 구성하면 보안이 향상됩니다.
참고
암호 없는 요소로 로그인하는 페더레이션 사용자 및 사용자에게는이 제어가 적용되지 않습니다.
문제 해결
Amazon Cognito 사용자 풀에 대해 MFA를 구성하는 방법에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 사용자 풀에 MFA 추가를 참조하세요.
[Cognito.6] Cognito 사용자 풀에는 삭제 방지 기능이 활성화되어 있어야 합니다.
범주: 보호 > 데이터 보호 > 데이터 삭제 보호
심각도: 중간
리소스 유형: AWS::Cognito::UserPool
AWS Config 규칙: cognito-user-pool-deletion-protection-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon Cognito 사용자 풀에 삭제 방지 기능이 활성화되어 있는지 확인합니다. 사용자 풀에 대해 삭제 방지가 비활성화된 경우 제어가 실패합니다.
삭제 방지 기능은 사용자 풀이 실수로 삭제되지 않도록 하는 데 도움이 됩니다. 삭제 방지 기능을 사용하여 사용자 풀을 구성하면 사용자가 풀을 삭제할 수 없습니다. 삭제 방지 기능을 사용하면 먼저 풀을 수정하고 삭제 방지 기능을 비활성화하지 않는 한 사용자 풀 삭제를 요청할 수 없습니다.
문제 해결
Amazon Cognito 사용자 풀에 대한 삭제 보호를 구성하려면 Amazon Cognito 개발자 안내서의 사용자 풀 삭제 보호를 참조하세요.
