As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles de CSPM do Security Hub para o Amazon Cognito
Esses AWS Security Hub CSPM controles avaliam o serviço e os recursos do Amazon Cognito. Os controles podem não estar disponíveis em todosRegiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.
[Cognito.1] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de aplicação de função completa para a autenticação padrão
Categoria: Proteger > Gerenciamento de acesso seguro
Gravidade: média
Tipo de recurso: AWS::Cognito::UserPool
Regra do AWS Config: cognito-user-pool-advanced-security-enabled
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
|
|
O modo de aplicação da proteção contra ameaças que o controle verifica. |
String |
|
|
Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção contra ameaças ativada com o modo de aplicação definido como de função completa para a autenticação padrão. O controle falhará se o grupo de usuários tiver a proteção contra ameaças desativada ou se o modo de aplicação não estiver configurado para função completa para a autenticação padrão. A menos que você forneça valores de parâmetros personalizados, o Security Hub CSPM usa o valor padrão de ENFORCED para o modo de imposição definido como função completa para autenticação padrão.
Depois de criar um grupo de usuários do Amazon Cognito, é possível ativar a proteção contra ameaças e personalizar as ações tomadas em resposta a riscos diferentes. Outra opção é usar o modo de auditoria para coletar métricas sobre riscos detectados sem aplicar mitigação de segurança. No modo de auditoria, a proteção contra ameaças publica métricas na Amazon CloudWatch. Você verá métricas depois que o Amazon Cognito gerar o primeiro evento.
Correção
Para obter informações sobre a ativação da proteção contra ameaças para um grupo de usuários do Amazon Cognito, consulte Segurança avançada com proteção contra ameaças no Guia do desenvolvedor do Amazon Cognito.
[Cognito.2] Os bancos de identidades do Cognito não devem permitir identidades não autenticadas
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação sem senha
Gravidade: média
Tipo de recurso: AWS::Cognito::IdentityPool
Regra do AWS Config: cognito-identity-pool-unauth-access-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um banco de identidades do Amazon Cognito está configurado para permitir identidades não autenticadas. O controle falhará se o acesso de convidado for ativado (o AllowUnauthenticatedIdentities parâmetro está definido como true) para o banco de identidades.
Se um grupo de identidades do Amazon Cognito permitir identidades não autenticadas, o grupo de identidades fornecerá AWS credenciais temporárias aos usuários que não se autenticaram por meio de um provedor de identidade (convidados). Isso cria riscos de segurança porque permite acesso anônimo aos AWS recursos. Se você desativar o acesso de convidado, poderá ajudar a garantir que somente usuários devidamente autenticados possam acessar seus AWS recursos, o que reduz o risco de acesso não autorizado e possíveis violações de segurança. Como prática recomendada, um banco de identidades deve exigir autenticação por meio de provedores de identidade com suporte. Se o acesso não autenticado for necessário, é importante restringir cuidadosamente as permissões para identidades não autenticadas e revisar e monitorar seu uso regularmente.
Correção
Para obter informações sobre a desativação do acesso de convidados para um banco de identidades do Amazon Cognito, consulte Ativação ou desativação do acesso de convidados no Guia do desenvolvedor do Amazon Cognito.
[Cognito. 3] As políticas de senha para grupos de usuários do Cognito devem ter configurações fortes
Categoria: Proteger > Gerenciamento de acesso seguro
Gravidade: média
Tipo de recurso: AWS::Cognito::UserPool
Regra do AWS Config: cognito-user-pool-password-policy-check
Tipo de programação: acionado por alterações
Parâmetros:
| Parâmetro | Description | Tipo | Valores personalizados permitidos | Valor padrão do CSPM do Security Hub |
|---|---|---|---|---|
|
|
O número mínimo de caracteres que uma senha deve conter. | Inteiro |
|
|
|
|
Exige pelo menos um caractere minúsculo na senha. | Booleano |
|
|
|
|
Exige pelo menos um caractere maiúsculo na senha. | Booleano |
|
|
|
|
Exige pelo menos um número na senha. | Booleano |
|
|
|
|
Exige pelo menos um símbolo na senha. | Booleano |
|
|
|
|
O número máximo de dias que uma senha pode existir antes de expirar. | Inteiro |
|
|
Esse controle verifica se a política de senha para um grupo de usuários do Amazon Cognito exige o uso de senhas fortes, com base nas configurações recomendadas para políticas de senha. O controle falhará se a política de senha do grupo de usuários não exigir senhas fortes. Opcionalmente, é possível especificar valores personalizados para as configurações de política que o controle verifica.
Senhas fortes são uma prática recomendada de segurança para grupos de usuários do Amazon Cognito. Senhas fracas podem expor as credenciais dos usuários a sistemas que adivinhem senhas e tentem acessar dados. Esse é especialmente o caso de aplicações abertos à Internet. As políticas de senha são um elemento central da segurança dos diretórios de usuários. Usando uma política de senha, é possível configurar um grupo de usuários para exigir a complexidade da senha e outras configurações que estejam em conformidade com seus padrões e requisitos de segurança.
Correção
Para obter informações sobre como criar ou atualizar a política de senha para um grupo de usuários do Amazon Cognito, consulte Adição de requisitos de senha ao grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
[Cognito.4] Os grupos de usuários do Cognito devem ter a proteção contra ameaças ativada com o modo de fiscalização de funções completas para autenticação personalizada
Categoria: Proteger > Gerenciamento de acesso seguro
Gravidade: média
Tipo de recurso: AWS::Cognito::UserPool
Regra do AWS Config: cognito-userpool-cust-auth-threat-full-check
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção contra ameaças ativada com o modo de fiscalização definido como função completa para autenticação personalizada. O controle falhará se o grupo de usuários tiver a proteção contra ameaças desativada ou se o modo de fiscalização não estiver configurado para funcionar totalmente para autenticação personalizada.
A proteção contra ameaças, anteriormente chamada de recursos avançados de segurança, é um conjunto de ferramentas de monitoramento de atividades indesejadas em seu grupo de usuários e ferramentas de configuração para encerrar automaticamente atividades possivelmente mal-intencionadas. Depois de criar um grupo de usuários do Amazon Cognito, você pode ativar a proteção contra ameaças com o modo de imposição de funções completas para autenticação personalizada e personalizar as ações que são tomadas em resposta a diferentes riscos. O modo de função completa inclui um conjunto de reações automáticas para detectar atividades indesejadas e senhas comprometidas.
Correção
Para obter informações sobre a ativação da proteção contra ameaças para um grupo de usuários do Amazon Cognito, consulte Segurança avançada com proteção contra ameaças no Guia do desenvolvedor do Amazon Cognito.
[Cognito.5] O MFA deve ser habilitado para grupos de usuários do Cognito
Categoria: Proteger > Gerenciamento de acesso seguro > Autenticação multifatorial
Gravidade: média
Tipo de recurso: AWS::Cognito::UserPool
Regra do AWS Config: cognito-user-pool-mfa-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um grupo de usuários do Amazon Cognito configurado com uma política de login somente por senha tem a autenticação multifator (MFA) ativada. O controle falhará se o grupo de usuários configurado com uma política de login somente por senha não tiver o MFA habilitado.
A autenticação multifatorial (MFA) adiciona um fator de autenticação “algo que você tem” ao fator “algo que você sabe” (normalmente nome de usuário e senha). Para usuários federados, o Amazon Cognito delega a autenticação ao provedor de identidade (IdP) e não oferece fatores adicionais de autenticação. No entanto, se você tiver usuários locais com autenticação por senha, a configuração da MFA para o grupo de usuários aumentará sua segurança.
nota
Esse controle não é aplicável para usuários federados e usuários que fazem login com fatores sem senha.
Correção
Para obter informações sobre como configurar o MFA para um grupo de usuários do Amazon Cognito, consulte Adicionar MFA a um grupo de usuários no Guia do desenvolvedor do Amazon Cognito.
[Cognito.6] Os grupos de usuários do Cognito devem ter a proteção de exclusão ativada
Categoria: Proteger > Proteção de dados > Proteção contra exclusão de dados
Gravidade: média
Tipo de recurso: AWS::Cognito::UserPool
Regra do AWS Config: cognito-user-pool-deletion-protection-enabled
Tipo de programação: acionado por alterações
Parâmetros: nenhum
Esse controle verifica se um grupo de usuários do Amazon Cognito tem a proteção de exclusão ativada. O controle falhará se a proteção de exclusão estiver desativada para o grupo de usuários.
A proteção contra exclusão ajuda a garantir que seu grupo de usuários não seja excluído acidentalmente. Quando você configura um grupo de usuários com proteção contra exclusão, o pool não pode ser excluído por nenhum usuário. A proteção contra exclusão impede que você solicite a exclusão de um grupo de usuários, a menos que você primeiro modifique o pool e desative a proteção contra exclusão.
Correção
Para configurar a proteção contra exclusão de um grupo de usuários do Amazon Cognito, consulte Proteção contra exclusão de grupos de usuários no Guia do desenvolvedor do Amazon Cognito.
