亚马逊云科技等保基础服务：亚马逊云科技管理控制台自查和加固指南（二）

概述

在《亚马逊云科技等保基础服务：亚马逊云科技管理控制台自查和加固指南（一）》中我们讨论了 HAQM IAM 用户登录和联合身份登录对客户等保自评估的责任影响，接下来我们将以等保三级要求，探讨不同责任模式下，如何进行亚马逊云科技管理控制台的等保自查和加固。

亚马逊云科技管理控制台等保三级自查及加固

一．身份鉴别

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换

对用户进行身份鉴别是防止非法入侵的一种基本措施，系统必须对登录的用户进行身份认证，并为每个登录用户提供具有唯一性的身份标识，以便对该用户的操作行为进行审计。同时为了降低非授权用户使用暴力猜测等手段破解用户口令的可能，用户口令要满足一定的复杂性且定期更换。

在使用联合身份登录场景下，因为用户的身份来源均由客户自己管理的身份提供商（IdP）（后面统一用“客户”指代客户或者客户自己管理的身份提供商，不再做区分）自行负责，因此应到各自使用的身份系统中检查用户身份标识是否具有唯一性（不同系统可能采用不同的方式来唯一标识用户，例如有些会直接使用用户名、有些则使用用户 ID、或者有些使用用户名@信任 IP 地址等方式等），用户口令是否限制口令长度不小于 8 位、口令复杂度要求包含字母、数字和特殊字符，并要求定期更换口令。

在使用 HAQM IAM 用户登录场景下，IAM 用户的身份来源由客户在 HAQM IAM 自行管理，客户可以查看 HAQM IAM 控制的密码策略，检查是否设置了安全的密码策略，如下图所示。

HAQM IAM 的默认密码策略要求长度 8 位以上、包含三种字符类型、不得与用户名及联系邮箱地址相同，且永不过期。此外客户还能设置安全性更低的密码策略，HAQM IAM 密码策略支持最低的密码策略是仅要求口令长度 6 位，复杂度不做任何要求。

为满足等保要求，建议客户应将 HAQM IAM 密码策略设置成如下：

其中，密码有效期在启用后，对于已有的 IAM 用户会以其最后一次更改密码的时间开始算起，例如，如果一个 IAM 用户在 60 天前更改了密码，并且设置的密码有效期为 180 天，那么该用户还由 120 天的时间可以继续使用当前密码，之后就必须再次更改密码才能继续登录亚马逊云科技管理控制台。

此外，除了口令，如果 IAM 用户还启用了用户访问密钥，还应检查是否定期轮换访问密钥，建议用户访问密钥至少应每1年轮换一次，轮换方法请查看更新访问密钥。客户可以在 HAQM IAM 控制台中生成并下载凭证报告集中检查和评估用户的口令、访问密钥使用情况，样例如下：

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施

暴力破解是一种常见的攻击用户登录口令的手段之一，攻击者会使用工具或脚本不断尝试各种口令组合，试图猜解正确的口令。因此需要提供登录失败处理功能，限制非法登录次数，从而降低身份口令被暴力破解的风险。

在使用联合身份登录场景下，客户应到其使用的身份系统中查看是否配置了用户登录失败处理策略，限制用户的非法登录尝试以及空闲会话超时自动退出。

在使用 HAQM IAM 用户登录场景下，HAQM IAM 用户登录的登录失败处理和空闲会话超时自动退出由亚马逊云科技进行管理。其中，在登录失败处理方面，为避免可能产生对 HAQM IAM 用户的 DoS 攻击，HAQM IAM 不支持直接对账户锁定，经过实际测试，IAM 用户在连续登录失败 10 次后，HAQM IAM 将开始限制登录，后续每登录失败一次限制时间增加 4 秒，最大 10 秒，继续登录失败将重置倒数计时器，在此期间使用正确密码也无法登录，对非法登录尝试进行了限制。此外，客户还可参考利用 Serverless 架构实现 AWS 控制台密码锁定策略实现自定义的密码锁定策略。

在用户空闲会话超时自动退出方面，亚马逊云科技管理控制台设置 12 小时自动过期，该时间参数在 HAQM IAM 用户登录场景下无法调整。

c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

在对系统通过网络进行远程登录管理时，用户名和口令需要通过网络传输到后台以进行身份验证，为避免口令在传输中被窃取，不应使用明文传送的 HTTP 协议，而应使用 HTTPS 加密协议进行交互式管理。

在使用联合身份登录场景下，应检查身份系统登录界面是否采用 HTTPS 协议或者其他加密协议（如 VPN 等）对传输的用户口令信息加密保护，防止明文传输。

在使用 HAQM IAM 用户登录场景下，亚马逊云科技管理控制台默认使用 HTTPS 加密协议进行远程管理，可防止鉴别信息在网络传输中被窃听。

d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现

为防止单一鉴别场景下因口令信息泄漏、丢失等所可能导致的身份欺骗威胁事件的发生，应采用组合的鉴别技术对登录用户进行身份鉴别。这里的密码技术指密码学（Cryptography）技术，而不是登录时所用的登录密码（Password），常见的密码鉴别技术案例有基于国密算法的数字证书或数字令牌。

在使用联合身份登录场景下，应到各自使用的身份系统中检查是否对登录用户配置使用 MFA 认证功能，且其中一种方式为使用密码技术的认证方式。

在使用 HAQM IAM 用户登录场景下，中国区目前仅支持基于 TOTP 的虚拟身份验证器所实现的多因素身份认证认证，作为最佳安全实践，建议客户开启多因素身份认证，我们可以在 HAQM IAM 控制台中生成并下载凭证报告集中审计和评估用户多重身份验证的启用情况（mfa_active 列）。

对于未启用 MFA 的 IAM 用户，可在 HAQM IAM 用户的安全凭证中手动添加，详细操作步骤可查看在 HAQM Web Services Management Console 中分配虚拟 MFA 设备。

总结

本文基于等保三级安全计算环境中的身份鉴别要求，详细说明如何对亚马逊云科技管理控制台进行自查和整改，给客户提供自主进行等保自查和整改的思路。后面笔者将继续基于等保三级安全计算环境中的剩余要求，演示亚马逊云科技管理控制台的等保自查和整改。

本篇作者