北京2025年2月11日 /美通社/ -- 亞馬遜云科技從一開(kāi)始就將安全為本的原則融入進(jìn)其服務(wù)的構(gòu)建中,包括為客戶(hù)設(shè)置高標(biāo)準(zhǔn)的默認(rèn)安全功能。在賬戶(hù)安全的眾多要素中,強(qiáng)大的身份驗(yàn)證是賬戶(hù)安全的基礎(chǔ)組成部分。多因素驗(yàn)證(MFA)是防止未經(jīng)授權(quán)人員訪(fǎng)問(wèn)系統(tǒng)或數(shù)據(jù)的最簡(jiǎn)單且有效的方法之一�。我們發(fā)現(xiàn),啟用MFA可以防止超過(guò)99%的密碼相關(guān)攻擊。亞馬遜云科技自首次倡導(dǎo)客戶(hù)在Amazon Management Console為根用戶(hù)設(shè)置MFA以來(lái),在增強(qiáng)客戶(hù)賬戶(hù)安全性方面已經(jīng)取得顯著的進(jìn)展�。
近年來(lái),典型的工作場(chǎng)所已經(jīng)發(fā)生了顯著變化�。隨著混合工作模式和自帶設(shè)備(BYOD)政策的普及,安全界限的界定變得更加錯(cuò)綜復(fù)雜�。眾多企業(yè)已經(jīng)調(diào)整了安全邊界——強(qiáng)化基于身份的訪(fǎng)問(wèn)控制。然而�,這一變化也導(dǎo)致用戶(hù)密碼成為了新的安全短板。用戶(hù)有時(shí)會(huì)為了使用方便而選擇低復(fù)雜度的密碼�,或者在多個(gè)網(wǎng)站上重復(fù)使用復(fù)雜的密碼�,這在網(wǎng)站發(fā)生數(shù)據(jù)泄露時(shí)會(huì)大幅增加風(fēng)險(xiǎn)�。
亞馬遜云科技致力于不斷提升客戶(hù)的安全防護(hù)能力,以抵御日益復(fù)雜的網(wǎng)絡(luò)威脅�。為此,亞馬遜云科技實(shí)施了一系列措施�,包括監(jiān)控網(wǎng)絡(luò)資源,一旦發(fā)現(xiàn)憑據(jù)泄露�,立即阻止客戶(hù)在亞馬遜云科技上使用這些憑據(jù);杜絕使用易被破解的弱安全性密碼�,并始終倡導(dǎo)避免使用默認(rèn)密碼。此外�,對(duì)于尚未啟用MFA的客戶(hù),若檢測(cè)到異常登錄行為�,亞馬遜云科技將通過(guò)其首選電子郵件地址發(fā)送一次性PIN碼,以增強(qiáng)登錄驗(yàn)證的安全性�。盡管采取了這些措施,我們還必須認(rèn)識(shí)到密碼本身仍然存在風(fēng)險(xiǎn)�。
我們識(shí)別了兩個(gè)關(guān)鍵機(jī)會(huì)來(lái)改善這種情況。首先�,加速推動(dòng)客戶(hù)采用MFA,特別是針對(duì)擁有高權(quán)限的用戶(hù)�,通過(guò)MFA提升他們?cè)趤嗰R遜云科技上的默認(rèn)安全防護(hù)。自2024年5月起�,亞馬遜云科技要求Amazon Organizations的管理賬戶(hù)的根用戶(hù)必須使用MFA,并從處于較大規(guī)模環(huán)境的用戶(hù)開(kāi)始�。同年6月份�,亞馬遜云科技推出了對(duì)FIDO2 passkeys的支持�,這一全新的MFA方法為客戶(hù)提供了一個(gè)既安全又易用的選擇來(lái)滿(mǎn)足他們的安全需求。此外�,亞馬遜云科技還進(jìn)一步將MFA的使用要求擴(kuò)展至所有獨(dú)立賬戶(hù)的根用戶(hù)。隨著Amazon Identity and Access Management (IAM) 在2024年6月對(duì)FIDO2 passkeys的支持�,防釣魚(yú)MFA的客戶(hù)注冊(cè)率增長(zhǎng)了一倍之多。從2024年4月至10月�,已有超過(guò)75萬(wàn)名亞馬遜云科技的根用戶(hù)啟用了MFA。
第二項(xiàng)措施在于摒棄對(duì)非必要密碼的依賴(lài)�。密碼不僅存在安全隱患,維護(hù)基于密碼的身份驗(yàn)證體系亦給客戶(hù)帶來(lái)了額外的運(yùn)營(yíng)負(fù)擔(dān)�,這一點(diǎn)對(duì)于大規(guī)模運(yùn)營(yíng)的企業(yè)以及那些需定期更換密碼以滿(mǎn)足監(jiān)管要求的企業(yè)尤為明顯。亞馬遜云科技近期又推出了一項(xiàng)創(chuàng)新功能�,旨在集中管理Amazon Organizations中管理賬戶(hù)的根訪(fǎng)問(wèn)權(quán)限。此功能將極大減少客戶(hù)所需管理的密碼數(shù)量�,同時(shí)確保對(duì)根用戶(hù)權(quán)限的嚴(yán)格控制。通過(guò)IAM控制臺(tái)或Amazon CLI進(jìn)行簡(jiǎn)單的配置調(diào)整�,客戶(hù)便可輕松啟用這一集中化的根訪(fǎng)問(wèn)權(quán)限管理(具體流程請(qǐng)?jiān)L問(wèn)文章《使用Amazon Organizations集中管理客戶(hù)根訪(fǎng)問(wèn)權(quán)限》)。該功能一經(jīng)啟用�,客戶(hù)即可從其組織內(nèi)部成員賬戶(hù)中移除根用戶(hù)的長(zhǎng)期憑據(jù)�,包括密碼和長(zhǎng)期訪(fǎng)問(wèn)密鑰。這不僅顯著提升了客戶(hù)的安全防護(hù)能力�,也有效減輕了他們的運(yùn)營(yíng)負(fù)擔(dān)。
亞馬遜云科技強(qiáng)烈推薦Amazon Organizations中的客戶(hù)盡快啟用集中根訪(fǎng)問(wèn)功能�,即刻享受該功能帶來(lái)的顯著優(yōu)勢(shì)�。如果客戶(hù)選擇繼續(xù)保留根用戶(hù)�,則必須對(duì)這些高權(quán)限憑據(jù)實(shí)施嚴(yán)格的安全保護(hù)措施。為了進(jìn)一步強(qiáng)化對(duì)大規(guī)模運(yùn)營(yíng)客戶(hù)的支持�,并隨著諸如passkeys等附加功能的推出,亞馬遜云科技正將MFA需求擴(kuò)展至Amazon Organizations的成員賬戶(hù)�。從2025年春季開(kāi)始,未啟用根訪(fǎng)問(wèn)集中管理的客戶(hù)將需要為其Amazon Organizations成員賬戶(hù)的根用戶(hù)注冊(cè)MFA�,以便訪(fǎng)問(wèn)其亞馬遜云科技的管理控制臺(tái)。亞馬遜云科技將分階段實(shí)施此變更�,并提前通知相關(guān)客戶(hù),協(xié)助他們采取必要措施以符合新規(guī)�,盡量減少對(duì)日常運(yùn)營(yíng)的影響。
用戶(hù)可以在IAM用戶(hù)指南中了解更多關(guān)于集中管理根訪(fǎng)問(wèn)的新功能�,以及在Amazon MFA in IAM用戶(hù)指南中了解更多關(guān)于在亞馬遜云科技中使用MFA的信息。
