在亞馬遜網路服務(AWS),我們從一開始就以安全為設計原則來建構我們的服務,包括為客戶的默認安全態勢設定高標準的功能。強身份驗證是整體帳戶安全的基礎組成部分,而使用多因素身份驗證(MFA)則是幫助防止未經授權的個人獲得系統或數據訪問的最簡單和最有效的方法之一。我們發現啟用MFA能夠防止超過99%的密碼相關攻擊。今天,我們分享自首次宣布要求客戶通過要求AWS管理控制台中的根用戶使用MFA來改善其默認安全態勢以來的過去一年進展。
近年來,典型的工作場所發生了顯著變化。隨著混合工作和自帶設備(BYOD)政策等做法的增加,定義安全邊界變得更加複雜。大多數組織已調整其安全周邊,以強調基於身份的控制,這往往使得用戶密碼成為周邊的薄弱環節。用戶有時會選擇低複雜度的密碼以便於使用,或在多個網站上重複使用複雜密碼,這在網站發生數據洩露時會大幅度增加風險。
我們採取許多措施來提高客戶抵禦這類風險的能力。例如,我們監控在線來源以發現被洩露的憑證,並阻止客戶在AWS中使用這些憑證。我們還防範設定弱密碼,從不建議用戶使用默認密碼,當我們檢測到尚未啟用MFA的客戶的異常登入活動時,我們會通過向其主要電子郵件地址發送一次性PIN挑戰來驗證登入。儘管這些措施存在,但僅依賴密碼仍然本質上是有風險的。
我們認識到改善現狀的兩個關鍵機會。第一個是加速我們客戶的MFA採用,通過要求高權限用戶使用MFA來提高AWS的默認安全態勢標準。在2024年5月,我們開始要求AWS組織管理帳戶的根用戶必須使用MFA,首先針對較大環境中的用戶。然後,在6月,我們推出了對FIDO2密鑰的支持作為MFA方法,為客戶提供了一種額外的高度安全但用戶友好的方式,以符合其安全要求。同時,我們宣布我們的MFA要求擴展到獨立帳戶中的根用戶。在2024年6月AWS身份和訪問管理(IAM)推出FIDO2密鑰支持後,客戶對抗網絡釣魚的MFA註冊率增加了超過100%。在2024年4月至10月之間,超過750,000個AWS根用戶啟用了MFA。
我們認識到的第二個機會是徹底消除不必要的密碼。除了密碼的安全問題外,嘗試保護基於密碼的身份驗證為客戶帶來了運營負擔,特別是對於那些大規模運營以及有法規要求定期更換密碼的客戶。今天,我們推出了一項新功能,以集中管理在AWS組織中管理的帳戶的根訪問。該功能使客戶能夠大幅減少需要管理的密碼數量,同時仍然保持對根主體使用的強控制。客戶現在可以通過IAM控制台或AWS CLI進行簡單的配置更改來啟用集中根訪問,這個過程在這篇文章中進一步描述。然後,客戶可以刪除其組織中成員帳戶根用戶的長期憑證(包括密碼或長期訪問密鑰)。這將改善我們客戶的安全態勢,同時減少他們的操作工作量。
我們強烈建議組織客戶今天就開始啟用我們的集中根訪問功能,以體驗這些好處。然而,在客戶繼續維護根用戶的情況下,確保這些高權限憑證得到良好保護至關重要。隨著我們對大規模運營的客戶的增強支持,以及像密鑰這樣的附加功能,我們將MFA要求擴展到AWS組織中的成員帳戶。從2025年春季開始,尚未啟用根訪問集中管理的客戶將被要求為其AWS組織成員帳戶的根用戶註冊MFA,以便訪問AWS管理控制台。與我們之前對管理帳戶和獨立帳戶的擴展一樣,我們將逐步推出這一變更,並提前通知個別客戶需要採取行動,以幫助客戶遵守新要求,同時將對其日常運營的影響降至最低。
您可以在IAM用戶指南中了解有關我們集中管理根訪問的新功能的更多信息,以及在AWS中使用MFA的更多信息,請參閱AWS MFA在IAM用戶指南中的說明。
如果您對這篇文章有任何反饋,請在下方的評論區提交意見。
