北京2025年2月11日 /美通社/ -- 亞馬遜云科技從一開始就將安全為本的原則融入進其服務的構建中,包括為客戶設置高標準的默認安全功能。在賬戶安全的眾多要素中,強大的身份驗證是賬戶安全的基礎組成部分。多因素驗證(MFA)是防止未經授權人員訪問系統或數據的最簡單且有效的方法之一。我們發現,啟用MFA可以防止超過99%的密碼相關攻擊。亞馬遜云科技自首次倡導客戶在Amazon Management Console為根用戶設置MFA以來,在增強客戶賬戶安全性方面已經取得顯著的進展。
近年來,典型的工作場所已經發生了顯著變化。隨著混合工作模式和自帶設備(BYOD)政策的普及,安全界限的界定變得更加錯綜復雜。眾多企業已經調整了安全邊界——強化基于身份的訪問控制。然而,這一變化也導致用戶密碼成為了新的安全短板。用戶有時會為了使用方便而選擇低復雜度的密碼,或者在多個網站上重復使用復雜的密碼,這在網站發生數據泄露時會大幅增加風險。
亞馬遜云科技致力于不斷提升客戶的安全防護能力,以抵御日益復雜的網絡威脅。為此,亞馬遜云科技實施了一系列措施,包括監控網絡資源,一旦發現憑據泄露,立即阻止客戶在亞馬遜云科技上使用這些憑據;杜絕使用易被破解的弱安全性密碼,并始終倡導避免使用默認密碼。此外,對于尚未啟用MFA的客戶,若檢測到異常登錄行為,亞馬遜云科技將通過其首選電子郵件地址發送一次性PIN碼,以增強登錄驗證的安全性。盡管采取了這些措施,我們還必須認識到密碼本身仍然存在風險。
我們識別了兩個關鍵機會來改善這種情況。首先,加速推動客戶采用MFA,特別是針對擁有高權限的用戶,通過MFA提升他們在亞馬遜云科技上的默認安全防護。自2024年5月起,亞馬遜云科技要求Amazon Organizations的管理賬戶的根用戶必須使用MFA,并從處于較大規模環境的用戶開始。同年6月份,亞馬遜云科技推出了對FIDO2 passkeys的支持,這一全新的MFA方法為客戶提供了一個既安全又易用的選擇來滿足他們的安全需求。此外,亞馬遜云科技還進一步將MFA的使用要求擴展至所有獨立賬戶的根用戶。隨著Amazon Identity and Access Management (IAM) 在2024年6月對FIDO2 passkeys的支持,防釣魚MFA的客戶注冊率增長了一倍之多。從2024年4月至10月,已有超過75萬名亞馬遜云科技的根用戶啟用了MFA。
第二項措施在于摒棄對非必要密碼的依賴。密碼不僅存在安全隱患,維護基于密碼的身份驗證體系亦給客戶帶來了額外的運營負擔,這一點對于大規模運營的企業以及那些需定期更換密碼以滿足監管要求的企業尤為明顯。亞馬遜云科技近期又推出了一項創新功能,旨在集中管理Amazon Organizations中管理賬戶的根訪問權限。此功能將極大減少客戶所需管理的密碼數量,同時確保對根用戶權限的嚴格控制。通過IAM控制臺或Amazon CLI進行簡單的配置調整,客戶便可輕松啟用這一集中化的根訪問權限管理(具體流程請訪問文章《使用Amazon Organizations集中管理客戶根訪問權限》)。該功能一經啟用,客戶即可從其組織內部成員賬戶中移除根用戶的長期憑據,包括密碼和長期訪問密鑰。這不僅顯著提升了客戶的安全防護能力,也有效減輕了他們的運營負擔。
亞馬遜云科技強烈推薦Amazon Organizations中的客戶盡快啟用集中根訪問功能,即刻享受該功能帶來的顯著優勢。如果客戶選擇繼續保留根用戶,則必須對這些高權限憑據實施嚴格的安全保護措施。為了進一步強化對大規模運營客戶的支持,并隨著諸如passkeys等附加功能的推出,亞馬遜云科技正將MFA需求擴展至Amazon Organizations的成員賬戶。從2025年春季開始,未啟用根訪問集中管理的客戶將需要為其Amazon Organizations成員賬戶的根用戶注冊MFA,以便訪問其亞馬遜云科技的管理控制臺。亞馬遜云科技將分階段實施此變更,并提前通知相關客戶,協助他們采取必要措施以符合新規,盡量減少對日常運營的影響。
用戶可以在IAM用戶指南中了解更多關于集中管理根訪問的新功能,以及在Amazon MFA in IAM用戶指南中了解更多關于在亞馬遜云科技中使用MFA的信息。
