亚马逊云科技从一开始就将安全为本的原则融入进其服务的构建中,包括为客户设置高标准的默认安全功能。在账户安全的众多要素中,强大的身份验证是账户安全的基础组成部分。多因素验证(MFA)是防止未经授权人员访问系统或数据的最简单且有效的方法之一。我们发现,启用MFA可以防止超过99%的密码相关攻击。亚马逊云科技自首次倡导客户在Amazon Management Console为根用户设置MFA以来,在增强客户账户安全性方面已经取得显著的进展。
近年来,典型的工作场所已经发生了显著变化。随着混合工作模式和自带设备(BYOD)政策的普及,安全界限的界定变得更加错综复杂。众多企业已经调整了安全边界——强化基于身份的访问控制。然而,这一变化也导致用户密码成为了新的安全短板。用户有时会为了使用方便而选择低复杂度的密码,或者在多个网站上重复使用复杂的密码,这在网站发生数据泄露时会大幅增加风险。
亚马逊云科技致力于不断提升客户的安全防护能力,以抵御日益复杂的网络威胁。为此,亚马逊云科技实施了一系列措施,包括监控网络资源,一旦发现凭据泄露,立即阻止客户在亚马逊云科技上使用这些凭据;杜绝使用易被破解的弱安全性密码,并始终倡导避免使用默认密码。此外,对于尚未启用MFA的客户,若检测到异常登录行为,亚马逊云科技将通过其首选电子邮件地址发送一次性PIN码,以增强登录验证的安全性。尽管采取了这些措施,我们还必须认识到密码本身仍然存在风险。
我们识别了两个关键机会来改善这种情况。首先,加速推动客户采用MFA,特别是针对拥有高权限的用户,通过MFA提升他们在亚马逊云科技上的默认安全防护。自2024年5月起,亚马逊云科技要求Amazon Organizations的管理账户的根用户必须使用MFA,并从处于较大规模环境的用户开始。同年6月份,亚马逊云科技推出了对FIDO2 passkeys的支持,这一全新的MFA方法为客户提供了一个既安全又易用的选择来满足他们的安全需求。此外,亚马逊云科技还进一步将MFA的使用要求扩展至所有独立账户的根用户。随着Amazon Identity and Access Management (IAM)在2024年6月对FIDO2 passkeys的支持,防钓鱼MFA的客户注册率增长了一倍之多。从2024年4月至10月,已有超过75万名亚马逊云科技的根用户启用了MFA。
第二项措施在于摒弃对非必要密码的依赖。密码不仅存在安全隐患,维护基于密码的身份验证体系亦给客户带来了额外的运营负担,这一点对于大规模运营的企业以及那些需定期更换密码以满足监管要求的企业尤为明显。亚马逊云科技近期又推出了一项创新功能,旨在集中管理Amazon Organizations中管理账户的根访问权限。此功能将极大减少客户所需管理的密码数量,同时确保对根用户权限的严格控制。通过IAM控制台或Amazon CLI进行简单的配置调整,客户便可轻松启用这一集中化的根访问权限管理(具体流程请访问文章《使用Amazon Organizations集中管理客户根访问权限》)。该功能一经启用,客户即可从其组织内部成员账户中移除根用户的长期凭据,包括密码和长期访问密钥。这不仅显著提升了客户的安全防护能力,也有效减轻了他们的运营负担。
亚马逊云科技强烈推荐Amazon Organizations中的客户尽快启用集中根访问功能,即刻享受该功能带来的显著优势。如果客户选择继续保留根用户,则必须对这些高权限凭据实施严格的安全保护措施。为了进一步强化对大规模运营客户的支持,并随着诸如passkeys等附加功能的推出,亚马逊云科技正将MFA需求扩展至Amazon Organizations的成员账户。从2025年春季开始,未启用根访问集中管理的客户将需要为其Amazon Organizations成员账户的根用户注册MFA,以便访问其亚马逊云科技的管理控制台。亚马逊云科技将分阶段实施此变更,并提前通知相关客户,协助他们采取必要措施以符合新规,尽量减少对日常运营的影响。”
用户可以在IAM用户指南中了解更多关于集中管理根访问的新功能,以及在Amazon MFA in IAM用户指南中了解更多关于在亚马逊云科技中使用MFA的信息。
