Amazon Web Services (AWS), hesap güvenliğini ve kullanılabilirliğini geliştirmek amacıyla çok faktörlü kimlik doğrulamaya (MFA) yönelik yeni bir yöntem olarak FIDO2 geçiş anahtarlarını kullanıma sundu.
Ek olarak, geçen Ekim ayında açıklandığı üzere internet şirketi, ‘kök’ AWS hesaplarının Temmuz 2024 sonuna kadar MFA’yı etkinleştirmesi gerektiğini hatırlatıyor.
AWS’deki geçiş anahtarları
FIDO2 geçiş anahtarları, kimlik doğrulama girişimini doğrulamak için kullanılan sunucu tarafından gönderilen bir sorgulamayı imzalamak için genel anahtar şifrelemesinden (genel + özel çift) yararlanan fiziksel (donanım anahtarları) veya yazılım tabanlı kimlik doğrulama çözümleridir.
Tek kullanımlık şifrelerin aksine, geçiş anahtarları kimlik avı ve ortadaki adam saldırılarına karşı dayanıklıdır, senkronize edilebilir, birden fazla cihaz ve işletim sistemi mimarisini destekler ve (tipik olarak) kırılmaz şifrelemeleri sayesinde güçlü kimlik doğrulama sağlar.
Amazon, bu uygulamanın, AWS hesapları için bir MFA yöntemi olarak eklenecek senkronize edilebilir yazılım geçiş anahtarları oluşturma esnekliğine olanak sağladığını, iPhone’da Apple Touch ID, dizüstü bilgisayarda Windows Hello ve diğerlerinde bunların kilidinin açıldığını söylüyor.
İnternet şirketi, kimlik avı ve sosyal mühendislik saldırılarına karşı savunmasız olanların AWS konsollarına erişim için geçiş anahtarlarını kullanmayı düşünmeleri gerektiğini söylüyor ancak sonuçta herhangi bir MFA biçiminin hiç yoktan daha iyi olduğunu belirtiyor.
Amazon, müşterilere MFA’yı seçerken, anahtar kasasına erişim ve kurtarmayı nasıl yönettikleri de dahil olmak üzere geçiş anahtarı sağlayıcılarının güvenlik modelini dikkate almanın önemli olduğunu söylüyor.
MFA’nın benimsenmesi için baskı yapın
Zorunlu MFA kullanımı, Temmuz 2024’ten itibaren bağımsız kök hesap kullanıcılarıyla başlayacak; kullanıma sunma başlangıçta az sayıda müşteriyi etkileyecek ve kullanıcılara ek süre tanımak için birkaç aya kadar kademeli olarak genişleyecek.
Başlangıçta bu gereksinim yalnızca en yüksek erişim düzeyine sahip olan ve AWS ortamında önemli değişiklikler yapabilen kök kullanıcılar için geçerli olacaktır çünkü bu kullanıcılar zarar verici saldırılara karşı daha duyarlıdır.
Etkilenen hesap sahiplerine yeni gereksinimi hatırlatmak için oturum açma sırasında bir açılır uyarı görüntülenecektir.
AWS kuruluşlarındaki üye hesaplarının ve genel kullanıcı hesaplarının kök kullanıcılarının hemen bir MFA adımını etkinleştirmeleri gerekmeyecek, ancak optimum güvenlik için bunu yapmaları şiddetle tavsiye ediliyor.
MFA gereksiniminin diğer kullanıcı kategorilerini de kapsayacak şekilde genişletilmesi bekleniyor ancak bununla ilgili planlar yılın ilerleyen dönemlerinde paylaşılacak.
Amazon, yakın zamanda CISA’nın Güvenli Tasarım taahhüdünü imzalayarak MFA’nın benimsenmesini artırmayı taahhüt ettiğini, dolayısıyla şirketin bu hedefe yönelik aktif olarak çalıştığını söyledi.