AWS, 2024 ortalarından itibaren en ayrıcalıklı kullanıcıların ve sonunda daha fazla hesap türünün çok faktörlü kimlik doğrulamayı kullanması gerekeceğini söyledi. Bu hamle, bulut devini varsayılan olarak MFA temel kontrollerini taahhüt eden üç büyük hiper ölçekleyiciden ilki haline getiriyor.
Amazon CSO’su Steve Schmidt Salı günü yaptığı açıklamada, “AWS, hesaplarındaki en ayrıcalıklı kullanıcılardan başlayarak MFA kullanımını zorunlu kılarak müşterilerimizin ortamlarının varsayılan güvenlik duruşunu daha da güçlendiriyor” dedi. Blog yazısı.
Schmidt, “2024 ortasından itibaren, AWS Organizasyon yönetim hesabının kök kullanıcısı ile AWS Yönetim Konsolu’nda oturum açan müşterilerin, MFA’nın devam edebilmesi için gerekli olacak” dedi. Kök kullanıcılar, hesaptaki tüm AWS hizmetlerine ve kaynaklarına tam erişime sahiptir.
AWS, Microsoft ve Google, yöneticilerin MFA’yı belirli kullanıcılar için bir gereksinim olarak ayarlamasına izin veriyor, ancak zaten yaygın olarak temel bir siber güvenlik kontrolü olarak kabul edilen kimlik doğrulama mekanizması, daha önce varsayılan olarak gerekli değildi. Her üç hiper ölçekleyici de müşterileri MFA kullanmaya teşvik ediyor.
Federal siber yetkililer Güvenlik sorumluluğunu değiştirmeye çalışıyoruz Üreticilere ve satıcılara teknoloji ürünleri ve hizmetleri. Bulut sağlayıcıları, ürünlerin tasarım ve varsayılan olarak güvenli olmasını sağlama çabasının merkezinde yer alıyor.
Tüm ayrıcalıklı kullanıcılara yönelik bir MFA yetkisi, varsayılan olarak güvenli taktikler ABD ve diğer altı ülkedeki siber otoriteler tarafından tavsiye edilmektedir.
Forrester’ın baş analisti Lee Sustar, e-posta yoluyla şunları söyledi: “MFA’nın bulut kaynaklarına erişmesini zorunlu kılıp gerektirmemesi, genel bulut için paylaşılan sorumluluk modelindeki güvenlik zorluklarının temelini oluşturuyor.”
MFA kullanımı bir müşteri kararı olarak görülüyor, ancak şirketin bir talimat uygulama taahhüdü şunu gösteriyor: “AWS, MFA’yı bulut güvenliğinin temel bir parçası haline getirmenin hem kendilerinin hem de müşterilerinin çıkarına olacağına karar verdi” dedi Sustar.
En büyük bulut sağlayıcıları varsayılan güvenlik kontrollerini iyileştirmek için yarışırken, AWS’nin en yakın bulut rakipleri bu haberlere farklı şekillerde tepki veriyor.
Google, bu yılın sonundan önce bazı hesaplar için MFA’yı zorunlu kılacağını söyledi; bu, onu AWS’nin planlarının önüne koyan bir taahhüt.
“Bu yılın sonlarından itibaren, aşamalı bir yaklaşımla, bayilerimizin ve en büyük kurumsal müşterilerimizin seçilmiş yönetici hesaplarının, [two-step verification] Bir Google sözcüsü Cybersecurity Dive’a yaptığı açıklamada, “Güvenliklerini güçlendirmek için hesaplarına ekliyoruz” dedi.
Sözcü, “Müşterilerimizin ve kullanıcılarımızın güvenliğini sürekli olarak değerlendiriyoruz ve politikalarımızı risk düzeyine göre ayarlamaya devam edeceğiz” dedi.
Google, 2021’in sonlarından itibaren tüketicilerin iki faktörlü kimlik doğrulamasını kullanmasını zorunlu kıldı, ancak bu, kurumsal bulut müşterileri için bu türden ilk zorunluluktur.
Microsoft henüz rotasını değiştirmiyor. Bir şirket sözcüsü Cybersecurity Dive’a “Microsoft ticari müşteriler için MFA’ya ihtiyaç duymuyor” dedi.
“Ancak, son iki yılda tüm yeni Azure AD müşterileri için (Azure AD ücretsiz katmanı müşterileri dahil) güvenlik varsayılanlarını etkinleştirmeye başladık ve yakın zamanda MFA’yı etkinleştirmemiş veya koşullu sürümlerini uygulamaya koymamış müşterilere güvenlik varsayılanlarını uygulamaya başladık. Microsoft sözcüsü henüz erişim politikalarına erişim sağlamadığını söyledi.
Amazon Güvenlik Direktörü Mark Ryland, bulut sağlayıcısının müşterilere MFA’yı etkinleştirmeleri için yeterli zaman ve kaynak sağlamak amacıyla bu hamleyi şimdi duyurduğunu söyledi.
“Müşteriler uzun süredir AWS’deki kök kullanıcıları için MFA’yı kullanabiliyor. Ancak tarihsel olarak MFA’nın kullanımı isteğe bağlıydı” dedi Ryland. “Değişen şey şu ki, en ayrıcalıklı kullanıcılardan başlayarak AWS Konsol erişimi için MFA kullanımını kademeli olarak zorunlu kılacağız.”
Kimlik tabanlı kimlik doğrulamasına yönelik kimlik avı saldırılarının istikrarlı hızı, MFA savunmalarının ne ölçüde parçalanabileceğiAWS, basit taktikler altında bile yalnızca MFA’yı değil, birçok MFA biçimini de destekler. Kimlik avına karşı dayanıklı çeşitler.
Ryland, “Güvenlik anahtarları gibi kimlik avına karşı dirençli MFA biçimlerini şiddetle tavsiye etsek de, herhangi bir MFA biçimi, hiç MFA olmamasından daha iyidir ve şu anda yalnızca parola kimlik doğrulaması kullanan herkesi bir tür MFA’yı benimsemeye teşvik ediyoruz” dedi.
AWS, bu yetkiyi 2024 yılı boyunca bağımsız hesaplar gibi ek senaryoları da kapsayacak şekilde genişleteceğini söyledi.
“CISA olarak biz, AWS’nin, müşterilerinin MFA kullanmasını zorunlu kılarak varsayılan güvenlik duruşunu güçlendiren duyurusundan heyecan duyuyoruz. MFA, daha iyi siber hijyen uygulamak için tüm kullanıcıları uygulamaya teşvik ettiğimiz önemli bir güvenlik özelliğidir,” dedi Siber Güvenlik ve Altyapı Güvenliği Ajansı’nda siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein e-posta yoluyla.
“CISA aynı zamanda teknoloji üreticileriyle birlikte çalışarak onları tasarım gereği güvenli ürünler geliştirmeye teşvik ediyor ve yükü kullanıcıdan riskleri anlamak ve korumak için en iyi donanıma sahip şirketlere ve üreticilere devrediyor. Bu, tam da bunu yapan bir şirketin örneğidir” dedi Goldstein.