Siber güvenlik topluluğu, Google’ın 4 Kasım’da yaptığı, 2025 yılı boyunca dünya çapındaki milyonlarca Google Cloud kullanıcısı için çok faktörlü kimlik doğrulamayı (MFA) uygulamaya başlayacağını duyurmasına olumlu tepki verdi ve bu hareket, daha geniş dijital ekosistemin güvenliğinin sağlanmasında ileriye doğru atılmış önemli bir adım olarak tanımlandı.
Bu haftanın başlarında Google Cloud mühendislikten sorumlu başkan yardımcısı Mayank Upadhyay tarafından açıklanan geliştirilmiş politikalar, zorunlu MFA’nın şu anda yalnızca bir şifreyle oturum açan her kullanıcıya sunulmasını sağlayacak.
“Google Cloud için zorunlu MFA’yı 2025 yılında dünya çapındaki tüm kullanıcılara sunulacak aşamalı bir yaklaşımla uygulayacağız. Sorunsuz bir geçiş sağlamak için Google Cloud, MFA dağıtımlarını planlamaya yardımcı olmak amacıyla işletmelere ve kullanıcılara önceden bildirimde bulunacak. dedi Upadhyay.
“On yılı aşkın süredir MFA sistemimizin güçlü savunucularıyız ve bu önemli güvenlik yükseltmesinde size yardımcı olmak için buradayız. Google olarak, yeni güvenlik önlemlerini uygularken esnekliğe ve kontrole ihtiyacınız olduğunu anlıyoruz. Bu nedenle zorunlu MFA’yı aşamalı olarak uygulamaya koyuyoruz” diye ekledi.
Bu ay başlayacak ilk aşamada Google, Google Cloud Console’da MFA hakkında daha fazla hatırlatıcı ve bilgiyle, özellikle henüz kaydolmamış hizmet kullanıcılarının %30’unu hedefleyerek korumasız kullanıcıları hedeflemeye başlayacak. Bu kılavuz, kuruluşları MFA için farkındalık yaratmaya ve planlamaya yönlendirecek, aynı zamanda test süreçleri ve etkinleştirme konusunda tavsiyelerde bulunacaktır.
Google, 2025’in başından itibaren şifreyle oturum açan tüm yeni ve mevcut kullanıcılar için MFA’yı zorunlu kılmaya başlayacak ve bununla ilgili bildirimler ve kılavuzlar Google Cloud Console, Firebase Console, gCloud ve diğer platformlarda görünecek. Bu araçları kullanmaya devam etmek isteyenlerin şu anda MFA’ya kaydolmaktan başka seçeneği kalmayacak.
Son olarak, gelecek yılın bu zamanlarına kadar MFA gereksinimleri, kimlik doğrulamayı Google Cloud’da birleştiren tüm kullanıcıları kapsayacak şekilde genişletilecek. Bu gereksinimi karşılamak için çeşitli seçenekler sunulacaktır. Kuruluşlar, Google Cloud’a erişmeden önce birincil kimlik sağlayıcılarıyla MFA’yı etkinleştirmeyi seçebilir ve bunu kolaylaştıracak standartların ve prosedürlerin mevcut olduğundan emin olmak için çalışmalar devam etmektedir. Ya da kullanıcılar, Google’ın kendi sistemini kullanmayı tercih ederlerse, Google hesapları aracılığıyla ekstra MFA katmanları eklemek isteyebilirler.
Zorunlu MFA başkaları için zaten başarılı
Bulut hizmetleri için zorunlu MFA’nın getirilmesi artık zamanı gelmiş bir fikir ve Google bu tür hamleler yapan tek bulut devi değil; 2024’ün başlarında Microsoft, bir dizi yüksek yaptırımın ardından böyle bir politikayı uygulamaya koyacağını duyurdu. Kullanıcılarını kapsayan profilli siber saldırılar, Ekim ayının başından bu yana Azure genelinde yürürlükte.
Bu arada, 2023 yılında seçkin geliştiriciler ve projeler için zorunlu MFA getiren açık kaynak topluluğu devi GitHub, MFA gereksinimini alan kod katkıda bulunanlar arasında %95’lik bir katılım oranı ve MFA’nın benimsenmesinde %54’lük bir artış gördüğünü söyledi. Ev sahipliği yaptığı projelere aktif katkıda bulunan tüm kişiler arasında.
Abnormal Security’nin CIO’su Mike Britton, Google’ın hamlesinin çok gecikmiş olduğunu söyledi: “[MFA] tüm yazılım ve platform sağlayıcıları için %100 zorunlu olması gereken temel bir güvenlik hizmetidir; özellikle de tehdit aktörlerinin gelişmiş saldırılar başlattığı birincil vektör olmaya devam eden e-posta için.
“Yazılım satıcılarının, standart temel tekliflerinin bir parçası olarak müşterilerine MFA ve SSO gibi diğer temel güvenlik hizmetlerini sağlaması gerektiğine inanıyorum. Ürünümüzdeki temel güvenlik yeteneklerinden ve özelliklerinden, bu özelliklerin ek abonelik ücretleri olmaksızın sağlanması çok yüksek maliyetli olmadığı sürece para kazanmamalıyız ki bu çoğu zaman geçerli değildir.”
Keeper Security’nin güvenlik ve uyumluluktan sorumlu başkan yardımcısı Patrick Tiquet, şunu ekledi: “Google’ın aşamalı olarak kullanıma sunulması, kullanıcıların yeni gereksinimi karşılamasını kolaylaştırıyor; çünkü MFA, özellikle aniden uygulandığında kullanıcı deneyiminde algılanan sürtünme nedeniyle dirençle karşılanabiliyor.
“Konsol hatırlatıcılarıyla başlayan ve tam uygulamaya doğru ilerleyen çok adımlı plan, kullanıcıların benimsenmesine öncelik veriyor ve kullanıcıları MFA’ya kolaylaştırmak için kademeli geçişle operasyonel kesintiyi en aza indirerek daha sorunsuz uygulama ve daha güçlü uyumluluğun önünü açıyor.
“Ancak Google Cloud kullanan kuruluşların kendi iş gücü içinde uygulamaya yönelik planlama yapması da gerekecek. Çalışanların MFA’nın önemi konusunda eğitilmesi kritik öneme sahip olacak ve şifre yöneticisi gibi araçlar, MFA kodlarını güvenli bir şekilde saklayıp doldurarak benimsemeyi kolaylaştırabilir.”
İçerik stratejisinden sorumlu kıdemli başkan yardımcısı ve güvenlik eğitimi uzmanı KnowBe4’ün müjdecisi Anna Collard da Google’ın yeni politikasını övdü ancak MFA’nın tek başına sihirli bir değnek olmadığını söyledi.
“Etkili güvenlik, varlıkları ve verileri korumak için birden fazla stratejiyi birleştiren katmanlı bir savunma yaklaşımına dayanır. Tüm MFA kaliteleri de eşit değildir; örneğin FIDO tarafından etkinleştirilenler gibi kimlik avına karşı dirençli MFA, metin tabanlı veya push tabanlı MFA’dan çok daha iyi bir seçenektir” dedi.