亞馬遜雲科技從一開始就將安全為本的原則融入進其服務的構建中,包括為客戶設定高標準的預設安全功能。在賬戶安全的眾多要素中,強大的身份驗證是賬戶安全的基礎組成部分。多因素驗證(MFA)是防止未經授權人員訪問系統或資料的最簡單且有效的方法之一。我們發現,啟用MFA可以防止超過99%的密碼相關攻擊。亞馬遜雲科技自首次倡導客戶在Amazon Management Console為根使用者設定MFA以來,在增強客戶賬戶安全性方面已經取得顯著的進展。
近年來,典型的工作場所已經發生了顯著變化。隨著混合工作模式和自帶裝置(BYOD)政策的普及,安全界限的界定變得更加錯綜複雜。眾多企業已經調整了安全邊界——強化基於身份的訪問控制。然而,這一變化也導致使用者密碼成為了新的安全短板。使用者有時會為了使用方便而選擇低複雜度的密碼,或者在多個網站上重複使用複雜的密碼,這在網站發生資料洩露時會大幅增加風險。
亞馬遜雲科技致力於不斷提升客戶的安全防護能力,以抵禦日益複雜的網路威脅。為此,亞馬遜雲科技實施了一系列措施,包括監控網路資源,一旦發現憑據洩露,立即阻止客戶在亞馬遜雲科技上使用這些憑據;杜絕使用易被破解的弱安全性密碼,並始終倡導避免使用預設密碼。此外,對於尚未啟用MFA的客戶,若檢測到異常登入行為,亞馬遜雲科技將透過其首選電子郵件地址傳送一次性PIN碼,以增強登入驗證的安全性。儘管採取了這些措施,我們還必須認識到密碼本身仍然存在風險。
我們識別了兩個關鍵機會來改善這種情況。首先,加速推動客戶採用MFA,特別是針對擁有高許可權的使用者,透過MFA提升他們在亞馬遜雲科技上的預設安全防護。自2024年5月起,亞馬遜雲科技要求Amazon Organizations的管理賬戶的根使用者必須使用MFA,並從處於較大規模環境的使用者開始。同年6月份,亞馬遜雲科技推出了對FIDO2 passkeys的支援,這一全新的MFA方法為客戶提供了一個既安全又易用的選擇來滿足他們的安全需求。此外,亞馬遜雲科技還進一步將MFA的使用要求擴充套件至所有獨立賬戶的根使用者。隨著Amazon Identity and Access Management (IAM)在2024年6月對FIDO2 passkeys的支援,防釣魚MFA的客戶註冊率增長了一倍之多。從2024年4月至10月,已有超過75萬名亞馬遜雲科技的根使用者啟用了MFA。
第二項措施在於摒棄對非必要密碼的依賴。密碼不僅存在安全隱患,維護基於密碼的身份驗證體系亦給客戶帶來了額外的運營負擔,這一點對於大規模運營的企業以及那些需定期更換密碼以滿足監管要求的企業尤為明顯。亞馬遜雲科技近期又推出了一項創新功能,旨在集中管理Amazon Organizations中管理賬戶的根訪問許可權。此功能將極大減少客戶所需管理的密碼數量,同時確保對根使用者許可權的嚴格控制。透過IAM控制檯或Amazon CLI進行簡單的配置調整,客戶便可輕鬆啟用這一集中化的根訪問許可權管理(具體流程請訪問文章《使用Amazon Organizations集中管理客戶根訪問許可權》)。該功能一經啟用,客戶即可從其組織內部成員賬戶中移除根使用者的長期憑據,包括密碼和長期訪問金鑰。這不僅顯著提升了客戶的安全防護能力,也有效減輕了他們的運營負擔。
亞馬遜雲科技強烈推薦Amazon Organizations中的客戶儘快啟用集中根訪問功能,即刻享受該功能帶來的顯著優勢。如果客戶選擇繼續保留根使用者,則必須對這些高許可權憑據實施嚴格的安全保護措施。為了進一步強化對大規模運營客戶的支援,並隨著諸如passkeys等附加功能的推出,亞馬遜雲科技正將MFA需求擴充套件至Amazon Organizations的成員賬戶。從2025年春季開始,未啟用根訪問集中管理的客戶將需要為其Amazon Organizations成員賬戶的根使用者註冊MFA,以便訪問其亞馬遜雲科技的管理控制檯。亞馬遜雲科技將分階段實施此變更,並提前通知相關客戶,協助他們採取必要措施以符合新規,儘量減少對日常運營的影響。”
使用者可以在IAM使用者指南中瞭解更多關於集中管理根訪問的新功能,以及在Amazon MFA in IAM使用者指南中瞭解更多關於在亞馬遜雲科技中使用MFA的資訊。