用戶認證是所有公司安全戰略的重要部分,確保僅僅是授權用戶才能訪問有價值的數據和資源。在用戶名和密碼之外,越來越多的企業開始使用額外的認證方法,來確認用戶的身份。
多因素認證(MFA)將傳統的登錄證書和授權用戶持有的物理設備碼結合起來。MFA也擴展到了公有云上,這里未授權用戶可能會破壞重要的應用,并導致巨大的云上開支。公有云供應商,包括Amazon Web Services (AWS), Microsoft Azure 和 Google Cloud Platform,都提供MFA作為云訪問的第二層次認證。
MFA來自于何處?
和其他認證方法不同,MFA指的是通過物理或者虛擬設備提供的一段特定的認證碼。如果用戶既知道某個賬號的登錄證書,也有提供認證碼的設備,那么該用戶的身份很可能就是真的。
一系列輸入源都可以生成MFA碼,但是最為常見的輸入源是運行著MFA應用的智能手機或者平板創建出的虛擬MFA設備。用戶登錄時,MFA應用在智能手機或者其他移動設備上提供授權碼。運行在Android操作系統上的移動設備可以使用類似Google Authenticator 或者 Authy 2-Factor Authentication這樣的應用,而Blackberry和Apple iPhone或者iPad設備可以使用Google Authenticator。
其他類型的MFA設備
其他流行的MFA設備包括密鑰卡或者顯示卡。密鑰卡是一種無線設備,可以產生一個獨特的,不可重用的密碼作為認證碼。顯示卡,將信用卡和一個小顯示屏組裝在一起,也能生成一次性密碼以供MFA使用。
企業需要給root賬號或者個人身份和訪問管理(IAM)用戶賬號分配MFA設備。在登錄過程中,MFA設備提供基于時間生成的一次性密碼算法標準的6位數數字碼。用戶輸入認證碼和常規證書,或者通過供應商的API將其傳遞給云供應商。
AWS、Google Cloud Platform和Microsoft Azure支持大多數認證方法,包括MFA。要選擇一種MFA技術,需要評估你的業務需求。比如,支持BYOD的企業架構可能已經使用每臺相關用戶的移動設備上的適當應用程序實現了虛擬設備。更多管理嚴格的企業可能給核心用戶或者管理員提供密鑰卡。
如何啟用不同類型的MFA設備?
公有云供應商通常盡量讓多種類型MFA設備的實現更為容易。目標是為用戶賬號啟用MFA,并且將MFA設備和該賬號關聯起來。
虛擬MFA設備通常在某臺移動設備上運行一個應用。對于像AWS這樣的云供應商,管理員可以啟用某個用戶的虛擬MFA,首先登入IAM控制臺,定位用戶,選擇Security Credentials(安全證書)標簽頁,并且選擇Manage MFA Device(管理MFA設備)。這會啟動一個向導程序讓管理員選擇虛擬MFA設備。AWS向導程序提供表示密鑰的QR碼。移動設備和應用程序可以掃描該QR碼來接收密鑰并且鏈接設備和IAM賬號。如果設備不支持QR碼掃描,還可以顯示密鑰并且手動輸入。
硬件MFA設備,比如密鑰卡和顯示卡,使用的也是類似技術。向導程序讓管理員選擇“硬件MFA設備”。然后,他們輸入硬件設備的序列碼完成AWS上的鑒定程序。硬件MFA設備然后就可以為AWS用戶賬號生成認證碼。
在這兩種情況下,管理員可能都需要通過輸入來自設備的一個或者兩個認證碼來完成MFA設備的搭建流程。這樣可以在新的虛擬或者硬件MFA設備真正用于AWS賬號之前驗證其功能是否正常。
其他云供應商的流程也很類似。比如,使用Microsoft Azure的管理員可以登入Azure門戶,選擇Active Directory(活動目錄),為MFA選擇用戶,然后點擊Manage Multi-Factor Auth(管理多因素認證)來打開新的瀏覽器標簽頁。選擇每個用戶啟用MFA,點擊Enable(啟用),然后點擊enable multi-factor auth(啟用多因素認證)。用戶的MFA狀態就會從關閉變為啟用。
如何為公有云管理MFA設備?
有些情況下管理員需要停用某個啟用了MFA設備的賬號。比如,如果用戶離開公司或者從云供應商賬號里移除了,那么在用戶徹底刪除之前,必須停用相關的MFA設備。在另外一些情況下,如果MFA有問題或者太煩人時,可以暫時停用MFA設備。管理員還需要在使用新的MFA設備之前停用已有的MFA設備。
通常來說,管理員會首先使用公有云供應商的管理工具來驗證某個用戶MFA設備的狀態。比如,AWS管理員可以使用IAM控制臺,選擇任何用戶查看其狀態。當管理員發現必須停用某個MFA設備時,管理員可以使用供應商的工具來處理這樣的任務。在設備停用后,以AWS為例,除非該設備被重新激活并且重新關聯到某個AWS賬號,否則無法再使用該設備。
MFA是企業里最為流行的認證方法之一。但是,除了它所帶來的好處,MFA也為云管理員帶來了額外的搭建和管理問題。因此,企業通常只為一定數量的特權用戶啟用MFA,比如有能夠訪問很多云資源的管理員。
京公網安備 11010502049343號