公有云:如何实现多因素认证方法

简介:

用户认证是所有公司安全战略的重要部分,确保仅仅是授权用户才能访问有价值的数据和资源。在用户名和密码之外,越来越多的企业开始使用额外的认证方法,来确认用户的身份。

多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上,这里未授权用户可能会破坏重要的应用,并导致巨大的云上开支。公有云供应商,包括Amazon Web Services (AWS), Microsoft Azure 和 Google Cloud Platform,都提供MFA作为云访问的第二层次认证。

MFA来自于何处?

和其他认证方法不同,MFA指的是通过物理或者虚拟设备提供的一段特定的认证码。如果用户既知道某个账号的登录证书,也有提供认证码的设备,那么该用户的身份很可能就是真的。

一系列输入源都可以生成MFA码,但是最为常见的输入源是运行着MFA应用的智能手机或者平板创建出的虚拟MFA设备。用户登录时,MFA应用在智能手机或者其他移动设备上提供授权码。运行在Android操作系统上的移动设备可以使用类似Google Authenticator 或者 Authy 2-Factor Authentication这样的应用,而Blackberry和Apple iPhone或者iPad设备可以使用Google Authenticator。

其他类型的MFA设备

其他流行的MFA设备包括密钥卡或者显示卡。密钥卡是一种无线设备,可以产生一个独特的,不可重用的密码作为认证码。显示卡,将信用卡和一个小显示屏组装在一起,也能生成一次性密码以供MFA使用。

企业需要给root账号或者个人身份和访问管理(IAM)用户账号分配MFA设备。在登录过程中,MFA设备提供基于时间生成的一次性密码算法标准的6位数数字码。用户输入认证码和常规证书,或者通过供应商的API将其传递给云供应商。

AWS、Google Cloud Platform和Microsoft Azure支持大多数认证方法,包括MFA。要选择一种MFA技术,需要评估你的业务需求。比如,支持BYOD的企业架构可能已经使用每台相关用户的移动设备上的适当应用程序实现了虚拟设备。更多管理严格的企业可能给核心用户或者管理员提供密钥卡。

如何启用不同类型的MFA设备?

公有云供应商通常尽量让多种类型MFA设备的实现更为容易。目标是为用户账号启用MFA,并且将MFA设备和该账号关联起来。

虚拟MFA设备通常在某台移动设备上运行一个应用。对于像AWS这样的云供应商,管理员可以启用某个用户的虚拟MFA,首先登入IAM控制台,定位用户,选择Security Credentials(安全证书)标签页,并且选择Manage MFA Device(管理MFA设备)。这会启动一个向导程序让管理员选择虚拟MFA设备。AWS向导程序提供表示密钥的QR码。移动设备和应用程序可以扫描该QR码来接收密钥并且链接设备和IAM账号。如果设备不支持QR码扫描,还可以显示密钥并且手动输入。

硬件MFA设备,比如密钥卡和显示卡,使用的也是类似技术。向导程序让管理员选择“硬件MFA设备”。然后,他们输入硬件设备的序列码完成AWS上的鉴定程序。硬件MFA设备然后就可以为AWS用户账号生成认证码。

在这两种情况下,管理员可能都需要通过输入来自设备的一个或者两个认证码来完成MFA设备的搭建流程。这样可以在新的虚拟或者硬件MFA设备真正用于AWS账号之前验证其功能是否正常。

其他云供应商的流程也很类似。比如,使用Microsoft Azure的管理员可以登入Azure门户,选择Active Directory(活动目录),为MFA选择用户,然后点击Manage Multi-Factor Auth(管理多因素认证)来打开新的浏览器标签页。选择每个用户启用MFA,点击Enable(启用),然后点击enable multi-factor auth(启用多因素认证)。用户的MFA状态就会从关闭变为启用。

如何为公有云管理MFA设备?

有些情况下管理员需要停用某个启用了MFA设备的账号。比如,如果用户离开公司或者从云供应商账号里移除了,那么在用户彻底删除之前,必须停用相关的MFA设备。在另外一些情况下,如果MFA有问题或者太烦人时,可以暂时停用MFA设备。管理员还需要在使用新的MFA设备之前停用已有的MFA设备。

通常来说,管理员会首先使用公有云供应商的管理工具来验证某个用户MFA设备的状态。比如,AWS管理员可以使用IAM控制台,选择任何用户查看其状态。当管理员发现必须停用某个MFA设备时,管理员可以使用供应商的工具来处理这样的任务。在设备停用后,以AWS为例,除非该设备被重新激活并且重新关联到某个AWS账号,否则无法再使用该设备。

MFA是企业里最为流行的认证方法之一。但是,除了它所带来的好处,MFA也为云管理员带来了额外的搭建和管理问题。因此,企业通常只为一定数量的特权用户启用MFA,比如有能够访问很多云资源的管理员。

本文转自d1net(转载)

相关文章
|
5月前
|
网络协议 存储 云计算
云计算存储问题之协议和接口联系如何解决
云计算存储问题之协议和接口联系如何解决
|
存储 前端开发 安全
强化用户体验与安全性:前端单点登录和统一认证的最佳实践与区别
互联网发展了这么多年,各种更新皆为了提供更好更安全的上网环境。同时为了提供更好的用户体验、减少用户反复输入用户名和密码的繁琐操作,并确保账户安全,前端领域中的单点登录(SSO)和统一认证(Unified Authentication)成为了重要概念。
强化用户体验与安全性:前端单点登录和统一认证的最佳实践与区别
|
安全 API 数据处理
API接口技术:架构、设计、安全性与实践
随着数字化和信息化进程的加速,应用程序接口(API)在软件开发和数据处理中扮演着越来越重要的角色。API不仅是不同软件应用程序之间的桥梁,也是软件开发人员和数据科学家进行数据交换和功能调用的关键工具。本文将深入探讨API接口的技术,包括架构、设计、安全性以及实践应用。
|
域名解析 运维 网络协议
阿里云融合云DNS服务荣获《云服务稳定运行能力标准体系》最高级别认证
阿里云融合云DNS服务荣获《云服务稳定运行能力标准体系》最高级别认证
|
安全 Cloud Native 数据安全/隐私保护
阿里云推出内部操作透明化服务 为用户提供全栈数据保护体系
在2019杭州云栖大会上,阿里云宣布推出全新的全栈数据保护体系,可将云平台侧与用户相关的内部操作透明化。此外,阿里云还推出了可信计算、混合云安全架构等多款新品,将云原生安全构筑在每一个产品和服务中,帮助企业提升整体安全水位,构建云时代的企业安全架构。
2933 0
|
存储 安全 数据安全/隐私保护
阿里云加密服务产品优势及使用场景
加密服务 ( AliCloud Data Encryption Service ) 是云上的数据安全加密解决方案。服务底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私和机密。
1791 0
下一篇
无影云桌面