AWS增强集中安全控制以应对MFA要求的扩展

关键要点

在AWS，我们始终秉持“安全设计”原则，强调多因素认证MFA在保护用户账户安全方面的重要性。最近，我们扩展了MFA要求，以提高用户的默认安全态势，并推出了集中管理根访问的新功能，帮助用户安全地管理账户。

在亚马逊网络服务AWS，我们从一开始就基于“安全设计”原则构建我们的服务，包括为我们的客户设定高标准的默认安全态势。强身份验证是账户安全的基础，而多因素认证MFA则是防止未经授权的个人访问系统或数据的最简单有效方法之一。我们的发现表明，启用MFA可以防止超过99的密码相关攻击。今天，我们分享过去一年中的进展，自从我们首次宣布将要求客户提升他们的默认安全态势，要求AWS管理控制台的根用户使用MFA以来。

近几年来，典型的工作场所发生了显著变化。随着混合工作和自带设备BYOD政策的普及，定义安全边界变得极其复杂。大多数组织调整了他们的安全边界，更加注重基于身份的控制，这使得用户密码常常成为新一轮的薄弱环节。用户有时为了方便而选择低复杂性的密码，或者在多个网站上重复使用复杂密码，这在网站发生数据泄露时显著增加了安全风险。

我们采取许多措施来增强客户对这些风险的抵御能力。例如，我们监控在线来源以识别被泄露的凭证，并阻止客户在AWS中使用这些凭证。我们还防止使用弱密码，从不建议用户使用默认密码，当我们检测到尚未启用MFA的客户的异常登录活动时，我们会通过一次性PIN挑战确认登录。尽管如此，单凭密码依然存在固有风险。

我们识别出两个关键机会以改善这一情况。第一个是加快客户MFA的采用，从而提升AWS的默认安全态势，特别是对高权限用户。从2024年5月开始，我们要求AWS 组织管理账户的根用户必须启用MFA，最初针对大型环境的用户。随后在6月，我们推出了针对FIDO2密码密钥作为MFA方法的支持，向客户提供了一种附加的安全且用户友好的方式来满足安全要求。同时，我们扩展了MFA要求以涵盖独立账户的根用户。在2024年6月，随着AWS身份和访问管理IAM对FIDO2密码密钥支持的推出，客户对抗钓鱼的MFA注册率增加了超过100。从2024年4月到10月，超过750000个AWS根用户启用了MFA。

第二个机会是完全消除不必要的密码。除了密码的安全问题外，保护基于密码的身份验证还给客户带来了运营负担，特别是对于那些大规模运营的客户和有定期更换密码合规要求的客户。如今，我们推出了一项提供集中管理根访问的新功能，使AWS组织中的账户能够大大减少需要管理的密码数量，同时仍然保持对根权限使用的强大控制。客户现在可以通过IAM控制台或AWS CLI通过简单的配置变更启用集中根访问，具体过程详见此文。随后，客户可以移除其组织中成员账户根用户的长期凭证包括密码或长期访问密钥。这将提高客户的安全态势，并同时减少其运营负担。

我们强烈建议组织客户今天就开始启用我们的集中根访问功能，以体验这些好处。然而，在客户继续维护根用户的情况下，确保这些高权限凭证受到良好保护是至关重要的。借助于对大规模运营客户的增强支持，以及像密码密钥这样的附加功能，我们正在扩展MFA要求至AWS组织的成员账户。从2025年春季开始，未启用集中根访问管理的客户，将被要求为其AWS组织成员账户的根用户注册MFA，以便访问AWS管理控制台。在我们之前对管理和独立账户的扩展中，我们将逐步推出此更改，并提前通知需要采取行动的客户，以帮助客户遵守新要求，尽量减少对日常运营的影响。

您可以在IAM用户指南中了解有关集中管理根访问的新功能的更多信息，而有关在AWS上使用MFA的更多信息，请参见AWS MFA在IAM用户指南中。

如果您对此帖有反馈，请在下方的评论部分提交意见。

Arynn Crow

Arynn Crow是AWS身份管理的账户保护首席产品经理。Arynn于2012年加入亚马逊，作为客服代理，经过多年的多种角色尝试，最终在2017年找到了她在安全与身份方面的快乐职业。Arynn专注于账户保护、合规和标准以及安全设计倡议。

标签 AWS IAM MFA 多因素认证 安全性 安全博客