用户认证是所有公司安全战略的重要部分,确保仅仅是授权用户才能访问有价值的数据和资源。在用户名和密码之外,越来越多的企业开始使用额外的认证方法,来确认用户的身份。
多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上,这里未授权用户可能会破坏重要的应用,并导致巨大的云上开支。公有云供应商,包括Amazon Web Services (AWS), Microsoft Azure 和 Google Cloud Platform,都提供MFA作为云访问的第二层次认证。
MFA来自于何处?
和其他认证方法不同,MFA指的是通过物理或者虚拟设备提供的一段特定的认证码。如果用户既知道某个账号的登录证书,也有提供认证码的设备,那么该用户的身份很可能就是真的。
一系列输入源都可以生成MFA码,但是最为常见的输入源是运行着MFA应用的智能手机或者平板创建出的虚拟MFA设备。用户登录时,MFA应用在智能手机或者其他移动设备上提供授权码。运行在Android操作系统上的移动设备可以使用类似Google Authenticator 或者 Authy 2-Factor Authentication这样的应用,而Blackberry和Apple iPhone或者iPad设备可以使用Google Authenticator。
其他类型的MFA设备
其他流行的MFA设备包括密钥卡或者显示卡。密钥卡是一种无线设备,可以产生一个独特的,不可重用的密码作为认证码。显示卡,将信用卡和一个小显示屏组装在一起,也能生成一次性密码以供MFA使用。
企业需要给root账号或者个人身份和访问管理(IAM)用户账号分配MFA设备。在登录过程中,MFA设备提供基于时间生成的一次性密码算法标准的6位数数字码。用户输入认证码和常规证书,或者通过供应商的API将其传递给云供应商。
AWS、Google Cloud Platform和Microsoft Azure支持大多数认证方法,包括MFA。要选择一种MFA技术,需要评估你的业务需求。比如,支持BYOD的企业架构可能已经使用每台相关用户的移动设备上的适当应用程序实现了虚拟设备。更多管理严格的企业可能给核心用户或者管理员提供密钥卡。
如何启用不同类型的MFA设备?
公有云供应商通常尽量让多种类型MFA设备的实现更为容易。目标是为用户账号启用MFA,并且将MFA设备和该账号关联起来。
虚拟MFA设备通常在某台移动设备上运行一个应用。对于像AWS这样的云供应商,管理员可以启用某个用户的虚拟MFA,首先登入IAM控制台,定位用户,选择Security Credentials(安全证书)标签页,并且选择Manage MFA Device(管理MFA设备)。这会启动一个向导程序让管理员选择虚拟MFA设备。AWS向导程序提供表示密钥的QR码。移动设备和应用程序可以扫描该QR码来接收密钥并且链接设备和IAM账号。如果设备不支持QR码扫描,还可以显示密钥并且手动输入。
硬件MFA设备,比如密钥卡和显示卡,使用的也是类似技术。向导程序让管理员选择“硬件MFA设备”。然后,他们输入硬件设备的序列码完成AWS上的鉴定程序。硬件MFA设备然后就可以为AWS用户账号生成认证码。
在这两种情况下,管理员可能都需要通过输入来自设备的一个或者两个认证码来完成MFA设备的搭建流程。这样可以在新的虚拟或者硬件MFA设备真正用于AWS账号之前验证其功能是否正常。
其他云供应商的流程也很类似。比如,使用Microsoft Azure的管理员可以登入Azure门户,选择Active Directory(活动目录),为MFA选择用户,然后点击Manage Multi-Factor Auth(管理多因素认证)来打开新的浏览器标签页。选择每个用户启用MFA,点击Enable(启用),然后点击enable multi-factor auth(启用多因素认证)。用户的MFA状态就会从关闭变为启用。
如何为公有云管理MFA设备?
有些情况下管理员需要停用某个启用了MFA设备的账号。比如,如果用户离开公司或者从云供应商账号里移除了,那么在用户彻底删除之前,必须停用相关的MFA设备。在另外一些情况下,如果MFA有问题或者太烦人时,可以暂时停用MFA设备。管理员还需要在使用新的MFA设备之前停用已有的MFA设备。
通常来说,管理员会首先使用公有云供应商的管理工具来验证某个用户MFA设备的状态。比如,AWS管理员可以使用IAM控制台,选择任何用户查看其状态。当管理员发现必须停用某个MFA设备时,管理员可以使用供应商的工具来处理这样的任务。在设备停用后,以AWS为例,除非该设备被重新激活并且重新关联到某个AWS账号,否则无法再使用该设备。
MFA是企业里最为流行的认证方法之一。但是,除了它所带来的好处,MFA也为云管理员带来了额外的搭建和管理问题。因此,企业通常只为一定数量的特权用户启用MFA,比如有能够访问很多云资源的管理员。