十大AWS安全祕訣:第二條,密碼策略和多因子身分認證

作者:Mark Nunnikhoven

在介紹如何利用AWS身份和存取管理來保護資源的文章裡,Justin介紹了AWS身份存取管理(IAM)的基本知識。今天我們要來看看如何使用IAM來設定密碼策略和多因子身分認證。

密碼策略(Password Policies)

使用強密碼的重要性是眾所周知的。大多數組織都已經有了密碼策略。這種策略通常會定義複雜度(像是包含多少個數字、特殊字元和密碼長度等),以及變更週期(像是每九十天就必須變更密碼)。

有些策略會更進一步,對於不同的設備或角色有不同的要求。CSIS的前廿項控制裡的第12項 – 「控制管理權限的使用」裡介紹了密碼策略的強化。就是要確保具有管理存取權限的人使用複雜密碼,並且必須一年變更好幾次。

IAM目前提供了一連串的設定來強制執行密碼策略。你可以為你的AWS帳號設定密碼策略。這策略可以讓你定義密碼的複雜度,但並不能設定變更週期。

現在就開始使用密碼策略是很棒,但你需要手動要求使用者定期變更密碼,或是採取別的方法加強……或是雙管齊下!

多因子身份認證

AWS的多因子身份認證(MFA)正是我們用來加強密碼策略的方法。

那麼,到底什麼是MFA?就是使用一個以上的認證因子來驗證誰是使用者。有三個常見因子:你知道什麼東西(something you know)、你擁有什麼東西(something you have)和你的生物特徵(something you are)。

 

我們的使用者已經具備了一個因子,就是密碼(使用者知道的東西)。對於AWS,第二個因子是使用者擁有的東西。可能是硬體認證裝置(可向AWS購買)或用軟體認證裝置,安裝在智慧型手機或其他設備上。

這些認證裝置會顯示隨機生成的數字,必須在使用者輸入自己的帳號和密碼登錄AWS管理控制台時輸入。這數字每隔幾秒鐘就會變化一次,以確保使用者在登錄時有認證裝置在身上。

現在想要認證成功,就必須輸入正確的帳號密碼,加上由正確認證裝置在使用者登錄當下所產生的數字。

當你第一次替一個使用者設定MFA時,你所要做的就是同步認證裝置,讓AWS知道可以對應什麼號碼。設定過程很簡單,不管是硬體還是軟體的認證裝置都只要一兩分鐘。

混合強度

為你的AWS帳號建置密碼策略非常容易,替進階使用者設定MFA認證裝置也可以在幾分鐘之內完成。如此低的進入門檻,實在沒有理由不為你的AWS進階使用者帳號使用強密碼策略加上MFA。

接著就是打開IAM管理控制台,加入密碼策略。然後開始為任何擁有進階權限的帳號設定MFA認證裝置。這兩個簡單的步驟將大幅度地替可以存取AWS管理控制台的管理帳號增加安全性。還在等什麼呢?

如果有興趣保護你的EC2(彈性雲端運算)或VPC(虛擬私有雲端運算服務)虛擬機器,可以試試我們提供給雲端伺服器的新服務 – Deep Security as a Service,目前還在免費測試中。

@原文出處:Top 10 AWS Security Tips: #2 Password Policies and Multi-Factor Authentication

◎延伸閱讀

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

小型企業的雲端之路,到頭來還是回到原點

超神準的算命大師如何用雲端展開讀心術?!(影片)

保護您邁向雲端之路的 10 個步驟

巨量資料分析和主動式雲端截毒技術

關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)

虛擬化的無代理防護也適用於雲端嗎?

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網