作者:Mark Nunnikhoven
在介紹如何利用AWS身份和存取管理來保護資源的文章裡,Justin介紹了AWS身份存取管理(IAM)的基本知識。今天我們要來看看如何使用IAM來設定密碼策略和多因子身分認證。
密碼策略(Password Policies)
使用強密碼的重要性是眾所周知的。大多數組織都已經有了密碼策略。這種策略通常會定義複雜度(像是包含多少個數字、特殊字元和密碼長度等),以及變更週期(像是每九十天就必須變更密碼)。
有些策略會更進一步,對於不同的設備或角色有不同的要求。CSIS的前廿項控制裡的第12項 – 「控制管理權限的使用」裡介紹了密碼策略的強化。就是要確保具有管理存取權限的人使用複雜密碼,並且必須一年變更好幾次。
IAM目前提供了一連串的設定來強制執行密碼策略。你可以為你的AWS帳號設定密碼策略。這策略可以讓你定義密碼的複雜度,但並不能設定變更週期。
現在就開始使用密碼策略是很棒,但你需要手動要求使用者定期變更密碼,或是採取別的方法加強……或是雙管齊下!
多因子身份認證
AWS的多因子身份認證(MFA)正是我們用來加強密碼策略的方法。
那麼,到底什麼是MFA?就是使用一個以上的認證因子來驗證誰是使用者。有三個常見因子:你知道什麼東西(something you know)、你擁有什麼東西(something you have)和你的生物特徵(something you are)。
我們的使用者已經具備了一個因子,就是密碼(使用者知道的東西)。對於AWS,第二個因子是使用者擁有的東西。可能是硬體認證裝置(可向AWS購買)或用軟體認證裝置,安裝在智慧型手機或其他設備上。
這些認證裝置會顯示隨機生成的數字,必須在使用者輸入自己的帳號和密碼登錄AWS管理控制台時輸入。這數字每隔幾秒鐘就會變化一次,以確保使用者在登錄時有認證裝置在身上。
現在想要認證成功,就必須輸入正確的帳號密碼,加上由正確認證裝置在使用者登錄當下所產生的數字。
當你第一次替一個使用者設定MFA時,你所要做的就是同步認證裝置,讓AWS知道可以對應什麼號碼。設定過程很簡單,不管是硬體還是軟體的認證裝置都只要一兩分鐘。
混合強度
為你的AWS帳號建置密碼策略非常容易,替進階使用者設定MFA認證裝置也可以在幾分鐘之內完成。如此低的進入門檻,實在沒有理由不為你的AWS進階使用者帳號使用強密碼策略加上MFA。
接著就是打開IAM管理控制台,加入密碼策略。然後開始為任何擁有進階權限的帳號設定MFA認證裝置。這兩個簡單的步驟將大幅度地替可以存取AWS管理控制台的管理帳號增加安全性。還在等什麼呢?
如果有興趣保護你的EC2(彈性雲端運算)或VPC(虛擬私有雲端運算服務)虛擬機器,可以試試我們提供給雲端伺服器的新服務 – Deep Security as a Service,目前還在免費測試中。
@原文出處:Top 10 AWS Security Tips: #2 Password Policies and Multi-Factor Authentication
◎延伸閱讀
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
< 雲端運算 >十大AWS亞馬遜網路服務安全祕訣:第一條,用IAM保護你的資源
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事
關於雲端之旅的六個好處和風險(2012年趨勢科技雲端安全調查)
