公有云:如何实现多因素认证方法

用户认证是所有公司安全战略的重要部分,确保仅仅是授权用户才能访问有价值的数据和资源。在用户名和密码之外,越来越多的企业开始使用额外的认证方法,来确认用户的身份。

多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上,这里未授权用户可能会破坏重要的应用,并导致巨大的云上开支。公有云供应商,包括Amazon Web Services (AWS), Microsoft Azure 和 Google Cloud Platform,都提供MFA作为云访问的第二层次认证。

MFA来自于何处?

和其他认证方法不同,MFA指的是通过物理或者虚拟设备提供的一段特定的认证码。如果用户既知道某个账号的登录证书,也有提供认证码的设备,那么该用户的身份很可能就是真的。

一系列输入源都可以生成MFA码,但是最为常见的输入源是运行着MFA应用的智能手机或者平板创建出的虚拟MFA设备。用户登录时,MFA应用在智能手机或者其他移动设备上提供授权码。运行在Android操作系统上的移动设备可以使用类似Google Authenticator 或者 Authy 2-Factor Authentication这样的应用,而Blackberry和Apple iPhone或者iPad设备可以使用Google Authenticator。

其他类型的MFA设备

其他流行的MFA设备包括密钥卡或者显示卡。密钥卡是一种无线设备,可以产生一个独特的,不可重用的密码作为认证码。显示卡,将信用卡和一个小显示屏组装在一起,也能生成一次性密码以供MFA使用。

企业需要给root账号或者个人身份和访问管理(IAM)用户账号分配MFA设备。在登录过程中,MFA设备提供基于时间生成的一次性密码算法标准的6位数数字码。用户输入认证码和常规证书,或者通过供应商的API将其传递给云供应商。

AWS、Google Cloud Platform和Microsoft Azure支持大多数认证方法,包括MFA。要选择一种MFA技术,需要评估你的业务需求。比如,支持BYOD的企业架构可能已经使用每台相关用户的移动设备上的适当应用程序实现了虚拟设备。更多管理严格的企业可能给核心用户或者管理员提供密钥卡。

如何启用不同类型的MFA设备?

公有云供应商通常尽量让多种类型MFA设备的实现更为容易。目标是为用户账号启用MFA,并且将MFA设备和该账号关联起来。

虚拟MFA设备通常在某台移动设备上运行一个应用。对于像AWS这样的云供应商,管理员可以启用某个用户的虚拟MFA,首先登入IAM控制台,定位用户,选择Security Credentials(安全证书)标签页,并且选择Manage MFA Device(管理MFA设备)。这会启动一个向导程序让管理员选择虚拟MFA设备。AWS向导程序提供表示密钥的QR码。移动设备和应用程序可以扫描该QR码来接收密钥并且链接设备和IAM账号。如果设备不支持QR码扫描,还可以显示密钥并且手动输入。

硬件MFA设备,比如密钥卡和显示卡,使用的也是类似技术。向导程序让管理员选择“硬件MFA设备”。然后,他们输入硬件设备的序列码完成AWS上的鉴定程序。硬件MFA设备然后就可以为AWS用户账号生成认证码。

在这两种情况下,管理员可能都需要通过输入来自设备的一个或者两个认证码来完成MFA设备的搭建流程。这样可以在新的虚拟或者硬件MFA设备真正用于AWS账号之前验证其功能是否正常。

其他云供应商的流程也很类似。比如,使用Microsoft Azure的管理员可以登入Azure门户,选择Active Directory(活动目录),为MFA选择用户,然后点击Manage Multi-Factor Auth(管理多因素认证)来打开新的浏览器标签页。选择每个用户启用MFA,点击Enable(启用),然后点击enable multi-factor auth(启用多因素认证)。用户的MFA状态就会从关闭变为启用。

如何为公有云管理MFA设备?

有些情况下管理员需要停用某个启用了MFA设备的账号。比如,如果用户离开公司或者从云供应商账号里移除了,那么在用户彻底删除之前,必须停用相关的MFA设备。在另外一些情况下,如果MFA有问题或者太烦人时,可以暂时停用MFA设备。管理员还需要在使用新的MFA设备之前停用已有的MFA设备。

通常来说,管理员会首先使用公有云供应商的管理工具来验证某个用户MFA设备的状态。比如,AWS管理员可以使用IAM控制台,选择任何用户查看其状态。当管理员发现必须停用某个MFA设备时,管理员可以使用供应商的工具来处理这样的任务。在设备停用后,以AWS为例,除非该设备被重新激活并且重新关联到某个AWS账号,否则无法再使用该设备。

MFA是企业里最为流行的认证方法之一。但是,除了它所带来的好处,MFA也为云管理员带来了额外的搭建和管理问题。因此,企业通常只为一定数量的特权用户启用MFA,比如有能够访问很多云资源的管理员。

本文转自d1net(转载)

时间: 2024-09-20 04:56:40

公有云:如何实现多因素认证方法的相关文章

价格战难持久 公有云涨价的五大因素

说云计算是个"剩者为王"的游戏一点也不为过,长期的投入并非谁都能承受.规模化和先入为主的模式让云服务商都以抢市场为第一要务,像阿里云就在国内市场吃到了甜头.如今的云计算市场竞争愈演愈烈,无论是巨头还是所谓的初创企业,为了分蛋糕不惜砸下重金打价格战.但从云计算自身的成本来看,公有云涨价难以避免. 价格战难持久 公有云涨价的五大因素(图片来自TNW) 调研机构Gartner预计,2017年全球公有云市场规模将增长18%,达到2468亿美元,企业采购向云迁移的趋势也在加剧.广义来说,价格战是

公有云服务商获得哪些资质才算上道了?

如果从2006年亚马逊以AWS的名号,正式开始向企业提供IT基础设施服务开始计算,今天的公有云产业,仍旧是一个不足十岁的少年.然而在以速度为导向,尊崇天下武功唯快不破的新IT时代,十年的时间已经足够让一个襁褓中的产业走向彻底成熟.国内云市场的高速发展引来大批的国内外云服务商的"觊觎",人多的地方就会有竞争,更何况云服务市场这块"当红炸子鸡"呢?但是要想在同行之间脱颖而出也不是那么容易的事. 首先,国际上成熟的云服务比如亚马逊AWS,微软Azure等想要在中国公有云服

2014年和2015年公有云市场份额调研报告

竞争激烈的公有云市场环境在不断变化之中.软件即服务(SaaS)仍然处于动荡中,新的进入者成功地抢占份额,老牌的许可软件提供商则在努力开发SaaS解决方案,试图夺回保持了十多年的市场领导地位.由于规模效应,基础设施即服务(IaaS)这个领域的领导厂商开始显山露水,而平台即服务(PaaS)刚开始渐成气候.正因为如此,企业需要留意哪些提供商成为赢家和输家(以及输赢的领域),但更重要的是,要留意自己想借助公有云实现什么样的目标. Wikibon认为,应用程序和业务流程是IT价值的两大来源.这对公有云解决

提高公有云安全性的工具汇总

或许你会问,为什么一排排由金属设备摆在那里,运行的时候还会发烫,且重达数千磅的机器被称之为"云"?其实这种理解方式是站在工程图标的角度来看的,因为数据是通过一种不确定的路径从起始位置到达终端的.从另一方面来看,云是指建立在现代计算能力基础上的随机数据包传输协议. 虽然现在已经没人去考究"云"这个词起源于何处,但这个词已清晰地代表了它是什么意思.Cloud Camp联合创始人Reuven Cohen早前就说过,"云是互联网的一个比喻,也是互联网新的代名词.&

Gartner:2016年全球公有云服务市场将增长17%

ZD至顶网CIO与应用频道 09月16日 北京消息:Gartner称,2016年全球公有云服务市场预计增长17.2%,总额达到2086 亿美元,高于2015年的1780亿美元.增幅最大的将是IaaS细分市场,在2016年预计增长42.8%.SaaS是全球云服务市场最大的细分市场,在2016年预计增长21.7%达到389亿美元. Gartner:2016年全球公有云服务市场增长17% Gartner研究总监Sid Nag表示:"根据Gartner在2015年有关云采用的调查发现,企业采用公有云可以

公有云运维安全常见四大难题及解决方案

乘长假回顾十年工作,深感运维安全是企业安全保障的基石. 安全运维和运维安全是两个概念.运维是工程师对各种安全设备和软件进行运维保障系统安全,而运维安全相比之下是涵盖了整个云计算系统和安全有关的方方面面.本文主要探讨公有云环境下运维安全常见的难题及解决方案. 公有云运维安全四大风险 目前使用公有云的用户可以分为两类: 一开始业务就部署在公有云上面,主要以新兴互联网公司为主.已经有自建的IT环境,需要向公有云上迁移.伴随着用户IT环境从传统自建IDC向公有云环境的转变,运维工作也从内网环境迁移到公网

云迁移,公有云or私有云?

随着科技的进步和时代的变化,经过几年的发展,云计算的好处正在被越来越多的人所了解,一些具有创新意识的公司也慢慢的开始尝试部署云计算.但对于部署云,并不是所有公司都能做到的,对于大多数公司而言,云计算算得上是一个新生事物,要将数据中心完全迁往"云"端并不是说说就能做到的,这一过程面临着诸多挑战和陷阱. 不过,就算有再多挑战什么的,每个公司都还是在进行着云迁移,至少是考虑向云迁移.由于可选的选择太多,许多公司仍然在试验哪种选择最适合自己.我们知道云计算体现出的是一种IT基础设施即服务的思想

阿里云公有云运维安全常见四大难题及解决方案

非也! 事实上,安全运维和运维安全是两个概念. 我的理解:安全运维是工程师对各种安全设备和软件进行运维保障系统安全,而运维安全相比之下是涵盖了整个云计算系统和安全有关的方方面面.本文主要探讨公有云环境下运维安全常见的难题及解决方案.  目前使用公有云的用户可以分为两类: 一是一开始业务就部署在公有云上面,主要以新兴互联网公司为主. 二是已经有自建的IT环境,需要向公有云上迁移.伴随着用户IT环境从传统自建IDC向公有云环境的转变,运维工作也从内网环境迁移到公网中,这对用户来说是一个非常大的改变.

新视角:公有云与私有云成本比较

在探索公有云与私有云的成本比较的研究过程中,IT专业人士发现了一种利用可量化的数据的来解决这一问题的新假设. 不要考虑传统方法--这种简单的计算方法可帮助企业在执行云计算过程中,确定对成本最为敏感的地方. 多年来,IT专业人士一直宣称公有云的成本要低于私有云,但鲜有数据能够支持这种论断,多数信息还是基于供应商所提供的信息. 451 Research的数字化经济研究总监Owen Rogers说:"到处都是有关公有云更适合作为商品的神话". 他认为,对两种类型云成本的讨论,可归结成能够影响