Google Cloud 计划到 2025 年对所有用户强制执行多重身份验证 (MFA),此举的目的正是为了增强安全性,以应对不断升级的网络威胁。从本月开始,Google 将推出提醒和资源,敦促客户采用 MFA。这一分阶段实施计划凸显了更广泛的行业趋势:在安全方面,仅依赖密码已成为过去。
为什么 Google 要求在 Google Cloud 上进行 MFA?
Google 推动 MFA 的动机很明确。网络漏洞激增,而薄弱的安全实践是这些攻击的核心。仅 2024 年,就有超过 10 亿条记录因各种违规行为而被盗。其中最突出的是 Change Healthcare 和 Snowflake 的事件,其中敏感数据由于缺乏 MFA 的凭证被泄露而被暴露。谷歌的决定标志着它承认网络安全风险已经超过了传统的保护措施。
Mayank Upadhyay,谷歌工程副总裁, 布置 谷歌的立场很明确:“鉴于云部署的敏感性,并且网络钓鱼和被盗凭证仍然是我们 Mandiant 威胁情报团队观察到的首要攻击媒介,我们认为现在是时候要求 Google Cloud 的所有用户采用 2SV 了。”通过实施 MFA,谷歌正在提高帐户安全的风险,反映出一种心态,即网络弹性现在需要的不仅仅是强密码。
Google 计划如何为云用户推出 MFA
谷歌不会在一夜之间做出转变。相反,它分阶段推出强制性 MFA,为用户和企业提供调整时间。以下是每个阶段的预期内容:
- 第一阶段(2024 年 11 月)——鼓励启用 MFA:
谷歌已开始在 Google Cloud 控制台中嵌入提醒和指导,鼓励用户自愿设置 MFA。资源可帮助团队规划、进行测试并确保 MFA 部署顺利。此阶段奠定了基础,提高了意识并让客户轻松了解最终将成为的要求。
- 第 2 阶段(2025 年初) – 对于基于密码的登录,MFA 成为强制要求:
2025 年初,Google 将开始要求所有使用密码登录的 Google Cloud 用户进行 MFA。此要求扩展到 Firebase 和 gCloud 等 Google 平台,这意味着用户必须使用第二种身份验证方法来验证其身份 – 无论是安全密钥、基于应用程序的身份验证还是生物识别验证。
- 第三阶段(2025 年底)- 将 MFA 扩展到联合用户:
到 2025 年底,Google 的 MFA 授权将覆盖联合用户,即通过第三方身份提供商登录的用户。此阶段可确保无论采用何种登录方法,Google Cloud 上的帐户都受到额外安全层的保护。对于使用身份提供商的组织,Google 的 MFA 要求在所有接入点上添加了额外的统一防御层。
分阶段推出使用户有机会在不中断运营的情况下集成 MFA,从而有时间教育团队并确保其工作流程中的合规性。
谷歌此举顺应了安全行业趋势
谷歌的这一转变与 AWS 和微软等云巨头最近的举措是一致的。 AWS 早在 2024 年 6 月就开始执行 MFA,微软的 Azure 很快也紧随其后。随着 Google Cloud 加入这一趋势,很明显,科技行业正在围绕 MFA 作为云安全的新标准。对于谷歌云用户来说,考虑到该公司在安全创新方面的广泛记录,这种转变可能感觉有点迟了。
虽然消费者 Google 帐户长期以来一直提供可选的 MFA,但在企业界,利害关系却有所不同。企业帐户通常保存关键和敏感数据,使其成为网络攻击的主要目标。认识到这些较高的风险,谷歌正在划定界限,要求企业用户强化他们的帐户。正如 Upadhyay 观察到的那样,“如今,所有 Google 服务的用户都广泛采用了 2SV”,但考虑到所涉及的访问级别和数据,强制执行是“不可避免的”。
MFA:是什么推动了更强的身份验证?
推动 MFA 源于大多数人和公司已经知道的一个现实:密码是不够的。随着网络攻击变得更加先进并针对数字基础设施的弱点,MFA 已被证明是防止未经授权访问的最有效方法之一。
研究强调了 MFA 的有效性。根据美国网络安全和基础设施安全局 (CISA) 的数据,MFA 可将帐户泄露的可能性降低 99%。它要求用户通过第二种形式的验证来确认自己的身份——这一额外步骤通常可以阻止已经获得密码的攻击者。
最近的数据泄露事件起到了警示作用。例如, 雪花面临突破 泄露了客户的私人数据,例如 票务大师,强调缺乏 MFA 甚至会让大型组织变得脆弱。谷歌的使命旨在填补这些空白,并为其他公司树立先例。
这对 Google Cloud 用户意味着什么
对于依赖 Google Cloud 的企业和个人来说,强制 MFA 意味着认真对待安全调整。鼓励尽早采用,特别是对于管理多个用户帐户的企业。 Google 在其 Cloud 控制台中提供资源,指导用户完成 MFA 设置、部署规划和团队教育。
好消息是用户有选择。 Google Cloud 支持一系列 MFA 方法 – 从身份验证器应用和短信代码到物理安全密钥。与此同时,联合用户可以与其主要身份提供商合作集成 MFA,从而使他们能够维持简化的登录流程。
分阶段的时间表提供了一定程度的灵活性。组织可以利用这段时间确保 MFA 政策既合规又实用,从而最大限度地减少干扰。谷歌的资源旨在缓解这一转变,但组织应该立即开始准备以避免最后一刻的障碍。
特色图片来源: 凯雷姆·葛兰/中途
