安全设计：通过中心控制加强根用户的安全态势

安全设计：通过中心控制加强根用户的安全态势

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Secure By Design， Root User Access， Multi-Factor Authentication， Account Protection， Privileged Actions]
  导读

从第一天起，亚马逊云科技就被设计和默认为安全的。保护最高权限用户的根据是您全面安全策略中的关键要素。本次集会探究如何在整个亚马逊云科技情况中安全地管理根访问权限，同时保持会合控制和管理。此外，相识亚马逊云科技提供的最新工具和办法，以逼迫实行多因素认证（MFA），与行业倡议保持划一，并确保您的情况始终安全。
  演讲精华

以下是小编为您整理的本次演讲的精华。
在网络安全不停演进的情况中，亚马逊云科技自创立以来不停走在以安全为先的设计理念的前沿。这一理念将安全视为从设计阶段开始就根植于内的理念，而不仅仅是一系列功能，成为亚马逊云科技致力于创建安全默认设置的驱动力，使客户可以大概轻松做出明智的安全决策。
亚马逊云科技多年来不停对峙以安全为先的设计理念，这体现在各种实践和决策中。一个显著的例子是制止使用默认密码，而是为每个用户单独设置唯一的根据。此外，亚马逊云科技加大了对内存安全语言如Rust的投资，该语言被用于开源授权策略语言和授权引擎Seder。此外，亚马逊云科技将多因素身份验证(MFA)和新推出的资源控制策略等基本安全功能免费提供，彰显了其对可及性安全的承诺。
然而，亚马逊云科技意识到，在数字化转型不停演进和恶意行为者本事日新月异的情况下，仅仅推出一系列功能是不够的。因此，亚马逊云科技不停重新评估和调整其安全态势，并做出必要的政策改变，以确保客户得到得当的保护水平。这种积极主动的方法在2022年得到了体现，当时亚马逊云科技将S3默认存储桶策略改为默认阻止公共访问，并推出了Amazon DynamoDB资源策略，默认阻止公共访问。
正如在亚马逊云科技工作了约12年的首席产品司理Aaron Crow所夸大的，安全边界的演变不仅限于亚马逊云科技本身。从历史上看，良好的企业安全的标志主要是由网络层控制(如防火墙和访问控制列表)来界说的。然而，随着工作方式的变化，如BYOD、物联网和地理分布式团队的出现，这一范式发生了变化。尽管网络控制仍然至关紧张，但它们现在只是全面防御策略中必要但不充分的一个组成部分。
在当代安全格局中，零信托策略夸大身份层的控制，由于身份越来越决定个人在某个情况中可以访问哪些资源和执行哪些操作。群组成员资格、工作脚色、位置和访问时间等因素成为塑造细粒度授权控制的关键，并由健全的身份验证机制来增补。
安全边界的这一变化带来了新的风险必要鉴戒。包罗2024年Verizon数据泄漏陈诉在内的多个行业来源陈诉了一个令人关注的征象:自COVID-19大流行开始以来，网络攻击变乱有所上升，此中相称一部分攻击会合在身份边界的核心组成部分——用户根据。Verizon陈诉发现，在他们评估的全部Web应用程序攻击中(占他们评估的大部分攻击)，77%的攻击使用了被盗的根据，另有21%使用了暴力破解技术。
这些发现凸显了密码的固有漏洞，密码通常很弱、在网站之间重复使用，并轻易受到网络垂纶攻击。虽然亚马逊云科技采取了各种措施来减轻密码风险，如监控在线来源是否有泄漏的根据并要求受影响用户重置密码，但密码本身仍然是一种轻易受到攻击的身份验证方法。
幸运的是，亚马逊云科技有一个简单而优雅的解决方案来解决基于密码身份验证的范围性:多因素身份验证(MFA)。正如Aaron Crow所解释的，MFA是在密码之上叠加不同因素的组合，如用户所知(如PIN码)、用户全部(如手机或安全密钥)或用户本身(生物辨认，也称为固有因素)。
MFA是亚马逊云科技的安全最佳实践，来由充分——亚马逊云科技确定它可以防止高达99%的与密码相关的攻击，这是最常见的攻击范例之一。值得注意的是，亚马逊云科技免费提供MFA，再次彰显了其让客户得到强盛安全措施而无需额外财务负担的承诺。
亚马逊云科技支持各种MFA标准，以满意不同客户的需求和偏好。假造身份验证器应用程序(天生基于时间的一次性PIN码)备受喜爱，由于它们无需额外的硬件配置即可使用。对于喜欢硬件情势的客户，亚马逊云科技提供支持硬件令牌，其功能与假造身份验证器应用程序雷同。
然而，Aaron Crow的个人最爱，也是亚马逊云科技最力荐的MFA情势，是FIDO2密钥。在当前的行业格局中，FIDO2密钥是身份验证的黄金标准，比其他MFA范例具有多项安全上风。它们使用公钥基础办法为身份验证创建加密安全的密钥对，并且是域绑定的，这意味着根据只能用于注册的域，从而具有防垂纶能力。
从历史上看，FIDO2装备不停是基于硬件的，如YubiKeys和Talis密钥。近来，Windows Hello和Apple Touch ID等平台身份验证器已将FIDO2功能集成到了环球数十亿装备中。FIDO2生态系统的最新发展是引入了密钥，这是可以同步到云端、备份和跨装备恢复的FIDO2根据。
Aaron Crow演示了使用密钥举行无缝注册和登录的体验，展示了它们所提供的易用性和安全性上风。虽然承认密钥可能不符合每个构造的安全模型，特别是那些禁止将根据备份或同步到个人装备的构造，但Aaron夸大，对于许多用户而言，密钥代表了可用性和安全性的抱负交汇点。
尽管MFA在防止未经授权访问方面的有效性已经得到证实，但行业内用户接纳率仍然令人失望地低，导致可防备的账户被入侵，可能带来严峻的商业和职员后果。为应对这一挑战，并作为其持续演进和以安全为先设计理念的一部分，亚马逊云科技决定将MFA作为一项要求，并分阶段推行，以最大水平淘汰中断并确保客户平稳过渡。
在亚马逊云科技分阶段实行MFA逼迫要求取得了令人鼓舞的成果。仅在2024年4月至10月期间，就有超过75万客户新启用了MFA，大大提高了他们的安全态势。此外，在亚马逊云科技于2024年6月推出对FIDO2密钥的支持后，选择这种行业领先身份验证方法的客户数量增加了超过100%。
然而，亚马逊云科技通往更安全生态系统的旅程尚未竣事。从2025年春季开始，如果未使用新的中心根访问管理功能删除其根用户根据，则亚马逊云科技构造中的成员账户也将被要求启用MFA。
中心根访问管理功能是由在亚马逊云科技工作了约2年半的首席安全解决方案架构师Jason Garmin引入的，代表了亚马逊云科技客户安全态势的重大进步。该功能允许客户在其亚马逊云科技构造的成员账户中会合启用、禁用和执行根用户根据的特权操作，从而淘汰了潜在攻击的团体面临。
Jason Garmin从历史角度回顾了亚马逊云科技账户访问的演变，从2006年简单的用户名和密码登录页面，到2011年引入身份和访问管理(IAM)服务，使客户可以大概创建多个用户、脚色和细粒度权限策略。随着客户的云基础办法复杂性不停增加，亚马逊云科技于2017年推出了亚马逊云科技构造，允许客户会合管理和管理其亚马逊云科技账户，同时依照账户隔离的最佳实践，以提高安全态势。
然而，尽管取得了这些进展，每个亚马逊云科技账户仍然保留了其相关的根用户，这是2006年登录页面的遗留物。正如Aaron Crow所夸大的，在当前的安全情况中，仅依赖用户名和密码来保护亚马逊云科技账户中最高权限的用户已经不够。
Jason Garmin夸大，虽然IAM引入了为用户创建范围缩小的策略和细粒度访问控制的能力，但仍有约莫10个只有根用户才能执行的操作。通过与客户的对话，亚马逊云科技发现这些根用户操作的频率范围很广，从构造生命周期中只执行一次的操作(如关闭账户或注册为市场销售商)，到更频繁的操作，如更改账户名称或联系人详细信息。
值得注意的是，亚马逊云科技熟悉到客户经常必要根用户访问权限来执行某些特权操作，比方修复锁定场景或删除过于严格的S3存储桶策略。Jason Garmin坦率地承认自己曾经亲自将自己锁定在S3存储桶之外，夸大为客户提供此类场景的简化解决方案的紧张性。这是一种常见情况，尤其是当客户转向最小特权模型时，错误在所难免，拥有更简单的补救方式至关紧张。
为了满意这一需求，亚马逊云科技推出了中心根访问管理功能，这是一种新机制，允许客户管理、保护和控制对其亚马逊云科技构造内成员账户的高度特权访问。该功能包罗两个主要组成部分:

• 会合启用和禁用成员亚马逊云科技账户的根用户根据，有效淘汰了攻击面，由于在大多数情况下不必要根用户根据。
  
• 为客户提供一种会合的方式，从中心位置执行其成员亚马逊云科技账户内的某些特权操作。
  

中心根访问管理功能包裹在一层审计和可见性层中，允许客户全面相识其基础架构在全部账户和构造单位中的安全状态。
Jason Garmin在亚马逊云科技管理控制台中演示了该功能的能力，展示了独立启用或禁用根访问根据和特权操作的能力。客户还可以指定一个委派管理员账户来执行这些操作，依照制止天天访问亚马逊云科技构造管理账户的最佳实践。
控制台清晰地概述了每个账户的根用户根据状态，指示是否存在根据，如果存在，则指定启用的根据范例(比方访问密钥、控制台登录、签名证书、MFA装备)。这种可见性使客户可以大概一目了然地评估其安全态势并采取得当行动。
在开发职员或用户由于过于严格的S3存储桶策略而无意中将自己锁定的情况下，中心根访问管理功能允许客户登录到其委派管理员账户，并直接从控制台执行特权操作，比方删除有题目标存储桶策略。这种简化的流程消除了以根用户身份登录或查找和管理与根账户关联的物理MFA装备的必要。
对于希望主动化大规模特权操作的客户，亚马逊云科技推出了新的sts assume-root API。该API允许客户使用严格范围的策略执行管理操作，获取仅限于指定策略的有时限的STS令牌。访问通过Amazon CloudTrail举行记录，并由现有的服务控制策略(SCP)和资源控制策略举行管理，确保服从既定的安全实践。
Jason Garmin提供了一个示例架构，演示了客户如何通过Slack或Teams等聊天界面将特权操作委派给开发职员。在这种情况下，用户通过Amazon Chatbot发起请求，与委派安全账户中的Lambda函数举行通信。颠末审批流程后，Lambda函数调用sts assume-root API，获取一个仅限于删除特定存储桶策略的有时限的根据，并执行补救操作。然后，用户会收到成功补救的关照。这种自助式补救工作流使开发职员可以大概快速解决题目，而无需依赖安全团队的手动干预。
值得注意的是，中心根访问管理功能在环球范围内免费提供，与亚马逊云科技为客户提供强盛安全措施而不增加财务负担的承诺保持划一。
总之，Jason Garmin夸大了客户接纳中心根访问管理功能时应依照的几项最佳实践:

• 在亚马逊云科技构造的管理账户中启用该功能。
  
• 委派一个账户来执行特权操作，依照最小特权原则。
  
• 从成员账户中删除不必要的根用户根据。
  
• 通过主动化扩展该功能的接纳。
  
• 使用得当的MFA措施保护亚马逊云科技构造管理账户中剩余的根用户。
  

Aaron Crow重申了中心根访问管理功能的紧张性，夸大了它淘汰运营开销和提高安全性的潜力，方法是淘汰根据数量和攻击面。通过使用这一功能，客户可以解决与MFA接纳、密码轮换要求和团体风险缓解相关的题目。
虽然中心根访问管理功能解决了根用户根据的管理题目，但Aaron Crow夸大保护任何剩余密码的紧张性，比方与管理账户的根用户或任何保留的成员账户根用户相关的密码。这凸显了MFA作为基础安全最佳实践的持续相关性。
Aaron Crow重申了亚马逊云科技持续发展其安全态势并举行必要政策变动的承诺，以确保客户得到得当级别的保护。随着恶意行为者所接纳的技术不停发展，亚马逊云科技保持鉴戒，重新评估并调整其安全措施，以跟上新出现的威胁。
在不停变化的网络安全情况中，亚马逊云科技对安全设计原则的坚定奉行使其成为赋予客户强盛、可访问和不停发展的安全措施的向导者。通过中心根访问管理等功能以及FIDO2密钥等行业领先的MFA的实行，亚马逊云科技正在为更加安全的数字未来铺平蹊径，在这个未来，构造可以自信地拥抱创新，同时保持强盛的安全态势。
下面是一些演讲现场的精彩瞬间：
Aaron Crow是亚马逊云科技的一位主要产品司理，他在reInvent2024活动上介绍了自己和他的同事。

亚马逊云科技采取了积极的措施来防止用户使用弱密码或已被泄漏的密码，从而加强了账户的安全性。

Amazon Control Tower简化了特权访问管理，允许委派管理员执行诸如删除过于严格的S3存储桶策略等操作，而无需根根据或MFA装备。

亚马逊云科技 re:Invent 2024展示了亚马逊云科技服务(如Amazon Chatbot、Lambda和新的“sts assume-root”API)的无缝集成，使开发职员可以大概通过带有审批工作流的聊天界面来修复错误的存储桶策略。

Andy Jassy夸大了新的会合式根访问管理功能是安全性的一大胜利，淘汰了根据数量和潜在风险的外貌积。

亚马逊云科技推出了密钥，这是亚马逊云科技 MFA家族的最新成员，它们具有加密安全性、域绑定、防垂纶能力，并且可以跨装备备份、恢复和同步。

演讲者夸大了远离单纯依赖密码举行身份验证，接纳更安全的方法(如会合式根访问管理和多因素身份验证)的紧张性。

  总结

这篇演讲围绕着亚马逊云科技安全实践的演进睁开，重点是加强根用户访问的安全态势，并推广接纳多因素身份认证(MFA)。以下是关键要点:

• 亚马逊云科技自创立以来就承袭“安全设计”理念，贯穿整个构造，让客户更轻易做出良好的安全决策。这包罗独特的用户根据、内存安全语言和免费MFA等功能。
  
• 随着安全边界从网络中心转移到身份中心，亚马逊云科技夸大强身份认证和细粒度授权控制，以应对日益增加的基于根据的攻击威胁。
  
• 亚马逊云科技推出了一项名为“根用户访问中心管理”的新功能，允许客户在其亚马逊云科技账户中会合启用/禁用根用户根据并执行特权操作，从而淘汰攻击面和运营开销。
  
• 亚马逊云科技正在提高MFA要求，使其对全部账户逼迫实行，并采取分阶段推出的方式。这包罗推广接纳FIDO2密钥，与传统MFA方法相比，它提供了更高的安全性和可用性。
  

总之，亚马逊云科技不停发展其安全实践，以跟上新兴威胁，为客户提供默认安全的功能，并推广接纳MFA等强盛的身份认证方法，以加强其云基础办法的团体安全态势。
亚马逊云科技（Amazon Web Services）是环球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务环球245个国家和地区的数百万客户。做为环球天生式AI前行者，亚马逊云科技正在携手广泛的客户和互助搭档，缔造可见的商业代价 – 汇集环球40余款大模型，亚马逊云科技为10万家环球企业提供AI及呆板学习服务，守护3/4中国企业出海。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。