Als eerste cloudprovider maakte AWS multi-factor authenticatie (MFA) in 2023 verplicht voor accounts met root-toegang. Nu is deze verplichting omgezet naar volledige dekking: elke root user heeft aan inloggen niet meer genoeg.
Het is een bekende slagzin onder cyberexperts: aanvallers hacken heden ten dage niet, maar loggen in. Hierdoor is de basale eis om MFA in te stellen belangrijker dan ooit. Dit hebben de grote cloudspelers door en AWS begreep als eerste dat root users hiertoe verplicht moesten worden. Hierna volgden Google Cloud en Microsoft Azure.
Missie voltooid?
MFA is niet waterdicht, maar verhoogt het beschermingsniveau aanzienlijk. Een bevestigingscode naar een extern apparaat is alsnog te stelen door aanvallers, bijvoorbeeld door het compromitteren van een ander account vooraf of door middel van social engineering. Ook is er vooralsnog enkel MFA-garantie voor root users; alle andere accounts zijn nog altijd te compromitteren zonder dat er extra authenticatiestappen nodig zijn.
Desondanks blijft het niet bij MFA voor AWS. IAM Access Analyzer laat IT-admins zien wie binnen een organisatie toegang tot kritieke middelen heeft, waardoor eventuele securitygaten te dichten zijn. Ook ontvangt AWS Security Hub meer signalen dan ooit, zodat kwetsbare instances of accounts sneller te ontdekken zijn. Het blijft van belang om dus security gelaagd te zien, met MFA slechts als eerste (hoewel belangrijke) verdedigingslinie.
Goed voorbeeld
De realiteit is dat MFA al zo’n twee decennia bekend is bij het grote publiek. Zeker sinds de popularisering van de smartphone had de technologie voor elk belangrijk account ter wereld geïmplementeerd kunnen worden. Toch vergt de adoptie van een securitymethode een mengelmoes van overtuiging en verplichting. Vandaar dat AWS ervoor koos de verplichte MFA-adoptie geleidelijk uit te rollen. Eerst werd MFA voor AWS Organizations-management verplicht voor account root users in mei 2024, waarna standalone account root users een maand later volgden, met daarna gecentraliseerde root access management voor AWS Organizations in november vorig jaar.
Het lijkt erop dat Google deze roadmap niet alleen wilde kopiëren, maar ook overtreffen. Sommige accoutns zouden binnen Google Cloud eerder verplicht zijn tot MFA dan bij AWS. Dit wijst erop dat deze vorm van security geleidelijk meer is geworden dan een klantbeslissing, maar een basisvereiste om van het cloudplatform gebruik te maken. Dat is een goede zaak en relatief zeldzaam. Security een concurrerend voordeel maken, vergt enige vorm van bewustzijn van de gevolgen die het niet naleven van de beste securitystandaarden hebben. Ondanks het feit dat MFA alleen niet voldoende is, zijn we een stapje dichterbij een gezond securitylandschap in de cloud.
Lees ook: Amazon brengt eindelijk MFA naar maildienst WorkMail