微软
微软宣布,今年7月将强制Azure用户启用多因素验证(multi-factor authentication,MFA),提供多一层安全防护,不过Azure代管的应用和服务不在此列。
微软表示,现在已经很多云端服务使用MFA,要求用户提供2种以上的身分凭证作为存取服务或资源时的验证。根据微软自家报告,99.9%的被骇帐号未启用MFA,报告也发现,MFA可阻挡99.2%的帐号骇人,是最有效的安全措施之一。疫情后混合办公的作业型态普及,远端攻击安全风险升高,MFA能减少公司网路资源遭不明人士存取的风险,能减低帐号被骇及公司资料外泄风险,此外,还能协助公司满足多种资安标准与法规要求,像是「支付卡产业资料安全标准」(PCI DSS)、健康保险可移植性和责任法案(HIPAA)、欧盟一般资料保护规则(GDPR)及美国国家标准技术局(NIST)等。微软去年11月公布的安全未来计划(Secure Future Initiative)三项工程革新之一,即在租户层部署新式身分防护和MFA。
从2024年7月起,Azure将渐进推动这项政策,以减少对用户的冲击。微软会先从Azure portal开始要求,之后渐次推广到CLI、PowerShell及Terraform。
但这项政策不会主动适用Azure上代管的App、网站或服务,会由其管理决定验证政策。此外,服务用于自动化的服务主体(service principal)物件、代管身分、作业负载身分和类似的token-based帐号也会排除在外,但微软还是会针对紧急情况如Break-glass帐号(紧急情况使用的特权帐号)等搜集用户意见。MFA并没有opt-out的选项,但若是用户真的没法使用,微软还是可能允许例外,不过细节要等微软之后正式通知。
微软之后将透过正式电子邮件和通知预先告知。最早强制启用MFA的Azure portal,必要时也可能多给一些时间,但微软仍呼吁管理员及用户及早行动,透过MFA精灵的协助启用MFA。
现在Entra ID(原Azure AD)已支援多种MFA方法,包括使用Microsoft Authenticator App、简讯、电话、或硬体金钥,供用户选择偏好的方式。管理员也可利用Entra ID条件存取政策调整,要根据何种讯号,如用户地点、装置、角色或风险层级来启用MFA,并建议管理员现在先检查开发用的Entra ID及存取Azure Resource Manager的API,必要时也了解如何将用户身分变更为服务主体及代管身分。