Google Cloud ma wprowadzić obowiązek uwierzytelniania wieloskładnikowego (MFA) dla wszystkich użytkowników do 2025 r., co ma bezpośrednio na celu zwiększenie bezpieczeństwa w odpowiedzi na eskalację zagrożeń cybernetycznych. Od tego miesiąca Google będzie udostępniać przypomnienia i zasoby zachęcające klientów do korzystania z usługi MFA. Ten etapowy plan egzekwowania prawa podkreśla szerszy trend branżowy: jeśli chodzi o bezpieczeństwo, poleganie wyłącznie na hasłach należy już do przeszłości.
Dlaczego Google wymaga usługi MFA w Google Cloud?
Motywacja stojąca za naciskiem Google na MFA jest jasna. Liczba naruszeń cyberbezpieczeństwa rośnie, a główną przyczyną tych ataków są słabe praktyki bezpieczeństwa. Tylko w 2024 r. w wyniku różnych naruszeń skradziono ponad 1 miliard rekordów. Wśród nich najważniejsze były incydenty w Change Healthcare i Snowflake, gdzie ujawniono wrażliwe dane z powodu naruszenia bezpieczeństwa danych uwierzytelniających bez MFA. Decyzja Google stanowi potwierdzenie, że zagrożenia dla cyberbezpieczeństwa przekroczyły tradycyjne środki ochronne.
Mayank Upadhyay, wiceprezes Google ds. inżynierii, rozłożone Stanowisko Google jasno brzmi: „Biorąc pod uwagę delikatny charakter wdrożeń w chmurze – a także phishing i kradzież danych uwierzytelniających pozostają głównym wektorem ataków zaobserwowanym przez nasz zespół Mandiant Threat Intelligence – uważamy, że nadszedł czas, aby wymagać weryfikacji dwuetapowej od wszystkich użytkowników Google Cloud”. Egzekwując MFA, Google podnosi stawkę w zakresie bezpieczeństwa kont, odzwierciedlając pogląd, że odporność cybernetyczna wymaga obecnie czegoś więcej niż tylko silnych haseł.
Jak Google planuje wdrożyć usługę MFA dla użytkowników chmury
Google nie zmieni przełącznika z dnia na dzień. Zamiast tego wprowadza obowiązkową usługę MFA etapami, dając użytkownikom i firmom czas na dostosowanie się. Oto, czego można się spodziewać na każdym etapie:
- Faza 1 (listopad 2024 r.) – Zachęta do umożliwienia MFA:
Firma Google zaczęła osadzać przypomnienia i wskazówki w konsoli Google Cloud, zachęcając użytkowników do dobrowolnego skonfigurowania usługi MFA. Dostępne są zasoby ułatwiające zespołom planowanie, przeprowadzanie testów i zapewnianie płynnego wdrożenia usługi MFA. Ta faza kładzie fundamenty, podnosi świadomość i ułatwia klientom osiągnięcie tego, co ostatecznie stanie się wymogiem.
- Faza 2 (początek 2025 r.) – Usługa MFA staje się obowiązkowa w przypadku logowania opartego na hasłach:
Na początku 2025 r. Google zacznie wymagać uwierzytelniania MFA od wszystkich użytkowników Google Cloud logujących się przy użyciu hasła. Ten wymóg dotyczy platform Google, takich jak Firebase i gCloud, co oznacza, że użytkownicy muszą zweryfikować swoją tożsamość za pomocą drugiej metody uwierzytelniania – klucza bezpieczeństwa, uwierzytelnienia opartego na aplikacji lub weryfikacji biometrycznej.
- Faza 3 (koniec 2025 r.) – Rozszerzanie usługi MFA na użytkowników federacyjnych:
Do końca 2025 r. mandat Google dotyczący usługi MFA dotrze do użytkowników federacyjnych – tych logujących się za pośrednictwem zewnętrznych dostawców tożsamości. Ta faza gwarantuje, że niezależnie od metody logowania konta w Google Cloud będą chronione dodatkową warstwą bezpieczeństwa. W przypadku organizacji korzystających z dostawców tożsamości wymagania Google dotyczące usługi MFA zapewniają dodatkową, ujednoliconą warstwę ochrony we wszystkich punktach dostępu.
Wdrażanie etapowe daje użytkownikom szansę na integrację usługi MFA bez zakłócania operacji, dając czas na edukowanie zespołów i zapewnienie zgodności w ramach ich przepływu pracy.
Posunięcie Google jest zgodne z trendami branżowymi w zakresie bezpieczeństwa
Ta zmiana Google jest zgodna z ostatnimi ruchami gigantów chmurowych, takich jak AWS i Microsoft. AWS rozpoczęło egzekwowanie MFA w czerwcu 2024 r., a Microsoft Azure wkrótce poszedł w jego ślady. Wraz z dołączeniem Google Cloud do tego trendu jasne jest, że branża technologiczna skupia się wokół MFA jako nowego standardu bezpieczeństwa chmury. Użytkownicy Google Cloud mogą wydawać się spóźnieni, biorąc pod uwagę bogate doświadczenie firmy w zakresie innowacji w zakresie bezpieczeństwa.
Chociaż konsumenckie konta Google od dawna oferują opcjonalną usługę MFA, w świecie przedsiębiorstw stawki są inne. Konta firmowe często przechowują krytyczne i wrażliwe dane, co czyni je głównymi celami cyberataków. Uznając te podwyższone ryzyko, Google wyznacza granicę, nakazując użytkownikom korporacyjnym wzmacnianie swoich kont. Jak zauważył Upadhyay: „Obecnie weryfikacja dwuetapowa jest powszechnie stosowana przez użytkowników we wszystkich usługach Google”, ale biorąc pod uwagę poziom dostępu i danych, obowiązkowe egzekwowanie było „nieuniknione”.
MFA: Co napędza nacisk na silniejsze uwierzytelnianie?
Nacisk na MFA wynika z rzeczywistości, którą większość ludzi i firm już zna: hasła nie wystarczą. W obliczu coraz bardziej zaawansowanych cyberataków, których celem są słabe strony infrastruktury cyfrowej, MFA okazała się jedną z najskuteczniejszych metod zapobiegania nieuprawnionemu dostępowi.
Badania potwierdzają skuteczność MSZ. Według amerykańskiej Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) usługa MFA zmniejsza prawdopodobieństwo włamania się na konto o 99%. Wymaga od użytkowników potwierdzenia swojej tożsamości za pomocą drugiej formy weryfikacji — jest to dodatkowy krok, który często powstrzymuje atakujących, którzy uzyskali już hasło.
Niedawne naruszenia bezpieczeństwa danych stały się przestrogą. Na przykład, Płatek śniegu stanął przed wyłomem które wyciekły prywatne dane od klientów, takich jak Kierownik sprzedaży biletówpodkreślając, jak brak pomocy makrofinansowej naraża nawet duże organizacje na zagrożenia. Mandat Google ma na celu załatanie tych luk i stanowi precedens do naśladowania dla innych.
Co to oznacza dla użytkowników Google Cloud
Dla firm i osób fizycznych korzystających z Google Cloud obowiązkowa usługa MFA oznacza poważne podejście do dostosowań w zakresie bezpieczeństwa. Zachęcamy do wczesnego wdrożenia, zwłaszcza w przypadku przedsiębiorstw zarządzających wieloma kontami użytkowników. Google udostępnia zasoby w swojej konsoli Cloud, prowadząc użytkowników przez konfigurację usługi MFA, planowanie wdrożenia i edukację zespołu.
Dobra wiadomość jest taka, że użytkownicy mają wybór. Google Cloud umożliwia korzystanie z szeregu metod MFA – od aplikacji uwierzytelniających i kodów SMS po fizyczne klucze bezpieczeństwa. Tymczasem użytkownicy federacyjni mogą współpracować ze swoimi głównymi dostawcami tożsamości w celu zintegrowania usługi MFA, co umożliwi im utrzymanie usprawnionego procesu logowania.
Etapowa oś czasu zapewnia pewien stopień elastyczności. Organizacje mogą wykorzystać ten czas, aby upewnić się, że zasady MFA są zarówno zgodne, jak i praktyczne, minimalizując zakłócenia. Zasoby Google mają na celu ułatwienie tego przejścia, ale organizacje powinny rozpocząć przygotowania już teraz, aby uniknąć przeszkód pojawiających się w ostatniej chwili.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
