Amazon exigera la MFA sur les comptes membres d’AWS Organizations à partir du printemps 2025, a annoncé la société vendredi.
La dernière annonce d’Amazon fait suite à celle d’autres géants de la technologie qui ont annoncé de la même manière l’extension de leurs exigences en matière d’AMF. La semaine dernière, Google Cloud a annoncé qu’il déploierait les exigences MFA pour tous les utilisateurs à partir de ce mois et jusqu’à la fin de l’année prochaine. Microsoft a fait une annonce similaire pour les utilisateurs d’Azure en août, bien que les trois fournisseurs de cloud discutent depuis plus longtemps des mandats MFA.
AWS, par exemple, a annoncé pour la première fois qu’il étendrait les exigences MFA en octobre de l’année dernière. Le CSO d’Amazon, Steve Schmidt, a écrit dans un article de blog à l’époque qu’à partir de la mi-2024, « les clients se connectant à AWS Management Console avec l’utilisateur root d’un compte de gestion AWS Organizations devront permettre à MFA de continuer », avec les plans. d’étendre cette exigence jusqu’à la fin de l’année.
La société a commencé à exiger la MFA pour les utilisateurs root des comptes de gestion AWS Organization dans les grands environnements à partir de mai. En juin, Amazon a ajouté la prise en charge des clés d’accès FIDO2 comme méthode d’authentification tout en étendant les exigences aux utilisateurs root dans les comptes autonomes.
Arynn Crow, chef de produit principal de la protection des comptes pour AWS Identity, a écrit vendredi dans un article de blog que depuis le lancement de la prise en charge des clés d’accès FIDO2 en juin, « les taux d’enregistrement des clients pour les MFA résistantes au phishing ont augmenté de plus de 100 % » et que plus de 750 000 AWS les utilisateurs root ont activé MFA.
Dans sa dernière extension de cette initiative MFA, AWS a annoncé : « Les clients qui n’ont pas activé la gestion centralisée de l’accès root devront enregistrer MFA pour les utilisateurs root de leur compte membre AWS Organizations afin d’accéder à la console de gestion AWS » à partir du printemps 2025. Crow a écrit que les changements seront déployés progressivement et que les clients tenus de prendre des mesures seront informés individuellement à l’avance “pour aider les clients à adhérer aux nouvelles exigences tout en minimisant l’impact sur leurs opérations quotidiennes”.
Pour les clients devant utiliser MFA, Amazon autorise les applications d’authentification virtuelle ; jetons ponctuels matériels basés sur le temps ; et les méthodes d’authentification FIDO2, y compris les clés de sécurité et les mots de passe synchronisables.
Vendredi, AWS a également introduit une fonctionnalité permettant de gérer l’accès root pour les comptes d’une organisation AWS, ce qui, selon la société, aidera les clients à éliminer les mots de passe inutiles.
“Cette fonctionnalité permet aux clients de réduire considérablement le nombre de mots de passe qu’ils doivent gérer tout en conservant des contrôles stricts sur l’utilisation des principes racine”, peut-on lire sur le blog. « Les clients peuvent désormais activer un accès root centralisé avec une simple modification de configuration via la console IAM ou l’AWS CLI. Ensuite, les clients peuvent supprimer les informations d’identification à long terme (y compris les mots de passe ou les clés d’accès à long terme) des utilisateurs racine du compte membre de leur organisation. améliorera la posture de sécurité de nos clients tout en réduisant simultanément leurs efforts opérationnels. »
Interrogé sur les raisons pour lesquelles tant de grandes entreprises déploient actuellement des exigences MFA, Crow a déclaré à TechTarget Editorial que cela se résumait à une confluence de facteurs, tels que les incidents de sécurité observés depuis le début de la pandémie de COVID-19 ainsi que les développements de la technologie d’authentification. .
« Nous avons déterminé que c’était le bon moment pour faire de MFA la posture de sécurité par défaut pour nos clients. Nous avons également reçu des commentaires de l’industrie dans son ensemble et des données que nous avons pu consulter en interne qui nous ont indiqué qu’il s’agissait du bon contrôle », a-t-elle déclaré.
En ce qui concerne l’état de préparation des organisations, Crow a déclaré qu’AWS n’avait constaté aucune réticence des clients à l’égard de la mise en œuvre de la MFA et que les commentaires avaient été « vraiment positifs ». Cela s’explique en partie, dit-elle, par le fait qu’il existe une forme d’AMF pour tout le monde. De plus, AWS a déployé progressivement les exigences.
“Lorsque nous avons commencé à parler de ce programme, nous avons pris en compte de nombreuses dépendances en interne quant au moment où nous allions activer les différentes étapes de ce programme”, a-t-elle déclaré. “Par exemple, avant de vouloir étendre les comptes autonomes à notre plus petite base de clients, il était essentiel pour nous de nous assurer que nous disposions de quelque chose comme des clés d’accès FIDO2 que nous pensions être vraiment attrayantes et utilisables par une base très large de clients. clients.”
Crow a également souligné la nouvelle fonctionnalité permettant de gérer de manière centralisée l’accès root pour les comptes membres d’AWS Organizations. “Et puis nous avons également attendu très délibérément d’annoncer l’extension de ces exigences à nos comptes membres parce que nous voulions quelque chose comme les fonctionnalités d’accès root centralisé disponibles pour le rendre plus gérable pour les clients dans des environnements vraiment à grande échelle. Nous avons beaucoup réfléchi à comment nous assurer que nous pouvons soutenir nos clients et les accompagner dans ce voyage.
Alexander Culafi est rédacteur principal de nouvelles sur la sécurité de l’information et animateur de podcast pour TechTarget Editorial.