圖片來源: 

微軟

微軟宣布,今年7月將強制Azure用戶啟用多因素驗證(multi-factor authentication,MFA),提供多一層安全防護,不過Azure代管的應用和服務不在此列。

微軟表示,現在已經很多雲端服務使用MFA,要求用戶提供2種以上的身分憑證作為存取服務或資源時的驗證。根據微軟自家報告,99.9%的被駭帳號未啟用MFA,報告也發現,MFA可阻擋99.2%的帳號駭人,是最有效的安全措施之一。疫情後混合辦公的作業型態普及,遠端攻擊安全風險升高,MFA能減少公司網路資源遭不明人士存取的風險,能減低帳號被駭及公司資料外洩風險,此外,還能協助公司滿足多種資安標準與法規要求,像是「支付卡產業資料安全標準」(PCI DSS)、健康保險可移植性和責任法案(HIPAA)、歐盟一般資料保護規則(GDPR)及美國國家標準技術局(NIST)等。微軟去年11月公布的安全未來計畫(Secure Future Initiative)三項工程革新之一,即在租戶層部署新式身分防護和MFA。

從2024年7月起,Azure將漸進推動這項政策,以減少對用戶的衝擊。微軟會先從Azure portal開始要求,之後漸次推廣到CLI、PowerShell及Terraform。

但這項政策不會主動適用Azure上代管的App、網站或服務,會由其管理決定驗證政策。此外,服務用於自動化的服務主體(service principal)物件、代管身分、作業負載身分和類似的token-based帳號也會排除在外,但微軟還是會針對緊急情況如Break-glass帳號(緊急情況使用的特權帳號)等蒐集用戶意見。MFA並沒有opt-out的選項,但若是用戶真的沒法使用,微軟還是可能允許例外,不過細節要等微軟之後正式通知。

微軟之後將透過正式電子郵件和通知預先告知。最早強制啟用MFA的Azure portal,必要時也可能多給一些時間,但微軟仍呼籲管理員及用戶及早行動,透過MFA精靈的協助啟用MFA。

現在Entra ID(原Azure AD)已支援多種MFA方法,包括使用Microsoft Authenticator App、簡訊、電話、或硬體金鑰,供用戶選擇偏好的方式。管理員也可利用Entra ID條件存取政策調整,要根據何種訊號,如用戶地點、裝置、角色或風險層級來啟用MFA,並建議管理員現在先檢查開發用的Entra ID及存取Azure Resource Manager的API,必要時也了解如何將用戶身分變更為服務主體及代管身分。

熱門新聞

Advertisement