安全设计：通过中央控制增强根用户的安全态势

安全设计：通过中央控制增强根用户的安全态势

关键字: [Amazon Web Services re:Invent 2024， 亚马逊云科技， Secure By Design， Root User Access， Multi-Factor Authentication， Account Protection， Privileged Actions]

导读

从第一天起，亚马逊云科技就被设计和默认为安全的。保护最高权限用户的凭证是您全面安全策略中的关键要素。本次会议探讨如何在整个亚马逊云科技环境中安全地管理根访问权限，同时保持集中控制和治理。此外，了解亚马逊云科技提供的最新工具和举措，以强制实施多因素认证（MFA），与行业倡议保持一致，并确保您的环境始终安全。

演讲精华

以下是小编为您整理的本次演讲的精华。

在网络安全不断演进的环境中，亚马逊云科技自创立以来一直走在以安全为先的设计理念的前沿。这一理念将安全视为从设计阶段开始就根植于内的理念，而不仅仅是一系列功能，成为亚马逊云科技致力于创建安全默认设置的驱动力，使客户能够轻松做出明智的安全决策。

亚马逊云科技多年来一直坚持以安全为先的设计理念，这体现在各种实践和决策中。一个显著的例子是避免使用默认密码，而是为每个用户单独设置唯一的凭证。此外，亚马逊云科技加大了对内存安全语言如Rust的投资，该语言被用于开源授权策略语言和授权引擎Seder。此外，亚马逊云科技将多因素身份验证(MFA)和新推出的资源控制策略等基本安全功能免费提供，彰显了其对可及性安全的承诺。

然而，亚马逊云科技意识到，在数字化转型不断演进和恶意行为者手段日新月异的情况下，仅仅推出一系列功能是不够的。因此，亚马逊云科技不断重新评估和调整其安全态势，并做出必要的政策改变，以确保客户获得适当的保护水平。这种积极主动的方法在2022年得到了体现，当时亚马逊云科技将S3默认存储桶策略改为默认阻止公共访问，并推出了Amazon DynamoDB资源策略，默认阻止公共访问。

正如在亚马逊云科技工作了约12年的首席产品经理Aaron Crow所强调的，安全边界的演变不仅限于亚马逊云科技本身。从历史上看，良好的企业安全的标志主要是由网络层控制(如防火墙和访问控制列表)来定义的。然而，随着工作方式的转变，如BYOD、物联网和地理分布式团队的出现，这一范式发生了转变。尽管网络控制仍然至关重要，但它们现在只是全面防御策略中必要但不充分的一个组成部分。

在现代安全格局中，零信任策略强调身份层的控制，因为身份越来越决定个人在某个环境中可以访问哪些资源和执行哪些操作。群组成员资格、工作角色、位置和访问时间等因素成为塑造细粒度授权控制的关键，并由健全的身份验证机制来补充。

安全边界的这一转变带来了新的风险需要警惕。包括2024年Verizon数据泄露报告在内的多个行业来源报告了一个令人关注的现象:自COVID-19大流行开始以来，网络攻击事件有所上升，其中相当一部分攻击集中在身份边界的核心组成部分——用户凭证。Verizon报告发现，在他们评估的所有Web应用程序攻击中(占他们评估的大部分攻击)，77%的攻击使用了被盗的凭证，另有21%使用了暴力破解技术。

这些发现凸显了密码的固有漏洞，密码通常很弱、在网站之间重复使用，并容易受到网络钓鱼攻击。虽然亚马逊云科技采取了各种措施来减轻密码风险，如监控在线来源是否有泄露的凭证并要求受影响用户重置密码，但密码本身仍然是一种容易受到攻击的身份验证方法。

幸运的是，亚马逊云科技有一个简单而优雅的解决方案来解决基于密码身份验证的局限性:多因素身份验证(MFA)。正如Aaron Crow所解释的，MFA是在密码之上叠加不同因素的组合，如用户所知(如PIN码)、用户所有(如手机或安全密钥)或用户本身(生物识别，也称为固有因素)。

MFA是亚马逊云科技的安全最佳实践，理由充分——亚马逊云科技确定它可以防止高达99%的与密码相关的攻击，这是最常见的攻击类型之一。值得注意的是，亚马逊云科技免费提供MFA，再次彰显了其让客户获得强大安全措施而无需额外财务负担的承诺。

亚马逊云科技支持各种MFA标准，以满足不同客户的需求和偏好。虚拟身份验证器应用程序(生成基于时间的一次性PIN码)备受喜爱，因为它们无需额外的硬件配置即可使用。对于喜欢硬件形式的客户，亚马逊云科技提供支持硬件令牌，其功能与虚拟身份验证器应用程序相同。

然而，Aaron Crow的个人最爱，也是亚马逊云科技最力荐的MFA形式，是FIDO2密钥。在当前的行业格局中，FIDO2密钥是身份验证的黄金标准，比其他MFA类型具有多项安全优势。它们利用公钥基础设施为身份验证创建加密安全的密钥对，并且是域绑定的，这意味着凭证只能用于注册的域，从而具有防钓鱼能力。

从历史上看，FIDO2设备一直是基于硬件的，如YubiKeys和Talis密钥。最近，Windows Hello和Apple Touch ID等平台身份验证器已将FIDO2功能集成到了全球数十亿设备中。FIDO2生态系统的最新发展是引入了密钥，这是可以同步到云端、备份和跨设备恢复的FIDO2凭证。

Aaron Crow演示了使用密钥进行无缝注册和登录的体验，展示了它们所提供的易用性和安全性优势。虽然承认密钥可能不符合每个组织的安全模型，特别是那些禁止将凭证备份或同步到个人设备的组织，但Aaron强调，对于许多用户而言，密钥代表了可用性和安全性的理想交汇点。

尽管MFA在防止未经授权访问方面的有效性已经得到证实，但行业内用户采用率仍然令人失望地低，导致可预防的账户被入侵，可能带来严重的商业和人员后果。为应对这一挑战，并作为其持续演进和以安全为先设计理念的一部分，亚马逊云科技决定将MFA作为一项要求，并分阶段推行，以最大程度减少中断并确保客户平稳过渡。

在亚马逊云科技分阶段实施MFA强制要求取得了令人鼓舞的成果。仅在2024年4月至10月期间，就有超过75万客户新启用了MFA，大大提高了他们的安全态势。此外，在亚马逊云科技于2024年6月推出对FIDO2密钥的支持后，选择这种行业领先身份验证方法的客户数量增加了超过100%。

然而，亚马逊云科技通往更安全生态系统的旅程尚未结束。从2025年春季开始，如果未利用新的中央根访问管理功能删除其根用户凭证，则亚马逊云科技组织中的成员账户也将被要求启用MFA。

中央根访问管理功能是由在亚马逊云科技工作了约2年半的首席安全解决方案架构师Jason Garmin引入的，代表了亚马逊云科技客户安全态势的重大进步。该功能允许客户在其亚马逊云科技组织的成员账户中集中启用、禁用和执行根用户凭证的特权操作，从而减少了潜在攻击的整体面临。

Jason Garmin从历史角度回顾了亚马逊云科技账户访问的演变，从2006年简单的用户名和密码登录页面，到2011年引入身份和访问管理(IAM)服务，使客户能够创建多个用户、角色和细粒度权限策略。随着客户的云基础设施复杂性不断增加，亚马逊云科技于2017年推出了亚马逊云科技组织，允许客户集中管理和治理其亚马逊云科技账户，同时遵循账户隔离的最佳实践，以提高安全态势。

然而，尽管取得了这些进展，每个亚马逊云科技账户仍然保留了其相关的根用户，这是2006年登录页面的遗留物。正如Aaron Crow所强调的，在当前的安全环境中，仅依赖用户名和密码来保护亚马逊云科技账户中最高权限的用户已经不够。

Jason Garmin强调，虽然IAM引入了为用户创建范围缩小的策略和细粒度访问控制的能力，但仍有大约10个只有根用户才能执行的操作。通过与客户的对话，亚马逊云科技发现这些根用户操作的频率范围很广，从组织生命周期中只执行一次的操作(如关闭账户或注册为市场销售商)，到更频繁的操作，如更改账户名称或联系人详细信息。

值得注意的是，亚马逊云科技认识到客户经常需要根用户访问权限来执行某些特权操作，例如修复锁定场景或删除过于严格的S3存储桶策略。Jason Garmin坦率地承认自己曾经亲自将自己锁定在S3存储桶之外，强调为客户提供此类场景的简化解决方案的重要性。这是一种常见情况，尤其是当客户转向最小特权模型时，错误在所难免，拥有更简单的补救方式至关重要。

为了满足这一需求，亚马逊云科技推出了中央根访问管理功能，这是一种新机制，允许客户管理、保护和控制对其亚马逊云科技组织内成员账户的高度特权访问。该功能包括两个主要组成部分:

1. 集中启用和禁用成员亚马逊云科技账户的根用户凭证，有效减少了攻击面，因为在大多数情况下不需要根用户凭证。
2. 为客户提供一种集中的方式，从中央位置执行其成员亚马逊云科技账户内的某些特权操作。

中央根访问管理功能包裹在一层审计和可见性层中，允许客户全面了解其基础架构在所有账户和组织单位中的安全状态。

Jason Garmin在亚马逊云科技管理控制台中演示了该功能的能力，展示了独立启用或禁用根访问凭证和特权操作的能力。客户还可以指定一个委派管理员账户来执行这些操作，遵循避免每天访问亚马逊云科技组织管理账户的最佳实践。

控制台清晰地概述了每个账户的根用户凭证状态，指示是否存在凭证，如果存在，则指定启用的凭证类型(例如访问密钥、控制台登录、签名证书、MFA设备)。这种可见性使客户能够一目了然地评估其安全态势并采取适当行动。

在开发人员或用户由于过于严格的S3存储桶策略而无意中将自己锁定的情况下，中央根访问管理功能允许客户登录到其委派管理员账户，并直接从控制台执行特权操作，例如删除有问题的存储桶策略。这种简化的流程消除了以根用户身份登录或查找和管理与根账户关联的物理MFA设备的需要。

对于希望自动化大规模特权操作的客户，亚马逊云科技推出了新的sts assume-root API。该API允许客户使用严格范围的策略执行管理操作，获取仅限于指定策略的有时限的STS令牌。访问通过Amazon CloudTrail进行记录，并由现有的服务控制策略(SCP)和资源控制策略进行管理，确保遵守既定的安全实践。

Jason Garmin提供了一个示例架构，演示了客户如何通过Slack或Teams等聊天界面将特权操作委派给开发人员。在这种情况下，用户通过Amazon Chatbot发起请求，与委派安全账户中的Lambda函数进行通信。经过审批流程后，Lambda函数调用sts assume-root API，获取一个仅限于删除特定存储桶策略的有时限的凭证，并执行补救操作。然后，用户会收到成功补救的通知。这种自助式补救工作流使开发人员能够快速解决问题，而无需依赖安全团队的手动干预。

值得注意的是，中央根访问管理功能在全球范围内免费提供，与亚马逊云科技为客户提供强大安全措施而不增加财务负担的承诺保持一致。

总之，Jason Garmin强调了客户采用中央根访问管理功能时应遵循的几项最佳实践:

1. 在亚马逊云科技组织的管理账户中启用该功能。
2. 委派一个账户来执行特权操作，遵循最小特权原则。
3. 从成员账户中删除不需要的根用户凭证。
4. 通过自动化扩展该功能的采用。
5. 使用适当的MFA措施保护亚马逊云科技组织管理账户中剩余的根用户。

Aaron Crow重申了中央根访问管理功能的重要性，强调了它减少运营开销和提高安全性的潜力，方法是减少凭证数量和攻击面。通过利用这一功能，客户可以解决与MFA采用、密码轮换要求和整体风险缓解相关的问题。

虽然中央根访问管理功能解决了根用户凭证的管理问题，但Aaron Crow强调保护任何剩余密码的重要性，例如与管理账户的根用户或任何保留的成员账户根用户相关的密码。这凸显了MFA作为基础安全最佳实践的持续相关性。

Aaron Crow重申了亚马逊云科技持续发展其安全态势并进行必要政策变更的承诺，以确保客户获得适当级别的保护。随着恶意行为者所采用的技术不断发展，亚马逊云科技保持警惕，重新评估并调整其安全措施，以跟上新出现的威胁。

在不断变化的网络安全环境中，亚马逊云科技对安全设计原则的坚定奉行使其成为赋予客户强大、可访问和不断发展的安全措施的领导者。通过中央根访问管理等功能以及FIDO2密钥等行业领先的MFA的实施，亚马逊云科技正在为更加安全的数字未来铺平道路，在这个未来，组织可以自信地拥抱创新，同时保持强大的安全态势。

下面是一些演讲现场的精彩瞬间：

Aaron Crow是亚马逊云科技的一位主要产品经理，他在reInvent2024活动上介绍了自己和他的同事。

亚马逊云科技采取了积极的措施来防止用户使用弱密码或已被泄露的密码，从而增强了账户的安全性。

Amazon Control Tower简化了特权访问管理，允许委派管理员执行诸如删除过于严格的S3存储桶策略等操作，而无需根凭证或MFA设备。

亚马逊云科技 re:Invent 2024展示了亚马逊云科技服务(如Amazon Chatbot、Lambda和新的“sts assume-root”API)的无缝集成，使开发人员能够通过带有审批工作流的聊天界面来修复错误的存储桶策略。

Andy Jassy强调了新的集中式根访问管理功能是安全性的一大胜利，减少了凭证数量和潜在风险的表面积。

亚马逊云科技推出了密钥，这是亚马逊云科技 MFA家族的最新成员，它们具有加密安全性、域绑定、防钓鱼能力，并且可以跨设备备份、恢复和同步。

演讲者强调了远离单纯依赖密码进行身份验证，采用更安全的方法(如集中式根访问管理和多因素身份验证)的重要性。

总结

这篇演讲围绕着亚马逊云科技安全实践的演进展开，重点是加强根用户访问的安全态势，并推广采用多因素身份认证(MFA)。以下是关键要点:

1. 亚马逊云科技自创立以来就秉承“安全设计”理念，贯穿整个组织，让客户更容易做出良好的安全决策。这包括独特的用户凭证、内存安全语言和免费MFA等功能。
2. 随着安全边界从网络中心转移到身份中心，亚马逊云科技强调强身份认证和细粒度授权控制，以应对日益增加的基于凭证的攻击威胁。
3. 亚马逊云科技推出了一项名为“根用户访问中央管理”的新功能，允许客户在其亚马逊云科技账户中集中启用/禁用根用户凭证并执行特权操作，从而减少攻击面和运营开销。
4. 亚马逊云科技正在提高MFA要求，使其对所有账户强制实施，并采取分阶段推出的方式。这包括推广采用FIDO2密钥，与传统MFA方法相比，它提供了更高的安全性和可用性。

总之，亚马逊云科技不断发展其安全实践，以跟上新兴威胁，为客户提供默认安全的功能，并推广采用MFA等强大的身份认证方法，以加强其云基础设施的整体安全态势。

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者。提供200多类广泛而深入的云服务，服务全球245个国家和地区的数百万客户。做为全球生成式AI前行者，亚马逊云科技正在携手广泛的客户和合作伙伴，缔造可见的商业价值 – 汇集全球40余款大模型，亚马逊云科技为10万家全球企业提供AI及机器学习服务，守护3/4中国企业出海。