AWS安全最佳实践#2：在任何时候开启MFA令牌

本系列博文主要包括：

1.  禁用root API访问秘钥

2.  在任何时候开启MFA令牌

3.  通过Admin权限减少IAM用户的数量

4.  利用EC2的Roles功能

5.  最小化特权：通过strong/explicit策略限制IAM实体行为

6.  定期循环所有秘钥

7.  在任何可能的地方通过STS AssumeRole来设置IAM角色

8.  使用AutoScaling来抑制DDoS攻击

9.  除非你有怪癖，在任何EC2/ELB 安全组中都禁用0.0.0.0/0

10.  认真对待world-readable/listable S3 bucket策略

在任何时候开启MFA令牌

如果你已经完成了本系列第一篇文章中的操作，那么你现在已经使用IAM替代了原有的root账户，现在我们来谈谈Multi-Factor Authentication（MFA）。首先，什么是MFA？我们不妨看看AWS MFA 页面（https://t.yesware.com/tl/b98fecb25723de45ed00e30f86f1f0eb42cf54fc/acf9d052834b34cbc86768f9e7739a04/32f943eae6f03ec4f9ae4a5af46ae5c4?ytl=http%3A%2F%2Faws.amazon.com%2Fiam%2Fdetails%2Fmfa%2F）中的一段介绍：“一个简单的最佳实践，它会在username和password上添加一个额外的安全层”。在这个页面中，你可以获得配置MFA的详细信息，那么它究竟是什么？简单的说，它是一个安全层，多于一种类型的身份验证。因此，你的密码可以是一种类型的身份验证，它可以喝其他类型的认证一起组成一个MFA。安全，就是这么简单。

MFA通常通过添加一个与用户名和密码独立的物理或者虚拟设备实现。这些设备会产生随机值来补充用户名和密码组合，从而更好地验证用户身份。在技术公司蓬勃发展的当下，使用物理令牌来补充密钥已经非常常见，使用移动设备上的App也非常常见（可能这种方式更容易被人们接受，同时也不容易丢失）。作为对字母数字的补充，生物识别技术也愈来愈普遍，设备通过扫描人体的不同部分进行身份验证，比如视网膜、指纹等。

那么，我们为什么需要添加一个额外的安全层？在现实世界中，你看电影的时候不可能永远坐在最后一排，你偶尔也会看到前方的人为了订购一杯拿铁在App上键入密码，你更避免不了无处不在的摄像头监视……。在你周围，监视和记录已经无处不在。当今社会已经不再是那个只在图书馆监视电子邮件的时代了。

时至今日，攻破只使用用户名和密码的身份验证已不再是难题。只看看各大门户的头条，或大或小的公司出现密码丢失和被窃取的情况已不再罕见。同时，这类事件已影响到所有人，不再只针对那些位高权重的人物，它涉及到所有进行数据访问的人和设备。作为一个例子，你可以想象一下用户名和密码可以完成的操作，如果它们一旦出现在搜索引擎上，那么将给你或者你的公司带来什么样的风险？除此之外，又有多少用户或者应用程序认证在公共源代码控制中被捕获？而这里需要注意的是，AWS Identity and Access Controls可能提供的不仅仅是基础设施访问权限，同样还包含了其中的应用程序和数据。

时下，你已经可以看到许多在传统安全实践上的努力，比如最小密码长度限制、密码复杂性需求、密码更换周期缩短，以及各种措施的组合。然而这些措施看起来也许不错，事实上它们可能适得其反。有一些常见的例子就是：使用一些相似密码组成的循环图样将密码储存在一个电子邮件或者文字信息中（现在的版本是将它写在键盘或者显示器上），给密码加上一个字母，亦或是交叉易记的单词和特殊字符。需要注意的是，这些方式可能永远达不到预期的作用。在这些例子中，增加安全需求其实导致了更多的隐患，这些漏洞在为身份验证带来帮助之前已经对安全产生隐患。可以想象，有多少公司密码寄托在一个用户的私人邮件账户中，它们完全脱离了业务的控制。

鉴于潜在的安全隐患以及它所造成的不良后果，在这里添加一个额外的安全层将非常有意义业务的未来。既然如此，一个已有密码策略搭配附加安全层可以为业务和用户带来好处，并让你时刻保持安全，那么如何才能在AWS上实现MFA？

在AWS友好的MFA中，你首先需要一个物理或者虚拟设备。再次提示， AWS MFA页面提供了一个兼容设备列表，它可以指导你很好的起步。同时需要注意的是，不是所有MFA都被AWS支持，因此你首先需要检查这个。当你选择一个MFA之后，首先考虑如何让它与你的工作流集合，以及在丢失后如何恢复，比如它们真的丢失了或者移动设备更换。

AWS为MFA设置和使用提供了非常好的第三方支持：

l  User Console – Securing-access-to-AWS-using-MFA-Part-I（https://blogs.aws.amazon.com/security/post/Tx1KJ4H6H5R80UD/Securing-access-to-AWS-using-MFA-Part-I）

l  Programmatic API Access – Securing-access-to-AWS-using-MFA-Part-2（https://t.yesware.com/tl/b98fecb25723de45ed00e30f86f1f0eb42cf54fc/acf9d052834b34cbc86768f9e7739a04/58ddc162cc37ff0dd60e9ac11cb3f2c8?ytl=http%3A%2F%2Fblogs.aws.amazon.com%2Fsecurity%2Fpost%2FTx3NJXSBQUB4QMH%2FSecuring-access-to-AWS-using-MFA-Part-2）

l  S3 Versioning – Securing-access-to-AWS-using-MFA-Part-3（https://blogs.aws.amazon.com/security/post/Tx2A63BH8RJYB0B/Securing-access-to-AWS-using-MFA-Part-3）

请仔细阅读这些指南，并检查嵌入你业务的每个安全层，从而阻止你公司因为密码泄露出现在明天的媒体头条上。同时，你需要确保你的灾难恢复计划已经包括了你所实现的安全计划。

原文链接： https://blog.evident.io/blog/2015/2/18/top-10-aws-security-best-practices-2-enable-mfa-tokens-everywhere

订阅“AWS中文技术社区”微信公众号，实时掌握AWS技术及产品消息！

AWS中文技术社区为广大开发者提供了一个Amazon Web Service技术交流平台，推送AWS最新资讯、技术视频、技术文档、精彩技术博文等相关精彩内容，更有AWS社区专家与您直接沟通交流！快加入AWS中文技术社区，更快更好的了解AWS云计算技术。

                                                                                                          （ 翻译/薛童阳  责编/王鑫贺 ）