用戶認(rèn)證是所有公司安全戰(zhàn)略的重要部分，確保僅僅是授權(quán)用戶才能訪問有價(jià)值的數(shù)據(jù)和資源。在用戶名和密碼之外，越來越多的企業(yè)開始使用額外的認(rèn)證方法，來確認(rèn)用戶的身份。

多因素認(rèn)證(MFA)將傳統(tǒng)的登錄證書和授權(quán)用戶持有的物理設(shè)備碼結(jié)合起來。MFA也擴(kuò)展到了公有云上，這里未授權(quán)用戶可能會(huì)破壞重要的應(yīng)用，并導(dǎo)致巨大的云上開支。公有云供應(yīng)商，包括Amazon Web Services (AWS), Microsoft Azure 和 Google Cloud Platform，都提供MFA作為云訪問的第二層次認(rèn)證。

MFA來自于何處?

和其他認(rèn)證方法不同，MFA指的是通過物理或者虛擬設(shè)備提供的一段特定的認(rèn)證碼。如果用戶既知道某個(gè)賬號的登錄證書，也有提供認(rèn)證碼的設(shè)備，那么該用戶的身份很可能就是真的。

一系列輸入源都可以生成MFA碼，但是最為常見的輸入源是運(yùn)行著MFA應(yīng)用的智能手機(jī)或者平板創(chuàng)建出的虛擬MFA設(shè)備。用戶登錄時(shí)，MFA應(yīng)用在智能手機(jī)或者其他移動(dòng)設(shè)備上提供授權(quán)碼。運(yùn)行在Android操作系統(tǒng)上的移動(dòng)設(shè)備可以使用類似Google Authenticator 或者 Authy 2-Factor Authentication這樣的應(yīng)用，而Blackberry和Apple iPhone或者iPad設(shè)備可以使用Google Authenticator。

其他類型的MFA設(shè)備

其他流行的MFA設(shè)備包括密鑰卡或者顯示卡。密鑰卡是一種無線設(shè)備，可以產(chǎn)生一個(gè)獨(dú)特的，不可重用的密碼作為認(rèn)證碼。顯示卡，將信用卡和一個(gè)小顯示屏組裝在一起，也能生成一次性密碼以供MFA使用。

企業(yè)需要給root賬號或者個(gè)人身份和訪問管理(IAM)用戶賬號分配MFA設(shè)備。在登錄過程中，MFA設(shè)備提供基于時(shí)間生成的一次性密碼算法標(biāo)準(zhǔn)的6位數(shù)數(shù)字碼。用戶輸入認(rèn)證碼和常規(guī)證書，或者通過供應(yīng)商的API將其傳遞給云供應(yīng)商。

AWS、Google Cloud Platform和Microsoft Azure支持大多數(shù)認(rèn)證方法，包括MFA。要選擇一種MFA技術(shù)，需要評估你的業(yè)務(wù)需求。比如，支持BYOD的企業(yè)架構(gòu)可能已經(jīng)使用每臺相關(guān)用戶的移動(dòng)設(shè)備上的適當(dāng)應(yīng)用程序?qū)崿F(xiàn)了虛擬設(shè)備。更多管理嚴(yán)格的企業(yè)可能給核心用戶或者管理員提供密鑰卡。

如何啟用不同類型的MFA設(shè)備?

公有云供應(yīng)商通常盡量讓多種類型MFA設(shè)備的實(shí)現(xiàn)更為容易。目標(biāo)是為用戶賬號啟用MFA，并且將MFA設(shè)備和該賬號關(guān)聯(lián)起來。

虛擬MFA設(shè)備通常在某臺移動(dòng)設(shè)備上運(yùn)行一個(gè)應(yīng)用。對于像AWS這樣的云供應(yīng)商，管理員可以啟用某個(gè)用戶的虛擬MFA，首先登入IAM控制臺，定位用戶，選擇Security Credentials(安全證書)標(biāo)簽頁，并且選擇Manage MFA Device(管理MFA設(shè)備)。這會(huì)啟動(dòng)一個(gè)向?qū)С绦蜃尮芾韱T選擇虛擬MFA設(shè)備。AWS向?qū)С绦蛱峁┍硎久荑€的QR碼。移動(dòng)設(shè)備和應(yīng)用程序可以掃描該QR碼來接收密鑰并且鏈接設(shè)備和IAM賬號。如果設(shè)備不支持QR碼掃描，還可以顯示密鑰并且手動(dòng)輸入。

硬件MFA設(shè)備，比如密鑰卡和顯示卡，使用的也是類似技術(shù)。向?qū)С绦蜃尮芾韱T選擇“硬件MFA設(shè)備”。然后，他們輸入硬件設(shè)備的序列碼完成AWS上的鑒定程序。硬件MFA設(shè)備然后就可以為AWS用戶賬號生成認(rèn)證碼。

在這兩種情況下，管理員可能都需要通過輸入來自設(shè)備的一個(gè)或者兩個(gè)認(rèn)證碼來完成MFA設(shè)備的搭建流程。這樣可以在新的虛擬或者硬件MFA設(shè)備真正用于AWS賬號之前驗(yàn)證其功能是否正常。

其他云供應(yīng)商的流程也很類似。比如，使用Microsoft Azure的管理員可以登入Azure門戶，選擇Active Directory(活動(dòng)目錄)，為MFA選擇用戶，然后點(diǎn)擊Manage Multi-Factor Auth(管理多因素認(rèn)證)來打開新的瀏覽器標(biāo)簽頁。選擇每個(gè)用戶啟用MFA，點(diǎn)擊Enable(啟用)，然后點(diǎn)擊enable multi-factor auth(啟用多因素認(rèn)證)。用戶的MFA狀態(tài)就會(huì)從關(guān)閉變?yōu)閱⒂谩?/p>

如何為公有云管理MFA設(shè)備?

有些情況下管理員需要停用某個(gè)啟用了MFA設(shè)備的賬號。比如，如果用戶離開公司或者從云供應(yīng)商賬號里移除了，那么在用戶徹底刪除之前，必須停用相關(guān)的MFA設(shè)備。在另外一些情況下，如果MFA有問題或者太煩人時(shí)，可以暫時(shí)停用MFA設(shè)備。管理員還需要在使用新的MFA設(shè)備之前停用已有的MFA設(shè)備。

通常來說，管理員會(huì)首先使用公有云供應(yīng)商的管理工具來驗(yàn)證某個(gè)用戶MFA設(shè)備的狀態(tài)。比如，AWS管理員可以使用IAM控制臺，選擇任何用戶查看其狀態(tài)。當(dāng)管理員發(fā)現(xiàn)必須停用某個(gè)MFA設(shè)備時(shí)，管理員可以使用供應(yīng)商的工具來處理這樣的任務(wù)。在設(shè)備停用后，以AWS為例，除非該設(shè)備被重新激活并且重新關(guān)聯(lián)到某個(gè)AWS賬號，否則無法再使用該設(shè)備。

MFA是企業(yè)里最為流行的認(rèn)證方法之一。但是，除了它所帶來的好處，MFA也為云管理員帶來了額外的搭建和管理問題。因此，企業(yè)通常只為一定數(shù)量的特權(quán)用戶啟用MFA，比如有能夠訪問很多云資源的管理員。