IAM MFA
การปกป้องผู้ใช้ในกลุ่ม AWS
เมื่อเราสร้างผู้ใช้ในกลุ่มแล้ว ขั้นตอนต่อไปคือการปกป้องผู้ใช้เหล่านี้ไม่ให้ถูกโจมตีหรือแฮกบัญชี AWS มี สองกลไกป้องกัน ดังนี้
1. นโยบายรหัสผ่าน (Password Policy)
กลไกแรกคือการกำหนด นโยบายรหัสผ่าน
-
ยิ่งรหัสผ่านแข็งแรงเท่าไหร่ บัญชีของคุณก็ยิ่งปลอดภัยมากขึ้น
-
AWS อนุญาตให้ตั้งค่าดังนี้:
- ความยาวรหัสผ่านขั้นต่ำ
- การกำหนดประเภทตัวอักษร เช่น ตัวพิมพ์ใหญ่, ตัวพิมพ์เล็ก, ตัวเลข, ตัวอักษรพิเศษ (เช่น ? ! @)
- อนุญาตหรือไม่อนุญาตให้ผู้ใช้ IAM เปลี่ยนรหัสผ่านเอง
- บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านหลังจากช่วงเวลาที่กำหนด เช่น ทุก 90 วัน
- ป้องกันการใช้รหัสผ่านซ้ำ
ประโยชน์: ช่วยป้องกันการโจมตีแบบ brute force
2. การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication – MFA)
กลไกที่สองคือ MFA
-
เป็นการยืนยันตัวตนด้วยหลายปัจจัย ซึ่งแนะนำให้ใช้โดยเฉพาะกับ root account และ ผู้ใช้ IAM ทุกคน
-
MFA เพิ่มความปลอดภัยอีกชั้น นอกเหนือจากรหัสผ่าน
-
ใช้การรวมกันของ:
- สิ่งที่คุณรู้ (รหัสผ่าน)
- สิ่งที่คุณมี (อุปกรณ์ความปลอดภัย)
ตัวอย่าง:
- Alice รู้รหัสผ่านและมีโทเค็น MFA
- ในการเข้าสู่ระบบ เธอต้องใช้ทั้งสองอย่างพร้อมกัน
- หากรหัสผ่านของ Alice ถูกขโมย ผู้โจมตีจะไม่สามารถเข้าสู่ระบบได้ เพราะต้องมีอุปกรณ์ MFA ของ Alice ด้วย
ตัวเลือกอุปกรณ์ MFA ใน AWS
คุณควรรู้สำหรับการสอบ AWS
-
Virtual MFA Device
- ใช้แอปเช่น Google Authenticator หรือ Authy
- สามารถจัดการหลายบัญชีหรือผู้ใช้บนอุปกรณ์เดียว
-
Universal 2nd Factor (U2F) Security Key
- อุปกรณ์ทางกายภาพ เช่น YubiKey
- สามารถใช้งานกับหลาย root และ IAM users
-
Hardware Key Fob MFA Device
- เช่น อุปกรณ์จาก Gemalto
- เป็นอุปกรณ์กายภาพ
-
Specialized Key Fob สำหรับ AWS GovCloud
- สำหรับผู้ใช้ AWS GovCloud ในสหรัฐฯ
- ตัวอย่าง: อุปกรณ์จาก SurePassID
สรุป
- นโยบายรหัสผ่านช่วยเพิ่มความปลอดภัยด้วยการบังคับรหัสผ่านแข็งแรง, หมดอายุ, และป้องกันการใช้ซ้ำ
- MFA ผสาน รหัสผ่าน กับ อุปกรณ์ความปลอดภัย เพื่อเพิ่มความปลอดภัยอย่างมาก
- AWS รองรับ MFA หลายประเภท: แอป Virtual MFA, U2F security keys, hardware key fobs, และอุปกรณ์พิเศษสำหรับ GovCloud
- ควรปกป้อง root account และ IAM users ด้วย MFA เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต แม้รหัสผ่านถูกขโมย