Multifaktor-Authentifizierung in AWS einsetzen und verwalten

Passwortregeln sind eine Option, um Daten in AWS zu sichern. Richtig eingesetzt, bietet Multifaktor-Authentifizierung eine weitere Schutzschicht.

Die Schlagzeilen über Sicherheitspannen und kompromittierte Daten führen dazu, dass System- oder Applikations-Manager...

ihre Sicherheitskontrollen und Authentifizierungsmethoden hinterfragen. Selbst wenn man starke Passwortrichtlinien für AWS-Nutzer erstellt hat, sollte man zusätzliche Schutzmethoden, vor allem für Root-Accounts oder priviligierte Benutzer, einsetzen. 

Die Multifaktor-Authentifizierung (oder Multi-Factor Authentication) von Amazon schützt auf interaktive Weise und bietet programmatischen Zugriff auf Daten sowie AWS-Ressourcen.

Multifaktor-Authentifizierung (MFA) nutzt mindestens zwei oder mehr Arten von Authentifizierungen – typischerweise etwas, was Sie wissen und etwas, was Sie erhalten. Amazon Web Services (AWS) verwendet MFA auf Basis eines Nutzer-Passworts und eines einmaligen Passworts. Die Multifaktor-Authentifizierung ist als Sicherheitsmaßnahme wertvoll, erfordert aber auch zusätzliches Management. Es gibt einige Dinge zu beachten, wenn man Multifaktor-Authentifizierung von AWS einsetzt.

Die Verwaltung von Multifaktor-Authentifizierung auf Nutzer-Basis: Schauen Sie sich die Sicherheitsprivilegien jedes Endanwenders an und nutzen Sie Multifaktor-Authentifizierung, um Sicherheitsrisiken zu mindern. Besonderes Augenmerk gilt, wenn das Benutzerkonto für eine Gefährung der Datenintegrität und zur Weiterleitung vertraulicher Daten verwendet werden oder zusätzliche AWS-Gebühren verursachen kann.

Bewerten Sie die Compliance-Anforderungen: Abhängig von Ihrer Branche und auf welche Art Nutzer darauf Zugriff haben, müssen Administratoren MFA implementieren, um Compliance-Vorgaben einzuhalten.

Ermitteln Sie die Kosten für die Absicherung mobiler Endgeräte: Admins können MFA für AWS-Konten als auch Identity und Access Management (IAM) aktivieren. Während MFA für ein Root-Account geeignet ist, sollten Sie die Kosten berücksichtigen, bevor Sie MFA für ein IAM-Benutzerkonto nutzen möchten. 

Die Nutzung von MFA-Anwendungen variiert je nach Endgerät zwischen 12,99 und 19,99 US-Dollar. Virtuelle MFA-Apps sind für Android, iOS, Windows Phones sowie BlackBerry kostenlos verfügbar. Die Apps ermöglichen es Anwendern, mehrere virtuelle MFA-Geräte zu erstellen und mit verschiedenen Konten zu verbinden.

Wenn Sie der Inhaber eines Kontos sind und das damit verbundene MFA-Gerät wird gestohlen oder hat Fehlfunktionen, müssen Sie den AWS Support kontaktieren. Der Support deaktiviert MFA, so dass Sie sich lediglich mit Benutzernamen und Kennwort anmelden können. 

Wenn Sie ein AWS-Konto besitzen und haben andere IAM-Nutzer mit diesem Konto verbunden, können Sie die Multifaktor-Authentifizierung über die Administrator Konsole für diese Nutzer deaktivieren.

Benutzer, die mit mehreren Konten arbeiten, benötigen mehrere MFA-Geräte. Jedes Gerät für die Multifaktor-Authentifizierung ist mit einem einzigen AWS-Root-Account oder IAM-Nutzer verbunden. Wenn die Nutzung eines Hardware-MFA-Geräts vorrausgesetzt wird, benötigt der Nutzer mehrere Hardwaregeräte. Virtuelle MFA-Geräte könnten in diesem Fall die bessere Option sein.

Das Verlinken von MFA mit API-Zugang zu Services. Man kann AWS Multifaktor-Authentifizierung nutzen, um mehr Kontrolle über Services und Konten zu erlangen. Wenn Sie zum Beispiel einen begrenzten Zugriff auf vertrauliche Daten möchten, die auf AWS Simple Storage Service (S3) gespeichert sind, können Sie Multifaktor-Authentifizierung für die Nutzung der S3 API anfordern.

Zwei Schritte sind notwenig, um MFA mit API-Zugriff auf die Services zu nutzen. Zunächst benötigen Anwender ein MFA-Gerät, das mit ihrem Benutzerkonto verbunden ist. Der Systemadministrator muss gleichzeitig eine Regel mit einer Bedingung erstellen, die überprüft, ob der Nutzer sich mit einem MFA-Gerät authentifiziert hat.

Nachdem der Admin Benutzerkonto und Regel korrekt erstellt hat, können Endanwender mit dem folgenden Verfahren die API ansprechen: Der Benutzer gibt einen API-Abruf an AssumeRole oder GetSessionToken. Als Teil des Abrufs, schließt der Endnutzer eine Geräteerkennung und ein einmaliges Passwort ein. Jede API sendet einen temporären Sicherheitsnachweis zurück, der für nachfolgende API-Aufrufe verwendet wird.

Folgen Sie SearchEnterpriseSoftware.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im November 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Anwendungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchDataCenter.de

Close