每当有人问我云是否安全时,我通常都会给出一个非常简单的答案:云的安全性不亚于企业,用户和云提供商所采用的控件。直到本周,我才认为Microsoft Azure云不是特别安全。这不是因为我认为Microsoft在安全性方面做得不好,而是因为我认为用户始终是薄弱环节。根据我的经验,一个用户名和密码经常被利用,并可能导致影响数百万用户的漏洞。
这就是为什么必须进行两因素身份验证的原因,而现在,Microsoft的Azure云确实具有非常强大的功能。
使用两因素身份验证,而不是依靠单个用户名和密码来确保访问安全,而是采用第二因素对用户进行身份验证。因此,即使用户的弱密码被破解,或者密码数据库丢失或被盗,攻击者仍然无法访问。
微软于9月26日宣布 Windows Azure多因素身份验证将全面可用,它已将三个选项作为其多因素身份验证系统的一部分提供。一种选择是使用生成第二个因素的单独应用程序。另一个可用的选项是使用发送到用户手机的短信(SMS),其中包括第二个因素。第三个选项是自动语音呼叫,可为用户提供所需的第二因素身份验证。
所有这些方法旨在提供的还有一定程度的随机性,我长期以来一直认为这也是安全性的关键。因此,第二个因素是随机的,而不是只有一个静态密码,然后可能有第二个静态密码作为第二个因素。由于是随机的,因此极大地增加了密码对的复杂性,并使任何潜在的攻击者很难获得未经授权的访问。
消费者领域的多家供应商,包括Google,Facebook,Twitter甚至Apple,都已实施了多种形式的两因素身份验证来帮助确保使用安全。
微软在Azure上的做法与当前消费者服务所提供的有所不同。使用Windows Azure多因素身份验证系统,云管理员现在可以跨Azure托管的云应用程序启用两因素身份验证。没错,不仅仅是访问Azure。这也与您在Azure上托管的应用程序有关。
这不是一项免费服务。微软现在以许多不同的价格计划提供Windows Azure多因素身份验证,从每个用户每月2美元的选项开始。
对于想要在云中推出自己的两因素身份验证系统的用户,我尝试了很多选择,包括开源LinTOP项目。但是我怀疑,在谈到Azure和喜欢使用Windows的用户类型时,Microsoft的新安全服务将是一种易于采用的服务,它将有助于快速提高云安全性。