Google Cloud сделает многофакторную аутентификацию обязательной с 2025 года

Google подтвердила планы внедрить обязательную многофакторную аутентификацию (MFA) для всех пользователей Google Cloud. Процесс начнется с напоминаний и подсказок, появляющихся в Google Cloud Console уже в этом месяце, а с начала следующего года начнется постепенное внедрение нового требования.

Хотя о планах по MFA Google упомянула в документе, опубликованном в октябре, официальный анонс от вице-президента компании по инженерии Маянка Упадхая появился на этой неделе в блоге компании.

«Мы будем поэтапно внедрять обязательную MFA в Google Cloud, и в течение 2025 года это требование будет распространено на всех пользователей во всем мире», — написал Упадхай. «Чтобы упростить переход, Google Cloud заранее уведомит предприятия и пользователей, помогая им подготовиться к внедрению MFA».

Нововведение ожидаемо и продиктовано ростом числа утечек данных, включая случаи, в которых только за 2024 год были украдены более 1 миллиарда записей. Например, в феврале вирусная атака на Change Healthcare, подразделение UnitedHealth, привела к компрометации медицинских данных более 100 миллионов человек. Причиной стали украденные учетные данные, не защищенные многофакторной аутентификацией.

Похожий инцидент произошел и с компанией Snowflake, у которой также произошла утечка данных нескольких клиентов, включая Ticketmaster. Вследствие этого Snowflake сделала MFA доступной для администраторов, хотя её использование остается на усмотрение клиента.

По иронии, сотрудники дочерней компании Google по кибербезопасности Mandiant помогали Snowflake расследовать кражу данных и пришли к выводу, что эта ситуация подчеркивает необходимость повсеместного применения MFA и надежной аутентификации.

Теперь Google решает последовать рекомендациям Mandiant и сделать MFA обязательной. С начала 2025 года пользователи, авторизующиеся в Google Cloud с помощью пароля, будут обязаны использовать вторичный метод аутентификации — например, приложение-аутентификатор или физический ключ безопасности. К концу 2025 года это требование будет распространено и на федеративных пользователей, использующих для входа сторонние сервисы аутентификации.

Этот шаг Google последовал за аналогичными мерами конкурентов — AWS начала внедрение обязательной MFA в июне, а Microsoft вскоре присоединилась с аналогичным обновлением в Azure.

Для пользователей Google остаётся возможность включать MFA на стандартных учетных записях, но это пока остается опцией, поскольку они могут активировать или отключить её по своему усмотрению. В компании уточнили, что 70% активных учетных записей уже используют двухэтапную проверку (2SV), однако, в отличие от корпоративных клиентов, для потребителей это не станет обязательным. Обусловлено это высокими рисками в облачных корпоративных развертываниях.

«Сегодня двухэтапная проверка широко используется в сервисах Google», — отметил Упадхай. «Но учитывая чувствительный характер облачных корпоративных решений и то, что фишинг и кража учетных данных остаются основными угрозами, которые выявляет наша команда Mandiant Threat Intelligence, мы считаем, что пришло время сделать двухэтапную проверку обязательной для всех пользователей Google Cloud».