Google Cloud зробить багатофакторну автентифікацію обов’язковою з 2025 року

Компанія Google підтвердила свої плани впровадити обов’язкову багатофакторну автентифікацію (MFA) для всіх користувачів Google Cloud. Процес почнеться цього місяця з підказок та нагадувань у Google Cloud Console, а з початку наступного року розпочнеться поступове введення нового правила.

Хоча про плани щодо MFA Google згадувала в документі, опублікованому в жовтні, офіційний анонс від віцепрезидента компанії з інженерії Майянка Упадхая з’явився цього тижня в блозі Google.

«Ми будемо поетапно впроваджувати обов’язкову MFA для Google Cloud, і протягом 2025 року ця вимога пошириться на всіх користувачів у світі», — написав Упадхай. «Щоб полегшити перехід, Google Cloud заздалегідь повідомлятиме підприємства та користувачів, допомагаючи їм підготуватися до впровадження MFA».

Нововведення є довгоочікуваним і продиктоване зростанням кількості витоків даних, включаючи випадки, коли лише за 2024 рік було викрадено понад 1 мільярд записів. Наприклад, у лютому вірусна атака на Change Healthcare, підрозділ UnitedHealth, призвела до компрометації медичних даних понад 100 мільйонів осіб. Причиною цього стало викрадення облікових даних, які не були захищені багатофакторною автентифікацією.

Подібний інцидент стався і з компанією Snowflake, в якої також стався витік даних кількох клієнтів, включаючи Ticketmaster. У відповідь Snowflake зробила MFA доступною для адміністраторів, хоча її використання залишається на розсуд клієнтів.

Іронія полягає в тому, що співробітники дочірньої компанії Google з кібербезпеки Mandiant допомагали Snowflake розслідувати крадіжку даних і дійшли висновку, що ця ситуація підкреслює необхідність повсюдного впровадження MFA та надійної автентифікації.

Тепер Google вирішила прислухатися до рекомендацій Mandiant і зробити MFA обов’язковою. З початку 2025 року користувачі, які входять до Google Cloud за допомогою пароля, будуть зобов’язані використовувати вторинний метод автентифікації — наприклад, додаток-аутентифікатор або фізичний ключ безпеки. До кінця 2025 року ця вимога пошириться також на федеративних користувачів, які використовують для входу сторонні служби автентифікації.

Цей крок Google є відповіддю на подібні заходи конкурентів — AWS почала запроваджувати обов’язкову MFA в червні, а Microsoft незабаром приєдналася з аналогічним оновленням в Azure.

Для користувачів Google зберігається можливість включати MFA для стандартних облікових записів, але це поки залишається опцією, адже вони можуть активувати або вимкнути її за бажанням. Компанія уточнила, що 70% активних облікових записів уже використовують двоетапну перевірку (2SV), але, на відміну від корпоративних клієнтів, для споживачів це не стане обов’язковим. Це пояснюється підвищеними ризиками, пов'язаними з корпоративними хмарними рішеннями.

«Сьогодні двоетапна перевірка широко використовується у всіх сервісах Google», — зазначив Упадхай. «Але враховуючи делікатний характер корпоративних хмарних рішень і те, що фішинг та крадіжка облікових даних залишаються основними загрозами, які виявляє наша команда Mandiant Threat Intelligence, ми вважаємо, що настав час зробити двоетапну перевірку обов’язковою для всіх користувачів Google Cloud».