ב-AWS משנים את ברירת המחדל בכל חשבונות ה-Root שלכם
במהלך כנס re:Inforce הודיעה החברה על השינוי שכבר נכנס לתוקף וינעל אתכם מחוץ למערכת עד שתיישמו אותו
תמונה: dreamstime
Amazon Web Services (AWS), זרוע הענן של אמזון ואחת מפלטפורמות התשתית הפופולריות בעולם, הודיעה כי החל מהשבוע כל משתמש Root יחויב להפעיל אימות דו-שלבי (MFA) בעת התחברות לשירות. המהלך מגיע על רקע שורת פריצות מהשנה האחרונה שניצלו את היעדר ה-MFA כנקודת כניסה. אחת הבולטות שבהן הייתה הפריצה ליותר מ-160 חשבונות לקוח של Snowflake, שהתבצעה על בסיס גניבת סיסמאות כאשר באף אחד מהחשבונות לא הופעלה הגנת אימות דו-שלבי.
בכל חשבון AWS, ישנו משתמש ראשי שנוצר בעת פתיחת החשבון, זהו חשבון ה-Root. הוא מחזיק בהרשאות מלאות לכל המשאבים והשירותים, כולל שליטה על הגדרות התשלום, ניהול משתמשים אחרים, גישה לנתונים רגישים ואף מחיקת תשתיות שלמות. בגלל רמת ההרשאות הגבוהה, חשבונות root נחשבים לנקודת תורפה קריטית אם אינם מוגנים כראוי. בשונה ממשתמשים רגילים שמנוהלים דרך IAM, חשבון ה-root אינו כפוף למגבלות מדיניות, ותמיד נמצא "מעל" לכל היתר.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
AWS החלה בתהליך הדרגתי כבר בשנה שעברה, כאשר הכריזה בכנס "re:Inforce 2024" שהיא תדרוש MFA בחשבונות Root שאינם משויכים לארגון. כעת, במהלך הכנס השנתי לשנת 2025, הודיעה קצינת האבטחה הראשית של AWS, איימי הרצוג, כי הדרישה הורחבה לכלל החשבונות, כולל חשבונות פנימיים של ארגונים, ועומדת כבר על 100% אכיפה. לפי AWS, אין כיום אף חשבון root שפועל ללא הגנת MFA.
לדבריה, מדובר גם בצעד שתומך במדיניות "Secure by Design" של רשות הסייבר האמריקאית (CISA). "אני שמחה לבשר שבזכות הצעד הזה, כל חשבונות ה-Root שלנו מוגנים היום באמצעות אימות דו-שלבי", אמרה הרצוג בנאומה.
המשמעות מבחינתכם?
אם עדיין לא הפעלתם MFA על חשבון ה-root שלכם, לא תוכלו להתחבר למערכת של AWS בלי לעשות זאת. המערכת תדרוש מכם להגדיר אמצעי אימות נוסף כמו אפליקציית Authenticator, מפתח אבטחה פיזי (כמו YubiKey), או מכשיר אחר שתומך ב-FIDO2.
ב-AWS מדגישים ש-MFA מונע את רוב המתקפות שמבוססות על פרטי התחברות גנובים. מעבר לכך, מדובר בצעד שמיישר קו עם התקנים המומלצים לאבטחת ענן, ושם סוף לחולשות מסוימות שהיו קיימות עד כה עבור חשבונות קריטיים במיוחד.
רוצים לבדוק אם החשבון שלכם מוגן כראוי? התחברו למערכת, עברו לדף האבטחה של החשבון הראשי וודאו שהגדרת MFA פעילה, תקינה ומעודכנת. אם אתם חלק מארגון גדול, שווה לבדוק גם שכל חשבונות ה-root המשניים מוגנים, כולל כאלה שלא נעשה בהם שימוש קבוע.
בסופו של דבר, זהו מהלך שמחזק את ההבנה שחשבונות עם גישה מלאה דורשים הגנה מקסימלית. לא מדובר רק בשינוי מדיניות של AWS, אלא בחלק בלתי נפרד מהתנהלות תקינה ובטוחה בעולם הענן. אם עוד לא טיפלתם בזה, זה בדיוק הזמן לעשות את זה.
