Hesap güvenliğini artırmak amacıyla Google, 2025 yılı sonuna kadar tüm Google Cloud kullanıcıları için zorunlu çok faktörlü kimlik doğrulamayı zorunlu kılacaktır. Şu anda, Google kullanıcılarının %70’i çok faktörlü kimlik doğrulamayı etkinleştirin.
Bu gereklilik, halihazırda kimlik doğrulama için şifre kullanan tüm Google Cloud kullanıcıları ve tüm yeni kullanıcılar için geçerli olacak ancak genel tüketici Google hesapları için geçerli olmayacaktır. Şirket, 2025 yılı sonuna kadar kimlik doğrulamasını Google Cloud ile birleştiren tüm kullanıcılar için MFA’yı zorunlu kılma planıyla bu aydan itibaren aşamalı bir uygulamaya başlayacak.
-
Bu aydan itibaren 1. Aşamada, Google Cloud yöneticilerine geçişe nasıl hazırlanmaları gerektiği konusunda bilgi verilecek. Aşama 1 farkındalığı artıracak ve kullanıma sunmanın planlanmasına ve testlerin yürütülmesine yardımcı olacak materyaller sağlayacak.
-
2025’in başlarında gerçekleşecek olan 2. Aşama, kimlik doğrulama için şifre kullanan tüm yeni kullanıcıların ve mevcut Google Cloud kullanıcılarının hesaplarında MFA’yı etkinleştirmesini gerektirecek. Bildirimler ve rehberlik Google Cloud Console, Firebase Console, gCloud ve diğer platformlarda görüntülenecektir.
-
3. Aşama veya 2025’in sonu, kimlik doğrulamasını Google Cloud ile birleştiren kullanıcıların MFA’yı etkinleştirmesini gerektirecektir. Kullanıcılar, Google Cloud’a erişmeden önce MFA’yı birincil kimlik sağlayıcılarıyla etkinleştirebilir veya Google hesabı aracılığıyla fazladan bir MFA katmanı ekleyebilir.
Şirket, “Bu aydan itibaren Google Cloud konsolunda farkındalığı artırmaya, kullanıma sunmanızı planlamaya, testleri gerçekleştirmeye ve kullanıcılarınız için MFA’yı sorunsuz bir şekilde etkinleştirmeye yardımcı olacak kaynaklar da dahil olmak üzere yararlı hatırlatıcılar ve bilgiler bulacaksınız” dedi.
MFA’nın benimsenmesi, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın tasarım gereği güvenli girişimindeki en önemli önerilerden biridir ve zorunlu MFA’ya geçiş tüm sektörde gerçekleşmektedir. Temmuz ayında Snowflake, yöneticilerin tüm kullanıcılar için zorunlu MFA’yı zorunlu kılmasına izin veren bir seçenek sundu. Amazon talep etmeye başladı Amazon Web Services için zorunlu MFA Haziran ayında geri döndüm, Microsoft, Microsoft Azure’un kullanıma sunulduğunu duyurdu ağustos ayında. Haziran ayında Amazon, müşterilerin MFA’yı kullanabilmeleri için AWS Organizasyon yönetim hesabının kök kullanıcısı ile AWS Yönetim Konsolu’nda oturum açmasını zorunlu kıldı. O tarihten bu yana zorunlu MFA, AWS Kuruluşları dışındaki bağımsız hesapları da kapsayacak şekilde genişletildi.
Microsoft’un planı da Google Cloud’unkine benzer şekilde aşamalı bir yaklaşım benimsiyor. Microsoft için Aşama 1, MFA’nın Azure portalında, Microsoft Entra yönetim merkezinde ve Intune yönetim merkezinde oturum açmasının gerekli olmasıyla geçen ay başladı. Yine 2024’ün başlarında başlayacak olan Aşama 2, Azure CLI (komut satırı arayüzü), Azure PowerShell, Azure mobil uygulaması ve kod olarak altyapı araçları için MFA’yı kademeli olarak uygulayacak.
CISA, MFA’nın kullanıcıların saldırıya uğrama olasılığının %99 daha az olduğu anlamına geldiğini söylese de, MFA’nın hatasız olmadığını unutmamak önemlidir.
Beyond Identity CEO’su Jasson Casey, “Zorunlu MFA gereklidir ancak kurumsal güvenlik için yeterli değildir. Bunun nedeni, MFA’nın eşit şekilde yaratılmaması ve aynı düzeyde güvenlik güvencesi sunmamasıdır” diyor.
Mimoto CEO’su ve Kurucu Ortağı Kris Bondi, e-postayla yaptığı açıklamada, MFA ve iki faktörlü kimlik doğrulamanın 20 yılı aşkın süredir bir şekilde kullanıldığını ve saldırganların buna karşı yenilik yapmak için zamanları olduğunu söyledi. Tehdit aktörleri, eski MFA’yı atlayabilen kimlik avı operasyonlarını giderek daha fazla başlatıyor; bu nedenle NIST ve CISA, kimlik avına dayanıklı MFA’nın benimsenmesini önerdi.