Die AWS Multi-Factor Authentifizierung im Überblick

[ 1 ] Februar 23, 2012 |

Um Daten vor dem Zugriff anderer zu schützen, sind tokenbasierte Authentifizierung im Unternehmensumfeld schon seit langem ein gutes Mittel. Doch wie sieht es im Cloud-Bereich aus? AWS hat in diesem Feld das sogenannte AWS Multi-Factor Authentication System eingeführt. Doch wie funktioniert es? Ist es sinnvoll dieses Art der Authentifizierung zu wählen?
von Björn Böttcher

Im Prinzip ist das System sicherlich für den Einsatz in großen Unternehmen gedacht gewesen. Aber ist es dort sinnvoll einsetzbar? Wenn eine Firma mehrere Konten – also mehrere E-Mail Adressen und Passwörter. Damit hätte jeder Mitarbeiter des Unternehmens dann einen Zugang zu dem System.

Die Amazon Web Services stellen im Moment einen Standard im Bereich der Cloud Computing Infrastrukturanbieter dar. Doch wie sieht es mit der Sicherheit aus? Ist meine Anwendung und mein Unternehmen sicher, wenn der Zugang nur mit einem einfachem Passwort geschützt ist?

Eine alternative bietet die sogenannte Multi-Factor Authentication. Dabei handelt es sich um ein tokenbasietes Authentifizierungsverfahren. Das Verfahren basiert dabei auf der OATH Referenzarchitektur für zeitabhängige Einmalpasswörter. Das zur Verifizierung genutzte Gerät beinhaltet dabei eine sehr präzise Uhr. Bei der Registrierung eines neuen Gerätes wird dieses mit dem eigenen AWS Konto synchronisiert.

Wenn dieser Vorgang abgeschlossen ist, erzeugt das Gerät auf Knopfdruck einen numerischen Pseudocode berechnet aus der aktuellen Zeit und der unikalen Seriennummer des Gerätes. Zwischen einem Gerät und einem AWS Konto besteht eine 1:1 Beziehung. Dies ist damit schon eine erste Restriktion an diese Art der Authentifizierung. Es gibt keine Redundanz und das Gerät und somit der Zugang zu den Systemen ist durch und an ein einziges Gerät gebunden. Im Fall von Amazon Web Services ist das Gerät sogar noch an einen Anbieter gebunden: Gemalto.

Die so genannte Two-Factor Authentification funktioniert in der Anwendung in der ersten Stufe über die E-Mail Adresse und a hinterlegte Passwort. Im zweiten Schritt muss dann der von dem Gerät erzeugte sechs-stellige Code eingegeben werden. Erst jetzt ist man erfolgreich angemeldet. Diese Art der Authentifizierung wird auch von Tools anderer Anbietern wie z.B. Cloud Berry Explorer unterstützt. Wenn die MFA einmal für ein Konto aktiviert worden ist, so muss diese auch immer mit diesem Konto genutzt werden, bis sie wieder nach erfolgreicher Anmeldung deaktiviert worden ist. Wenn ich das Gerät verloren habe oder die Batterie leer ist, dann habe ich nur noch die Möglichkeit auf meine Kontoeinstellungen zuzugreifen, indem ich mich von Amazon als Besitzer des Kontos verifiziere lasse. Dies geschieht in der Regel über einen Anruf auf der bei Erzeugung des Kontos hinterlegten Telefonnummer. Was auch ohne das Gerät weiterhin funktioniert sind Tools, die über die API auf AWS zugreifen. So kann man z.B. mit Tools wie Decaf EC2 Client auch ohne MFA Gerät auf seine Server zugreifen und diese überwachen. Nur wenn ich auf meine Kontoeinstellungen und meine Sicherheitseinstellungen zugreifen möchte, dann muss ich mich über die Two-Factor Authentifizierung anmelden.

Ist das AWS-MFA Verfahren damit für den Unternehmenseinsatz geeignet? Nun diese Frage läßt sich nur eindeutig beantworten, wenn man dass Unternehmen kennt, um das es bei dieser Fragestellung geht. Eine einfache und allgemeingültige Antwort gibt es nicht. Es ist jedoch so, dass für größere Unternehmen dieses Verfahren eher ungeeignet ist. Für diese Unternehmen empfiehlt es sich eher das neuere Identity- and Accessmanagement Verfahren zu evaluieren, oder zu prüfen, ob nicht sogar eigene Authentifizierungsverfahren integriert werden können. Für kleine Unternehmen mit nur einem Administrator ist dieses Verfahren jedoch sehr empfehlenswert. Es ist also wie mit vielen Dingen momentan im Cloud Computing Umfeld, es profitieren die jungen Start-Ups – noch.

Tags: , , ,

Category: Gastbeiträge

About the Author ()

Leave a Reply

You must be logged in to post a comment.