كان رد فعل مجتمع الأمن السيبراني إيجابيًا على إعلان Google في 4 نوفمبر بأنه سيبدأ في التنفيذ مصادقة متعددة العوامل (MFA) لملايين مستخدمي Google Cloud في جميع أنحاء العالم خلال عام 2025، مع وصف هذه الخطوة بأنها خطوة مهمة إلى الأمام في تأمين النظام البيئي الرقمي الأوسع.
تم الإعلان عن السياسات المحسنة في وقت سابق من هذا الأسبوع بقلم نائب رئيس Google Cloud للهندسة مايانك أوبادهياي، سيتم طرح MFA الإلزامي لكل مستخدم يقوم حاليًا بتسجيل الدخول باستخدام كلمة مرور فقط.
“سنقوم بتنفيذ MFA الإلزامي لـ Google Cloud في نهج تدريجي سيتم طرحه لجميع المستخدمين في جميع أنحاء العالم خلال عام 2025. ولضمان الانتقال السلس، ستوفر Google Cloud إشعارًا مسبقًا للمؤسسات والمستخدمين على طول الطريق للمساعدة في التخطيط لعمليات نشر MFA، قال أوبدهياي.
“لقد كنا مناصرين أقوياء لنظام MFA الخاص بنا لأكثر من عقد من الزمان، ونحن هنا لمساعدتك في هذه الترقية الأمنية المهمة. في Google، ندرك أنك بحاجة إلى المرونة والتحكم عند تنفيذ إجراءات أمنية جديدة. وأضاف: “لهذا السبب نقوم بطرح برنامج MFA الإلزامي على مراحل”.
ستشهد المرحلة الأولى، التي تبدأ هذا الشهر، أن تبدأ Google في استهداف المستخدمين غير المحميين بمزيد من التذكيرات والمعلومات حول MFA في Google Cloud Console، مع استهداف 30% من مستخدمي الخدمة غير المسجلين بالفعل. سيدفع هذا التوجيه المؤسسات نحو رفع مستوى الوعي والتخطيط لأسلوب التمويل المتعدد التمويل (MFA)، بالإضافة إلى تقديم المشورة بشأن عمليات الاختبار والتمكين.
اعتبارًا من أوائل عام 2025، ستبدأ Google في طلب MFA لجميع المستخدمين الجدد والحاليين الذين يسجلون الدخول باستخدام كلمة مرور، مع ظهور الإشعارات والإرشادات حول ذلك عبر Google Cloud Console، وFirebase Console، وgCloud، والأنظمة الأساسية الأخرى. أولئك الذين يرغبون في الاستمرار في استخدام هذه الأدوات لن يكون لديهم خيار سوى التسجيل في برنامج MFA في هذا الوقت.
أخيرًا، بحلول هذا الوقت من العام المقبل، سيتم توسيع متطلبات MFA لتشمل جميع المستخدمين الذين يقومون بتوحيد المصادقة في Google Cloud. سيكون هناك عدد من الخيارات المتاحة لتلبية هذا المطلب – قد تختار المؤسسات تمكين MFA مع موفر الهوية الأساسي الخاص بها قبل الوصول إلى Google Cloud، والعمل مستمر لضمان وجود معايير وإجراءات معمول بها لتسهيل ذلك. أو قد يرغب المستخدمون في إضافة طبقات إضافية من MFA من خلال حسابات Google الخاصة بهم، إذا كانوا يفضلون استخدام نظام Google الخاص.
MFA الإلزامية ناجحة بالفعل للآخرين
يعد تقديم MFA الإلزامي للخدمات السحابية فكرة حان وقتها إلى حد كبير، وجوجل ليست الشركة السحابية العملاقة الوحيدة التي تتخذ مثل هذه التحركات – في وقت سابق من عام 2024، أعلنت شركة مايكروسوفت أنها تقدم مثل هذه السياسة في أعقاب عدد من الهجمات الإلكترونية البارزة التي شملت مستخدميها، وقد تم تطبيقها عبر Azure منذ بداية أكتوبر.
وفي الوقت نفسه، قال عملاق المجتمع مفتوح المصدر GitHub، الذي جلب MFA الإلزامي لمطورين ومشاريع مختارة في عام 2023، إنه شهد معدل الاشتراك 95% عبر المساهمين في الكود الذين حصلوا على متطلبات MFA، وزيادة بنسبة 54% في اعتماد أسلوب التمويل المتعدد (MFA) بين جميع المساهمين النشطين في المشاريع التي تستضيفها.
مايك بريتون، رئيس قسم تكنولوجيا المعلومات في أمان غير طبيعي، قال إن خطوة Google طال انتظارها: “[MFA] هي خدمة أمنية أساسية يجب أن تكون إلزامية بنسبة 100% لجميع موفري البرامج والأنظمة الأساسية – خاصة بالنسبة للبريد الإلكتروني، الذي لا يزال يمثل الناقل الأساسي الذي من خلاله تقوم الجهات الفاعلة في مجال التهديد بشن هجمات متقدمة.
“أعتقد أنه يجب على بائعي البرامج توفير MFA – وخدمات الأمان الأساسية الأخرى مثل SSO – لعملائهم كجزء من عروضهم الأساسية القياسية. لا ينبغي لنا أن نحقق الدخل من القدرات والميزات الأمنية الأساسية في منتجنا إلا إذا كانت تكلفة توفير هذه الميزات باهظة دون رسوم اشتراك إضافية، وهو ما لا يحدث غالبًا.
باتريك تيكيت، نائب رئيس الأمن والامتثال في حارس الأمن, وأضاف: “إن طرح Google على مراحل يسهل على المستخدمين التكيف مع المتطلبات الجديدة، حيث يمكن مواجهة MFA بمقاومة بسبب الاحتكاك الملحوظ في تجربة المستخدم، خاصة عند تنفيذها فجأة.
“إن الخطة متعددة الخطوات، بدءًا من تذكيرات وحدة التحكم والتقدم إلى التنفيذ الكامل، تعطي الأولوية لاعتماد المستخدم وتقليل التعطيل التشغيلي مع الانتقال التدريجي لتسهيل المستخدمين على MFA – مما يمهد الطريق لتنفيذ أكثر سلاسة وامتثال أقوى.
“ومع ذلك، ستحتاج المؤسسات التي تستخدم Google Cloud أيضًا إلى التخطيط للتنفيذ ضمن القوى العاملة لديها. سيكون تدريب الموظفين حول أهمية MFA أمرًا بالغ الأهمية ويمكن لأدوات مثل مدير كلمات المرور تسهيل الاعتماد من خلال تخزين رموز MFA وملؤها بشكل آمن.
آنا كولارد، نائبة الرئيس الأولى لاستراتيجية المحتوى ومبشرة في أخصائية التدريب الأمني كنو بي4، كما أشاد بسياسة Google الجديدة، لكنه قال إن وزارة الخارجية وحدها ليست الحل السحري.
“يعتمد الأمان الفعال على نهج دفاعي متعدد الطبقات يجمع بين استراتيجيات متعددة لحماية الأصول والبيانات. ليست كل جودة MFA متساوية أيضًا، على سبيل المثال، تعد MFA المقاومة للتصيد الاحتيالي، مثل تلك التي تم تمكينها بواسطة FIDO خيارًا أفضل بكثير من MFA المستندة إلى النص أو القائمة على الدفع.
