Google Cloud è destinato a rendere obbligatoria l’autenticazione a più fattori (MFA) per tutti gli utenti entro il 2025, una mossa mirata esattamente a rafforzare la sicurezza in risposta alle crescenti minacce informatiche. A partire da questo mese, Google distribuirà promemoria e risorse, esortando i clienti ad adottare la MFA. Questo piano di applicazione graduale sottolinea una tendenza più ampia del settore: quando si tratta di sicurezza, fare affidamento esclusivamente sulle password è una cosa del passato.
Perché Google richiede l’MFA su Google Cloud?
La motivazione dietro la spinta di Google per l’AMF è chiara. Le violazioni informatiche stanno aumentando e al centro di questi attacchi ci sono pratiche di sicurezza deboli. Solo nel 2024, oltre 1 miliardo di record sono stati rubati in varie violazioni. Tra questi spiccano gli incidenti avvenuti presso Change Healthcare e Snowflake, dove dati sensibili sono stati esposti a causa di credenziali compromesse prive di MFA. La decisione di Google segnala il riconoscimento del fatto che i rischi per la sicurezza informatica hanno superato le tradizionali misure di protezione.
Mayank Upadhyay, vicepresidente dell’ingegneria di Google, disposto La posizione di Google è chiara: “Data la natura sensibile delle implementazioni cloud – e con il phishing e le credenziali rubate che rimangono uno dei principali vettori di attacco osservati dal nostro team Mandiant Threat Intelligence – riteniamo che sia giunto il momento di richiedere la verifica in due passaggi per tutti gli utenti di Google Cloud.” Applicando l’AMF, Google sta alzando la posta in gioco per la sicurezza degli account, riflettendo una mentalità secondo cui la resilienza informatica ora richiede qualcosa di più delle semplici password complesse.
Come Google prevede di implementare MFA per gli utenti cloud
Google non cambierà nulla da un giorno all’altro. Si sta invece introducendo l’MFA obbligatoria in più fasi, dando agli utenti e alle aziende il tempo di adeguarsi. Ecco cosa aspettarsi in ogni fase:
- Fase 1 (novembre 2024) – Incoraggiamento ad abilitare l’AMF:
Google ha iniziato a incorporare promemoria e indicazioni nella console Google Cloud, incoraggiando gli utenti a impostare volontariamente l’MFA. Sono disponibili risorse per aiutare i team a pianificare, condurre test e garantire una distribuzione MFA senza intoppi. Questa fase pone le basi, sensibilizzando e facilitando i clienti verso ciò che alla fine diventerà un requisito.
- Fase 2 (inizio 2025) – L’MFA diventa obbligatorio per gli accessi basati su password:
All’inizio del 2025, Google inizierà a richiedere l’MFA per tutti gli utenti di Google Cloud che accedono con una password. Questo requisito si estende alle piattaforme di Google come Firebase e gCloud, il che significa che gli utenti devono verificare la propria identità con un secondo metodo di autenticazione, che si tratti di una chiave di sicurezza, di un’autenticazione basata su app o di una verifica biometrica.
- Fase 3 (fine 2025) – Estensione dell’MFA agli utenti federati:
Entro la fine del 2025, il mandato MFA di Google raggiungerà gli utenti federati, ovvero coloro che accedono tramite provider di identità di terze parti. Questa fase garantisce che, indipendentemente dal metodo di accesso, gli account su Google Cloud siano protetti da un ulteriore livello di sicurezza. Per le organizzazioni che utilizzano provider di identità, il requisito MFA di Google aggiunge un ulteriore livello di difesa unificato su tutti i punti di accesso.
L’implementazione graduale offre agli utenti la possibilità di integrare l’MFA senza interrompere le operazioni, concedendo tempo per istruire i team e garantire la conformità all’interno del loro flusso di lavoro.
La mossa di Google segue le tendenze del settore in materia di sicurezza
Questo cambiamento da parte di Google è in linea con le recenti mosse di giganti del cloud come AWS e Microsoft. AWS ha iniziato l’applicazione dell’MFA nel giugno 2024 e Azure di Microsoft ha presto seguito l’esempio. Con l’adesione di Google Cloud a questa tendenza, è chiaro che il settore tecnologico si sta coalizzando attorno all’MFA come nuovo standard per la sicurezza del cloud. Per gli utenti di Google Cloud, questo cambiamento potrebbe sembrare tardivo, considerando la vasta esperienza dell’azienda con innovazioni in materia di sicurezza.
Sebbene gli Account Google consumer offrano da tempo un’AMF facoltativa, la posta in gioco è diversa nel mondo aziendale. Gli account aziendali spesso ospitano dati critici e sensibili, rendendoli i bersagli principali degli attacchi informatici. In riconoscimento di questi rischi elevati, Google sta tracciando una linea, imponendo agli utenti aziendali di rafforzare i propri account. Come ha osservato Upadhyay, “Oggi c’è un’ampia adozione della 2SV da parte degli utenti in tutti i servizi Google”, ma dato il livello di accesso e i dati coinvolti, l’applicazione obbligatoria era “inevitabile”.
MFA: Cosa spinge verso un’autenticazione più forte?
La spinta verso l’AMF nasce da una realtà che la maggior parte delle persone e delle aziende già conosce: le password non bastano. Con gli attacchi informatici che diventano sempre più avanzati e prendono di mira i punti deboli dell’infrastruttura digitale, l’AMF si è rivelata uno dei metodi più efficaci per prevenire l’accesso non autorizzato.
Gli studi sottolineano l’efficacia dell’AMF. Secondo la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, l’AMF riduce la probabilità di compromissione dell’account del 99%. Richiede agli utenti di confermare la propria identità con una seconda forma di verifica, un passaggio aggiuntivo che spesso blocca gli aggressori che hanno già ottenuto una password.
Le recenti violazioni dei dati sono servite da ammonimento. Ad esempio, Snowflake ha dovuto affrontare una breccia che hanno fatto trapelare dati privati da clienti come Bigliettaioevidenziando come la mancanza di AMF renda vulnerabili anche le grandi organizzazioni. Il mandato di Google mira a colmare queste lacune e a creare un precedente che altri possano seguire.
Cosa significa questo per gli utenti di Google Cloud
Per le aziende e i privati che si affidano a Google Cloud, l’AMF obbligatoria significa prendere sul serio le modifiche alla sicurezza. È incoraggiata l’adozione anticipata, soprattutto per le aziende che gestiscono più account utente. Google fornisce risorse all’interno della sua console Cloud, guidando gli utenti attraverso la configurazione dell’MFA, la pianificazione dell’implementazione e la formazione del team.
La buona notizia è che gli utenti hanno delle opzioni. Google Cloud consente una vasta gamma di metodi MFA, dalle app di autenticazione e codici SMS alle chiavi di sicurezza fisiche. Gli utenti federati, nel frattempo, possono collaborare con i propri provider di identità primari per integrare MFA, consentendo loro di mantenere un processo di accesso semplificato.
La sequenza temporale graduale offre un certo grado di flessibilità. Le organizzazioni possono sfruttare questo tempo per garantire che le politiche di MFA siano conformi e pratiche, riducendo al minimo le interruzioni. Le risorse di Google mirano a facilitare questa transizione, ma le organizzazioni dovrebbero iniziare a prepararsi ora per evitare ostacoli dell’ultimo minuto.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
