Google Cloud is van plan om tegen 2025 multifactorauthenticatie (MFA) verplicht te stellen voor alle gebruikers, een stap die volledig gericht is op het versterken van de beveiliging als reactie op de escalerende cyberdreigingen. Vanaf deze maand zal Google herinneringen en bronnen uitrollen, waarbij klanten worden aangespoord om MFA te adopteren. Dit gefaseerde handhavingsplan onderstreept een bredere trend in de sector: als het om beveiliging gaat, behoort het uitsluitend vertrouwen op wachtwoorden tot het verleden.
Waarom vereist Google MFA op Google Cloud?
De motivatie achter Google’s drang naar MFA is duidelijk. Het aantal cyberinbreuken neemt toe en zwakke beveiligingspraktijken vormen de kern van deze aanvallen. Alleen al in 2024 werden bij verschillende inbreuken ruim 1 miljard records gestolen. Prominent hiervan waren incidenten bij Change Healthcare en Snowflake, waar gevoelige gegevens openbaar werden gemaakt vanwege gecompromitteerde inloggegevens zonder MFA. Het besluit van Google betekent een erkenning dat cyberveiligheidsrisico’s de traditionele beschermingsmaatregelen hebben overtroffen.
Mayank Upadhyay, VP Engineering van Google, aangelegd Het standpunt van Google is duidelijk: “Gezien de gevoelige aard van cloudimplementaties – en omdat phishing en gestolen inloggegevens nog steeds een van de belangrijkste aanvalsvectoren zijn, waargenomen door ons Mandiant Threat Intelligence-team – zijn we van mening dat het tijd is om 2SV te eisen voor alle gebruikers van Google Cloud.” Door MFA af te dwingen verhoogt Google de inzet voor accountbeveiliging, wat een weerspiegeling is van de gedachte dat cyberveerkracht nu meer vereist dan alleen sterke wachtwoorden.
Hoe Google van plan is MFA voor cloudgebruikers uit te rollen
Google zet niet van de ene op de andere dag een schakelaar om. In plaats daarvan wordt de verplichte MFA gefaseerd uitgerold, zodat gebruikers en bedrijven de tijd hebben om zich aan te passen. Dit is wat u in elke fase kunt verwachten:
- Fase 1 (november 2024) – Aanmoediging om MFB mogelijk te maken:
Google is begonnen met het insluiten van herinneringen en begeleiding in de Google Cloud-console, waardoor gebruikers worden aangemoedigd vrijwillig MFA in te stellen. Er zijn middelen beschikbaar om teams te helpen bij het plannen, uitvoeren van tests en het garanderen van een soepele MFA-implementatie. Deze fase legt de basis, vergroot het bewustzijn en zorgt ervoor dat klanten zich bewust worden van wat uiteindelijk een vereiste zal worden.
- Fase 2 (begin 2025) – MFA wordt verplicht voor op wachtwoord gebaseerde logins:
Begin 2025 zal Google MFA gaan eisen voor alle Google Cloud-gebruikers die inloggen met een wachtwoord. Deze vereiste strekt zich uit tot de platforms van Google, zoals Firebase en gCloud, wat betekent dat gebruikers hun identiteit moeten verifiëren met een tweede authenticatiemethode: een beveiligingssleutel, app-gebaseerde authenticatie of biometrische verificatie.
- Fase 3 (eind 2025) – MFA uitbreiden naar federatieve gebruikers:
Tegen het einde van 2025 zal het MFA-mandaat van Google federatieve gebruikers bereiken – zij die inloggen via externe identiteitsproviders. Deze fase zorgt ervoor dat, ongeacht de inlogmethode, accounts op Google Cloud worden afgeschermd door een extra beveiligingslaag. Voor organisaties die identiteitsproviders gebruiken, voegt de MFA-vereiste van Google een extra, uniforme verdedigingslaag toe voor alle toegangspunten.
De gefaseerde uitrol geeft gebruikers de kans om MFA te integreren zonder de activiteiten te verstoren, waardoor er tijd is om teams op te leiden en compliance binnen hun workflow te waarborgen.
De stap van Google volgt de trends in de sector op het gebied van beveiliging
Deze verschuiving van Google komt overeen met recente stappen van cloudgiganten als AWS en Microsoft. AWS begon in juni 2024 met de handhaving van de MFA, en Microsoft’s Azure volgde al snel dit voorbeeld. Nu Google Cloud zich bij deze trend aansluit, is het duidelijk dat de technologie-industrie zich rond MFA verenigt als de nieuwe standaard voor cloudbeveiliging. Voor gebruikers van Google Cloud lijkt deze verschuiving wellicht te laat, gezien de uitgebreide staat van dienst van het bedrijf op het gebied van beveiligingsinnovaties.
Hoewel Google-accounts voor consumenten al lang optionele MFA bieden, is de inzet anders in de bedrijfswereld. Zakelijke accounts bevatten vaak kritische en gevoelige gegevens, waardoor ze een belangrijk doelwit zijn voor cyberaanvallen. Als erkenning van deze verhoogde risico’s trekt Google een grens en verplicht zakelijke gebruikers hun accounts te versterken. Zoals Upadhyay opmerkte: “Tegenwoordig is er sprake van een brede acceptatie van 2SV door gebruikers in alle Google-services”, maar gezien het toegangsniveau en de betrokken gegevens was verplichte handhaving “onvermijdelijk”.
MFA: Wat drijft de drang naar sterkere authenticatie?
De drang naar MFA komt voort uit een realiteit die de meeste mensen, en bedrijven, al weten: wachtwoorden zijn niet genoeg. Nu cyberaanvallen steeds geavanceerder worden en zich richten op zwakke punten in de digitale infrastructuur, is MFA een van de meest effectieve methoden gebleken om ongeautoriseerde toegang te voorkomen.
Studies onderstrepen de effectiviteit van MFA. Volgens de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) vermindert MFA de kans op accountcompromis met 99%. Het vereist dat gebruikers hun identiteit bevestigen met een tweede vorm van verificatie – een extra stap die vaak aanvallers tegenhoudt die al een wachtwoord hebben verkregen.
Recente datalekken hebben als waarschuwing gediend. Bijvoorbeeld, Sneeuwvlok stond voor een breuk die privégegevens lekten van klanten zoals Ticketmasterwaarbij wordt benadrukt hoe een gebrek aan MFB zelfs grote organisaties kwetsbaar maakt. Het mandaat van Google is erop gericht deze lacunes te dichten en een precedent te scheppen dat anderen kunnen volgen.
Wat dit betekent voor Google Cloud-gebruikers
Voor bedrijven en particulieren die afhankelijk zijn van Google Cloud betekent verplichte MFA dat beveiligingsaanpassingen serieus moeten worden genomen. Vroege adoptie wordt aangemoedigd, vooral voor bedrijven die meerdere gebruikersaccounts beheren. Google biedt bronnen binnen zijn Cloud-console en begeleidt gebruikers bij het instellen van MFA, implementatieplanning en teamtraining.
Het goede nieuws is dat gebruikers opties hebben. Google Cloud maakt een reeks MFA-methoden mogelijk, van authenticator-apps en sms-codes tot fysieke beveiligingssleutels. Federated gebruikers kunnen ondertussen samenwerken met hun primaire identiteitsproviders om MFA te integreren, waardoor ze een gestroomlijnd inlogproces kunnen onderhouden.
De gefaseerde tijdlijn biedt een zekere mate van flexibiliteit. Organisaties kunnen deze tijd gebruiken om ervoor te zorgen dat het MFA-beleid zowel conform als praktisch is, waardoor verstoringen tot een minimum worden beperkt. De middelen van Google zijn bedoeld om deze overgang te vergemakkelijken, maar organisaties moeten zich nu al voorbereiden om hindernissen op het laatste moment te vermijden.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
