Microsoft elimina millones de inquilinos inactivos de Azure en una reforma masiva de seguridad en la nube
Microsoft ha anunciado un conjunto integral de mejoras de seguridad en la nube como parte de su Iniciativa de Futuro Seguro (SFI), que incluye la eliminación de 6,3 millones de inquilinos inactivos de Azure y una revisión completa del almacenamiento y la gestión de tokens de identidad. Estas actualizaciones son una respuesta directa a un ataque desastroso perpetrado por un estado-nación que explotó las vulnerabilidades de la infraestructura de identidad de Microsoft y generó un intenso escrutinio gubernamental.
Table of Contents
Protección de claves basada en hardware para evitar futuras vulnerabilidades
La iniciativa se centra en un cambio estructural en la gestión de las claves de firma de tokens de Cuenta Microsoft (MSA) y Entra ID de Microsoft. Estas claves, cruciales para la autenticación de identidades de usuarios en los servicios en la nube de Microsoft, se han trasladado a módulos de seguridad de hardware (HSM) o máquinas virtuales confidenciales de Azure con rotación automática de claves. Esta medida busca evitar que se repita la brecha de seguridad de 2021, en la que los atacantes accedieron a una clave de firma confidencial de consumidor desde un volcado de memoria encontrado en la cuenta corporativa de un ingeniero comprometido.
Charlie Bell, jefe de seguridad de Microsoft, afirmó que cinco de los 28 objetivos de SFI están casi completados y que otros 11 han logrado avances significativos. Entre los logros hasta la fecha, Microsoft informa que más del 90 % de sus cuentas de productividad interna han adoptado la autenticación multifactor resistente al phishing, y que el 90 % de los tokens de identidad de origen se validan mediante un kit de desarrollo de software (SDK) recientemente reforzado. El servicio de firma MSA ya se ha migrado a las máquinas virtuales confidenciales de Azure, y el servicio Entra ID está en proceso de hacerlo.
Purgar inquilinos inactivos de Azure para minimizar la superficie de ataque
Además de fortalecer sus prácticas de gestión de claves, Microsoft llevó a cabo una limpieza masiva de la nube, eliminando 6,3 millones de inquilinos inactivos de Azure para reducir su superficie de ataque y mejorar el aislamiento de los sistemas de producción. Estos inquilinos inactivos o abandonados pueden presentar riesgos de seguridad si no se gestionan, por lo que su eliminación es un paso crucial para prevenir intrusiones sigilosas.
Microsoft también ha migrado el 88 % de sus recursos activos en la nube a Azure Resource Manager, lo que permite políticas de seguridad más consistentes y ejecutables. Como otra medida para reducir los riesgos relacionados con la identidad, se han segmentado 4,4 millones de identidades administradas para autenticarse únicamente desde ubicaciones de red preaprobadas.
Una respuesta a las críticas y un intento de restaurar la confianza
La Iniciativa para un Futuro Seguro se lanzó en noviembre de 2023 tras una ola de críticas tanto de funcionarios del gobierno estadounidense como de la comunidad de ciberseguridad. La compañía enfrentó críticas no solo por su gestión de la brecha de seguridad que involucró a un grupo chino de amenazas persistentes avanzadas (APT), sino también por los retrasos y deficiencias en la corrección de vulnerabilidades, especialmente en servicios en la nube. Microsoft también fue criticada por su enfoque en la investigación y divulgación de vulnerabilidades de terceros.
Mirando hacia el futuro: ¿serán suficientes estos cambios?
Las actualizaciones publicadas este mes sugieren un esfuerzo renovado por parte de Microsoft para recuperar la confianza mediante la transparencia y una base de seguridad más sólida. Al abordar las debilidades arquitectónicas, fortalecer su infraestructura de identidad e implementar mejoras a gran escala en la higiene de la nube, la compañía busca reducir su exposición a ataques sofisticados y elevar sus estándares de seguridad predeterminados.
Si bien Microsoft aún enfrenta desafíos, como una creciente ola de vulnerabilidades de día cero en Windows y las constantes críticas a su proceso de parcheo, los cambios actuales representan un avance significativo. Que estas reformas sean suficientes para restaurar la confianza en los servicios en la nube del gigante tecnológico dependerá de su eficacia a largo plazo y del compromiso continuo de la compañía con la ciberseguridad proactiva.
