Microsoft verwijdert miljoenen inactieve Azure-tenants in een grootschalige revisie van de cloudbeveiliging

Microsoft heeft een ingrijpende reeks upgrades voor cloudbeveiliging aangekondigd als onderdeel van zijn Secure Future Initiative (SFI), waaronder de verwijdering van 6,3 miljoen inactieve Azure-tenants en een complete herziening van de manier waarop identiteitstokens worden opgeslagen en beheerd. De upgrades zijn een directe reactie op een schadelijke aanval door een staat die misbruik maakte van zwakke plekken in Microsofts identiteitsinfrastructuur en leidde tot intensieve overheidscontroles.

Hardwaregebaseerde sleutelbescherming om toekomstige exploits te voorkomen

De kern van het initiatief is een structurele wijziging in de manier waarop Microsoft omgaat met zijn Microsoft Account (MSA) en Entra ID-tokenondertekeningssleutels. Deze sleutels, cruciaal voor de authenticatie van gebruikersidentiteiten in de cloudservices van Microsoft, zijn nu verplaatst naar hardware security modules (HSM's) of vertrouwelijke Azure-virtuele machines met automatische sleutelrotatie. Deze stap is bedoeld om herhaling van de inbreuk uit 2021 te voorkomen, waarbij aanvallers toegang kregen tot een gevoelige consumentenondertekeningssleutel via een crashdump die werd gevonden in het bedrijfsaccount van een gecompromitteerde engineer.

Charlie Bell, hoofd beveiliging van Microsoft, zei dat vijf van de 28 SFI-doelstellingen bijna zijn voltooid en dat er in elf andere aanzienlijke vooruitgang is geboekt. Microsoft meldt dat meer dan 90% van de interne productiviteitsaccounts phishingbestendige multifactorauthenticatie heeft geïmplementeerd en dat 90% van de first-party identiteitstokens nu wordt gevalideerd met behulp van een onlangs geharde software development kit. De MSA-ondertekeningsservice is al gemigreerd naar vertrouwelijke Azure-VM's, en de Entra ID-service is nu bezig hetzelfde te doen.

Inactieve Azure-tenants opschonen om het aanvalsoppervlak te minimaliseren

Naast het versterken van de belangrijkste beheerpraktijken, heeft Microsoft een grootschalige opschoningsoperatie in de cloud uitgevoerd, waarbij 6,3 miljoen inactieve Azure-tenants werden verwijderd om het aanvalsoppervlak te verkleinen en de isolatie van productiesystemen te verbeteren. Deze ongebruikte of verlaten tenants kunnen een beveiligingsrisico vormen als ze niet worden beheerd. Verwijdering ervan is daarom een cruciale stap in het voorkomen van heimelijke inbraken.

Microsoft heeft ook 88% van de actieve cloudresources gemigreerd naar Azure Resource Manager, wat zorgt voor consistenter en afdwingbaarder beveiligingsbeleid. Een andere maatregel, gericht op het verminderen van identiteitsgerelateerde risico's, is het segmenteren van 4,4 miljoen beheerde identiteiten, zodat authenticatie alleen mogelijk is vanaf vooraf goedgekeurde netwerklocaties.

Een reactie op kritiek en een poging om vertrouwen te herstellen

Het Secure Future Initiative werd in november 2023 gelanceerd na een golf van kritiek van zowel Amerikaanse overheidsfunctionarissen als de cybersecuritygemeenschap. Het bedrijf kreeg niet alleen kritiek vanwege de manier waarop het de inbreuk aanpakte waarbij een Chinese Advanced Persistent Threat (APT)-groep betrokken was, maar ook vanwege de vertragingen en tekortkomingen bij het patchen van kwetsbaarheden, met name in cloudgebaseerde diensten. Microsoft kreeg ook kritiek op de manier waarop het onderzoek naar en de openbaarmaking van kwetsbaarheden door derden aanpakte.

Vooruitblik: zijn deze veranderingen voldoende?

De updates die deze maand zijn uitgebracht, suggereren een hernieuwde inspanning van Microsoft om vertrouwen terug te winnen door middel van transparantie en een sterkere beveiligingsbasis. Door architecturale zwakheden aan te pakken, de identiteitsinfrastructuur te versterken en grootschalige verbeteringen aan te brengen in de cloudhygiëne, wil het bedrijf de blootstelling aan geavanceerde aanvallen verminderen en de standaardbeveiligingsnormen verhogen.

Hoewel Microsoft nog steeds voor uitdagingen staat – waaronder een toenemende stroom zero-day kwetsbaarheden in Windows en aanhoudende kritiek op het patchproces – vormen de huidige veranderingen een belangrijke stap voorwaarts. Of deze hervormingen voldoende zijn om het vertrouwen in de clouddiensten van de techgigant te herstellen, hangt af van hun effectiviteit op de lange termijn en de voortdurende inzet van het bedrijf voor proactieve cybersecurity.