Microsoft usuwa miliony uśpionych dzierżawców platformy Azure w ramach gruntownej przebudowy zabezpieczeń chmury
Firma Microsoft ogłosiła szeroki zestaw ulepszeń zabezpieczeń chmury w ramach swojej inicjatywy Secure Future Initiative (SFI), w tym usunięcie 6,3 miliona nieaktywnych dzierżawców Azure i całkowitą przebudowę sposobu przechowywania i zarządzania tokenami tożsamości. Ulepszenia są bezpośrednią odpowiedzią na szkodliwy atak państwa narodowego, który wykorzystał słabości infrastruktury tożsamości firmy Microsoft i wywołał intensywną kontrolę rządową.
Table of Contents
Ochrona kluczy sprzętowych zapobiegająca przyszłym atakom
Sercem inicjatywy jest strukturalna zmiana sposobu, w jaki Microsoft obsługuje klucze podpisywania kont Microsoft (MSA) i tokenów Entra ID. Klucze te, krytyczne dla uwierzytelniania tożsamości użytkowników w usługach chmurowych Microsoft, zostały teraz przeniesione do sprzętowych modułów bezpieczeństwa (HSM) lub poufnych maszyn wirtualnych Azure z automatyczną rotacją kluczy. Ten ruch ma zapobiec powtórzeniu się naruszenia z 2021 r., w którym atakujący uzyskali dostęp do poufnego klucza podpisywania konsumenta z zrzutu awaryjnego znalezionego na naruszonym koncie firmowym inżyniera.
Charlie Bell, szef ds. bezpieczeństwa w Microsoft, powiedział, że pięć z 28 celów SFI jest prawie ukończonych, a 11 kolejnych poczyniło znaczne postępy. Wśród dotychczasowych osiągnięć Microsoft informuje, że ponad 90% jego wewnętrznych kont produktywności przyjęło uwierzytelnianie wieloskładnikowe odporne na phishing, a 90% tokenów tożsamości pierwszej strony jest teraz weryfikowanych przy użyciu nowo wzmocnionego zestawu narzędzi do tworzenia oprogramowania. Usługa podpisywania MSA została już zmigrowana do poufnych maszyn wirtualnych Azure, a usługa Entra ID jest teraz w trakcie robienia tego samego.
Czyszczenie nieaktywnych dzierżawców platformy Azure w celu zminimalizowania powierzchni ataku
Oprócz wzmocnienia kluczowych praktyk zarządzania, Microsoft przeprowadził masową operację czyszczenia chmury, usuwając 6,3 miliona uśpionych dzierżawców Azure, aby zmniejszyć powierzchnię ataku i poprawić izolację systemów produkcyjnych. Te nieużywane lub porzucone dzierżawy mogą stanowić zagrożenie dla bezpieczeństwa, jeśli pozostaną niezarządzane, co sprawia, że ich usunięcie jest krytycznym krokiem w zapobieganiu ukrytym włamaniom.
Microsoft przeniósł również 88% aktywnych zasobów w chmurze do Azure Resource Manager, co umożliwiło bardziej spójne i egzekwowalne zasady bezpieczeństwa. W innym działaniu mającym na celu zmniejszenie ryzyka związanego z tożsamością, 4,4 miliona zarządzanych tożsamości zostało podzielonych na segmenty, aby uwierzytelniać się tylko z wstępnie zatwierdzonych lokalizacji sieciowych.
Odpowiedź na krytykę i próba odbudowy zaufania
Inicjatywa Secure Future została uruchomiona w listopadzie 2023 r. po fali krytyki ze strony przedstawicieli rządu USA i społeczności cyberbezpieczeństwa. Firma spotkała się z reakcją nie tylko za sposób radzenia sobie z naruszeniem bezpieczeństwa z udziałem chińskiej grupy zaawansowanego trwałego zagrożenia (APT), ale także za opóźnienia i niedociągnięcia w łataniu luk, szczególnie w usługach w chmurze. Microsoft został również skrytykowany za podejście do badań i ujawniania luk w zabezpieczeniach stron trzecich.
Patrząc w przyszłość: Czy te zmiany wystarczą?
Aktualizacje opublikowane w tym miesiącu sugerują odnowione wysiłki Microsoftu na rzecz odzyskania zaufania poprzez przejrzystość i silniejsze podstawy bezpieczeństwa. Poprzez zajęcie się słabościami architektonicznymi, wzmocnienie infrastruktury tożsamości i wprowadzenie szeroko zakrojonych ulepszeń higieny chmury firma zamierza zmniejszyć narażenie na wyrafinowane ataki i podnieść swoje domyślne standardy bezpieczeństwa.
Podczas gdy Microsoft nadal mierzy się z wyzwaniami — w tym rosnącą falą luk typu zero-day w systemie Windows i ciągłą krytyką procesu łatania — obecne zmiany stanowią znaczący krok naprzód. To, czy te reformy wystarczą, aby przywrócić zaufanie do usług chmurowych giganta technologicznego, będzie zależało od ich długoterminowej skuteczności i ciągłego zaangażowania firmy w proaktywne cyberbezpieczeństwo.
