Microsoft elimina milhões de inquilinos inativos do Azure em grande reforma de segurança na nuvem
A Microsoft anunciou um amplo conjunto de atualizações de segurança na nuvem como parte de sua Secure Future Initiative (SFI), incluindo a remoção de 6,3 milhões de locatários inativos do Azure e uma reformulação completa da forma como os tokens de identidade são armazenados e gerenciados. As atualizações são uma resposta direta a um ataque devastador de um estado-nação que explorou fragilidades na infraestrutura de identidade da Microsoft e gerou intenso escrutínio governamental.
Table of Contents
Proteção de chave baseada em hardware para evitar explorações futuras
No centro da iniciativa está uma mudança estrutural na forma como a Microsoft lida com suas chaves de assinatura de tokens de Conta Microsoft (MSA) e Entra ID. Essas chaves, essenciais para autenticar identidades de usuários nos serviços de nuvem da Microsoft, foram movidas para módulos de segurança de hardware (HSMs) ou máquinas virtuais confidenciais do Azure com rotação automática de chaves. Essa mudança visa evitar a repetição da violação de segurança de 2021, na qual invasores acessaram uma chave de assinatura confidencial de um consumidor a partir de um despejo de memória encontrado na conta corporativa de um engenheiro comprometido.
Charlie Bell, chefe de segurança da Microsoft, afirmou que cinco dos 28 objetivos do SFI estão quase concluídos e outros 11 apresentaram progressos significativos. Entre as conquistas até o momento, a Microsoft relata que mais de 90% de suas contas internas de produtividade adotaram a autenticação multifator resistente a phishing e 90% dos tokens de identidade de primeira parte agora são validados usando um kit de desenvolvimento de software recém-reforçado. O serviço de assinatura MSA já foi migrado para VMs confidenciais do Azure, e o serviço Entra ID agora está em processo de migração.
Eliminando locatários inativos do Azure para minimizar a superfície de ataque
Além de fortalecer suas práticas de gerenciamento de chaves, a Microsoft realizou uma grande operação de limpeza na nuvem, eliminando 6,3 milhões de locatários inativos do Azure para reduzir sua superfície de ataque e melhorar o isolamento dos sistemas de produção. Esses locatários não utilizados ou abandonados podem representar riscos à segurança se não forem gerenciados, tornando sua remoção uma etapa crucial na prevenção de intrusões furtivas.
A Microsoft também migrou 88% dos recursos ativos da nuvem para o Azure Resource Manager, permitindo políticas de segurança mais consistentes e aplicáveis. Em outra medida que visa reduzir os riscos relacionados à identidade, 4,4 milhões de identidades gerenciadas foram segmentadas para autenticação apenas em locais de rede pré-aprovados.
Uma resposta às críticas e uma tentativa de restaurar a confiança
A Iniciativa Futuro Seguro foi lançada em novembro de 2023 após uma onda de críticas de autoridades do governo dos EUA e da comunidade de segurança cibernética. A empresa enfrentou críticas não apenas pela forma como lidou com a violação envolvendo um grupo chinês de ameaças persistentes avançadas (APT), mas também por atrasos e deficiências na correção de vulnerabilidades, especialmente em serviços baseados em nuvem. A Microsoft também foi criticada por sua abordagem em relação à pesquisa e divulgação de vulnerabilidades por terceiros.
Olhando para o futuro: essas mudanças serão suficientes?
As atualizações lançadas este mês sugerem um esforço renovado da Microsoft para reconquistar a confiança por meio da transparência e de uma base de segurança mais sólida. Ao abordar fragilidades arquitetônicas, fortalecer sua infraestrutura de identidade e implementar melhorias em larga escala na higiene da nuvem, a empresa visa reduzir sua exposição a ataques sofisticados e elevar seus padrões de segurança padrão.
Embora a Microsoft ainda enfrente desafios — incluindo uma onda crescente de vulnerabilidades de dia zero no Windows e críticas constantes ao seu processo de aplicação de patches — as mudanças atuais representam um avanço significativo. Se essas reformas serão suficientes para restaurar a confiança nos serviços de nuvem da gigante da tecnologia dependerá de sua eficácia a longo prazo e do compromisso contínuo da empresa com a segurança cibernética proativa.
