Microsoft удаляет миллионы неактивных клиентов Azure в ходе масштабной перестройки облачной безопасности

Microsoft объявила о широком наборе обновлений безопасности облака в рамках своей инициативы Secure Future Initiative (SFI), включая удаление 6,3 млн неактивных арендаторов Azure и полную перестройку хранения и управления идентификационными токенами. Обновления стали прямым ответом на разрушительную атаку на государственное устройство, которая использовала слабые места в инфраструктуре идентификации Microsoft и вызвала пристальное внимание правительства.

Аппаратная защита ключей для предотвращения будущих атак

В основе инициативы лежит структурное изменение того, как Microsoft обрабатывает свои учетные записи Microsoft (MSA) и ключи подписи токенов Entra ID. Эти ключи, имеющие решающее значение для аутентификации пользовательских идентификаторов в облачных сервисах Microsoft, теперь перемещены в аппаратные модули безопасности (HSM) или конфиденциальные виртуальные машины Azure с автоматической ротацией ключей. Этот шаг призван предотвратить повторение взлома 2021 года, когда злоумышленники получили доступ к конфиденциальному ключу подписи потребителя из аварийного дампа, обнаруженного в скомпрометированной корпоративной учетной записи инженера.

Чарли Белл, руководитель службы безопасности Microsoft, сказал, что пять из 28 целей SFI почти выполнены, а еще 11 достигли значительного прогресса. Среди достижений на данный момент Microsoft сообщает, что более 90% ее внутренних учетных записей производительности приняли устойчивую к фишингу многофакторную аутентификацию, а 90% токенов идентификации первой стороны теперь проверяются с использованием нового усиленного комплекта разработки программного обеспечения. Служба подписи MSA уже была перенесена на конфиденциальные виртуальные машины Azure, а служба Entra ID сейчас делает то же самое.

Очистка неактивных клиентов Azure для минимизации поверхности атаки

В дополнение к укреплению своих ключевых методов управления, Microsoft провела масштабную операцию по очистке облака, удалив 6,3 миллиона бездействующих арендаторов Azure, чтобы сократить поверхность атаки и улучшить изоляцию производственных систем. Эти неиспользуемые или заброшенные арендаторы могут представлять угрозу безопасности, если их не контролировать, что делает их удаление критически важным шагом в предотвращении скрытых вторжений.

Microsoft также перенесла 88% активных облачных ресурсов в Azure Resource Manager, что позволяет применять более последовательные и реализуемые политики безопасности. В рамках другой меры, направленной на снижение рисков, связанных с идентификацией, 4,4 миллиона управляемых идентификаторов были сегментированы для аутентификации только из предварительно одобренных сетевых расположений.

Ответ на критику и попытка восстановить доверие

Инициатива «Безопасное будущее» была запущена в ноябре 2023 года после волны критики со стороны как официальных лиц правительства США, так и сообщества кибербезопасности. Компания столкнулась с негативной реакцией не только из-за того, как она справилась с нарушением, связанным с китайской группой Advanced Permanent Threat (APT), но и из-за задержек и недостатков в исправлении уязвимостей, особенно в облачных сервисах. Microsoft также была обвинёна в подходе к исследованию и раскрытию уязвимостей третьими лицами.

Взгляд в будущее: будет ли этих изменений достаточно?

Обновления, выпущенные в этом месяце, свидетельствуют о возобновлении усилий Microsoft по восстановлению доверия посредством прозрачности и более прочной основы безопасности. Устраняя архитектурные недостатки, укрепляя свою инфраструктуру идентификации и осуществляя масштабные улучшения гигиены облака, компания стремится снизить свою подверженность сложным атакам и повысить свои стандарты безопасности по умолчанию.

Хотя Microsoft по-прежнему сталкивается с трудностями, включая растущую волну уязвимостей нулевого дня Windows и продолжающуюся критику ее процесса исправления, текущие изменения представляют собой значительный шаг вперед. Будут ли эти реформы достаточны для восстановления доверия к облачным сервисам технологического гиганта, будет зависеть от их долгосрочной эффективности и постоянной приверженности компании проактивной кибербезопасности.