微軟大規模雲端安全整頓，清除數百萬 Azure 休眠租用戶

作為其安全未來計劃 (SFI) 的一部分，微軟宣布了一系列全面的雲端安全升級，包括刪除 630 萬個不活躍的 Azure 租用戶，並徹底改革身分識別代幣的儲存和管理方式。這項升級是對一次破壞性極強的國家攻擊的直接回應，該攻擊利用了微軟身份基礎設施的弱點，並引發了政府的嚴格審查。

基於硬體的金鑰保護，防止未來漏洞利用

該計劃的核心是對微軟處理其微軟帳戶 (MSA) 和 Entra ID 令牌簽署金鑰的方式進行結構性變更。這些金鑰對於在 Microsoft 雲端服務中驗證使用者身分至關重要，現在已移至硬體安全模組 (HSM) 或具有自動金鑰輪換功能的 Azure 機密虛擬機器中。此舉旨在防止 2021 年的漏洞重演，當時攻擊者從受感染工程師的公司帳戶中發現的崩潰轉儲中獲取了敏感的消費者簽署金鑰。

微軟安全主管 Charlie Bell 表示，28 個 SFI 目標中有 5 個已接近完成，另有 11 個取得了重大進展。微軟報告稱，迄今為止的成就包括，其 90% 以上的內部生產力帳戶已採用防網路釣魚的多因素身份驗證，並且 90% 的第一方身份令牌現在使用新強化的軟體開發工具包進行驗證。 MSA 簽章服務已遷移到 Azure 機密虛擬機，Entra ID 服務現在也正在進行同樣的遷移。

清除非活動 Azure 租用戶以最小化攻擊面

除了加強關鍵管理實踐之外，微軟還進行了大規模的雲端清理行動，清除了 630 萬個休眠的 Azure 租用戶，以縮小其攻擊面並提高生產系統的隔離性。如果不加以管理，這些未使用或被遺棄的租戶可能會帶來安全風險，因此將其移除是防止秘密入侵的關鍵一步。

微軟也將 88% 的活躍雲端資源遷移到 Azure 資源管理器，實現更一致、可執行的安全策略。另一項旨在降低身分相關風險的措施是，440 萬個管理身分已被細分，只能從預先核准的網路位置進行身分驗證。

回應批評並努力恢復信任

在美國政府官員和網路安全界的批評浪潮之後，「安全未來倡議」於 2023 年 11 月啟動。該公司不僅因處理涉及中國高級持續性威脅 (APT) 組織的違規行為而面臨強烈反對，還因修補漏洞（特別是在基於雲端的服務中）的延遲和缺陷而面臨強烈反對。微軟對第三方漏洞研究和揭露的態度也受到指責。

展望未來：這些變化足夠嗎？

本月發布的更新顯示微軟正在透過透明度和更強大的安全基礎重新贏得信任。透過解決架構缺陷、強化身分基礎設施以及進行大規模雲端衛生改進，該公司旨在減少遭受複雜攻擊的風險並提高其預設安全標準。

儘管微軟仍然面臨挑戰——包括 Windows 零時差漏洞的不斷增加以及對其修補過程的持續批評——但當前的變化代表著向前邁出的重要一步。這些改革是否足以恢復人們對這家科技巨頭雲端服務的信心，將取決於其長期有效性以及該公司對主動網路安全的持續承諾。