微軟宣布將加強旗下Azure DevOps雲服務的安全性。Azure DevOps雲服務是開發人員用於構建應用程序和管理他們的軟體項目的平台。
雲巨頭微軟本周為Azure DevOps制定了路線圖,其中一部分是增強Azure DevOps的安全措施。路線圖還包括增加Azure Boards(用於跟蹤整個開發生命周期中的各種想法)及Azure Pipelines(用於自動構建和測試代碼)的功能。
微軟在推出路線圖的同時亦在強化旗下基於雲身份服務和訪問服務的Entra套件。微軟不但將名字從Azure AD改成Entra ID(此舉並沒有被所有用戶完全接受),而且還通過旗下快速增長的安全服務邊緣(SSE)領域的首批產品強化Entra套件。
總部設在美國Redmond的微軟的重點放在GitHub代碼庫上。GitHub代碼庫與其他代碼庫(例如NPM和Python包索引 PyPI)一樣已成了不法分子針對供應鏈的攻擊目標,這些攻擊的目的是令開發人員在無意中將一些惡意代碼植入其應用程序中。
Azure DevOps GitHub高級安全(英文縮寫為GHAS)是一套開發人員可以用於保護Azure Repos倉庫和管道的工具。其中包括檢測Azure Repos中已有的憑證等私密資訊的掃描以及一些防止開發人員不小心推送新秘密和依賴掃描的方法,這些工具便於開發人員發現已知的易受攻擊的開源軟體包並修復任何的問題。
GHAS現在是預覽版,已整合到Azure DevOps。GHAS還包括代碼掃描,代碼掃描利用GitHub的CodeQL語義分析引擎識別源代碼中應用程序安全漏洞。
菜單欄身份驗證
身份和認證至少在今年餘下的時間裡也將在微軟的工作中占據重要位置。身份驗證現在成了網路攻擊者的重點,微軟多年來一直在推動身份驗證工具的改進,例如ModernAuth和passkeys的工具。
Azure DevOps中的一個重大風險是憑證被盜。
微軟在博客里表示,「Azure DevOps支持多種不同的身份驗證機制,包括基本身份驗證、個人訪問令牌(PAT)、SSH和Azure Active Directory訪問令牌等機制。從安全的角度來看,這些機制並不完全相同,尤其是在涉及到憑證可能被盜的時候。」
犯罪分子可以利用PAT等泄露的憑證進入使用Azure DevOps的組織並訪問源代碼及發起供應鏈攻擊或破壞基礎設施。
微軟還將發布用於Azure部署的工作負載身份聯合認證,首先在第三季度發布該聯合認證的公開預覽版,然後在年底前普遍發布。開發人員對於在 Azure DevOps 中存儲密碼或證書等機密資訊持謹慎態度,因為這些機密資訊在Azure DevOps中的服務連接更新時很容易被竊取。
通過聯合認證提供保護
Azure將使用Open ID Connect協議支持工作負載身份聯合認證,並在Azure管道中創建不訪問機密資訊的服務連接,這些連接則由Azure AD中具有聯合憑證的託管身份提供支持。
微軟稱,「管道執行的一部分可以用AAD令牌交換自己的內部令牌,從而獲得對Azure資源的訪問權限。該機制實施後,產品中將推薦使用這一類的連接,而不是目前存在的其他類型的Azure服務連接。」
微軟還將支持粒度範圍授權機制,目的是限制Azure AD OAuth應用程序的操作,例如連接到 Azure DevOps 查看源代碼或配置管道。
微軟還將在2023年底前允許應用程序在通過REST API和客戶端庫與Azure DevOps整合時使用託管身份和服務委託。目前,大多數應用程序都是通過PAT進行整合。
微軟表示,「該項備受歡迎的功能為Azure DevOps客戶提供了比PAT更安全的替代方案。託管身份為在Azure資源上運行的應用程序提供了獲取Azure AD令牌的能力,因而根本不需要管理任何憑證。」
微軟挺進安全服務邊緣(SSE)
上述的這些都發生在微軟Entra套件更名的同一周。首先,上面說過的名字從Azure AD改成Entra。另一個重要改變是推出了Entra Internet Access和Entra Private Access的公開預覽版,這是微軟的第一個SSE產品。
安全接入服務邊緣(SASE)是幾年前提出的,其時業界企業面臨無線管理安全和身份等問題,因此希望供應商可以將軟體定義廣域網和網路安全功能(如零信任、防火牆即服務(FWaaS)和雲接入安全代理(CASB))等功能融合到雲服務中。
SSE是在疫情大流行期間出現的,SSE基本上放棄了軟體定義廣域網功能,而是將CASB、零信任和安全Web網關(SWG)統一為一項服務。微軟進入這一領域較晚,思科、Zscaler和Palo Alto Networks等廠商起步早了一兩年。
微軟宣布SSE舉措後後Cloudflare、Palo Alto和Zscaler的股價應聲下跌。
