Microsoft Azure - підхід до безпеки від хмарних уразливостей орієнтований на глибокий захист

Цифровий світ змінюється з появою наполегливіших, витончених і цілеспрямованих кіберзлочинців. У міру збільшення ризиків та посилення загроз довіра стає важливішою, ніж будь-коли. Клієнти повинні бути в змозі довіряти технологічним платформам, у які вони інвестують засоби для створення та управління своїми організаціями. Як один з найбільших постачальників хмарних послуг, Microsoft завойовує довіру, допомагаючи клієнтам забезпечити безпеку з самого початку і домагаючись більшого завдяки безпеці наших хмарних платформ, які є вбудованими, вбудованими і готовими до використання.

У Microsoft Azure підхід до безпеки орієнтований на глибокий захист із рівнями захисту, що створюються на всіх етапах проектування, розробки та розгортання наших платформ та технологій. Microsoft також приділяє особливу увагу прозорості, щоб клієнти знали, як Microsoft постійно працює над вивченням та покращенням пропозицій, щоб допомогти пом'якшити сьогоднішні кіберзагрози та підготуватися до кіберзагроз завтрашнього дня.

Минуле, сьогодення та майбутнє наших зобов'язань у галузі безпеки 

Протягом десятиліть Microsoft приділяла і продовжує приділяти велику увагу безпеці клієнтів та покращенню безпеки наших платформ. Це зобов'язання проявляється в нашій довгій історії передових методів безпеки, починаючи з наших локальних та програмних днів і закінчуючи сьогоднішніми хмарними середовищами. Яскравим прикладом цього є те, що в 2004 році ми першими розробили життєвий цикл розробки безпеки (SDL) — структуру, що дозволяє вбудувати безпеку додатків та служб з нуля, вплив якої був далекосяжним. В даний час SDL використовується як основа для вбудованої безпеки в ключових ініціативах, включаючи міжнародні стандарти безпеки додатків (ISO/IEC 27034-1) та Виконавчий указ Білого дому про кібербезпеку 1 .

Однак, як відомо лідерам та спеціалістам з безпеки, робота служби безпеки ніколи не закінчується. Постійна пильність життєво важлива. Ось чому Microsoft зараз вкладає значні кошти у внутрішні дослідження в галузі безпеки, а також в комплексну програму винагороди за виявлення помилок. Усередині Microsoft працює понад 8500 експертів з безпеки, які постійно займаються виявленням уразливостей, аналізом тенденцій атак та усунення проблем безпеки. Наші дослідження в галузі безпеки світового рівня та аналітика загроз допомагають захистити клієнтів, Microsoft, програмне забезпечення з відкритим вихідним кодом та наших галузевих партнерів.

Microsoft також інвестує в одну з найактивніших програм Bug Bounty у галузі. Тільки 2021 року Microsoft виділила 13,7 мільйона доларів у вигляді винагороди за виявлення помилок у широкому спектрі технологій. тенденцією, що намітилася за останній рік стало зростання кількості вразливостей, про які повідомлялося ззовні, що зачіпають декількох хмарних провайдерів, включаючи Azure. Хоча вразливість не є чимось незвичайним у галузі, Microsoft як провідний постачальник хмарних послуг та постачальник рішень безпеки номер один представляє більший інтерес як для дослідників, так і для конкурентів у галузі безпеки. Ось чому наша публічна програма заохочень першою включала хмарні сервіси, починаючи з 2014 р., а в 2021 р. ми ще більше розширили програму, включивши до неї вищі винагороди за звіти про помилки між орендарями. Як і очікувалося, це явно привернув ще більший інтерес зовнішніх дослідників безпеки до Azure, що призвело до присудження кількох винагород за виявлення помилок між орендарями. Незалежно від причин, ці висновки допомогли ще більше захистити певні служби Azure та наших клієнтів.

Нарешті, ми твердо віримо, що безпека – це командний вид спорту, і наша увага до співпраці підтверджується нашим внеском у екосистему безпеки, таким як наша участь у NIST Secure Software Development Framework (SSDF) 2 та покращення стану безпеки Open Source Software (OSS) завдяки нашим інвестиціям у розмірі 5 мільйонів доларів США у проект OpenSSF Alpha-Omega 3 .

Наша прихильність до безпеки непохитна, про що свідчить наше багаторічне лідерство в SDL з виявлення вразливостей, програм заохочення за виявлення помилок, вкладів у спільну роботу і продовжується в майбутньому завдяки нашому зобов'язанню інвестувати понад 20 мільярдів доларів протягом п'яти років 4 в кібербезпеку. Хоча вбудована безпека з самого початку не є чимось новим для Microsoft, ми розуміємо, що ландшафт безпеки постійно змінюється та розвивається, а разом із ним і наші знання.

У Microsoft основною частиною нашої культури є установка зростання. Висновки внутрішніх та зовнішніх дослідників безпеки мають вирішальне значення для нашої здатності забезпечити додаткову безпеку всіх наших платформ та продуктів. Для кожного звіту про вразливість в Azure ми проводимо поглиблений аналіз першопричини та перевірку після інциденту, незалежно від того, чи були вони виявлені всередині або ззовні. Ці перевірки допомагають нам відображати та застосовувати викладені уроки на всіх рівнях організації та мають першорядне значення для забезпечення постійного розвитку та безпеки в Microsoft.

На основі висновків, які ми отримали з останніх звітів про вразливості Azure, ми вдосконалюємося за трьома ключовими параметрами. Ці розробки покращують наш процес реагування, розширюють наші внутрішні дослідження в галузі безпеки та постійно покращують те, як ми захищаємо мультиорендні сервіси.

1. Комплексна відповідь

Декілька уроків минулого року зосередили нашу увагу на галузях, які, на нашу думку, потребують поліпшення, таких як прискорення термінів реагування. Ми вирішуємо цю проблему в рамках наших комплексних процесів реагування та об'єднуємо внутрішні та зовнішні механізми реагування. Ми почали зі збільшення частоти та обсягу наших перевірок безпеки LiveSite на рівні керівників та нижче. Ми також покращуємо інтеграцію нашого зовнішнього управління справами безпеки та наших внутрішніх систем зв'язку та управління інцидентами. Ці зміни скорочують середній час взаємодії та усунення виявлених уразливостей, ще більше покращуючи нашу оперативну реакцію. 

2. Полювання за хмарними варіантами

У відповідь на тенденції хмарної безпеки ми розширили нашу програму пошуку варіантів, включивши до неї глобальну та спеціальну функцію пошуку варіантів у хмарі. Пошук варіантів виявляє додаткові та схожі вразливості у порушеній службі, а також виявляє аналогічні вразливості в інших службах, щоб забезпечити більш ретельне виявлення та виправлення. Це також призводить до більш глибокого розуміння шаблонів уразливостей і згодом призводить до комплексних заходів щодо зниження ризику та виправлень. Нижче наведено деякі основні моменти нашої роботи з пошуку хмарних варіантів:

• У службі автоматизації Azure ми визначили варіанти та виправили понад два десятки унікальних проблем.
• У Фабриці даних Azure/Synapse ми виявили значні покращення дизайну, які ще більше ускладнюють варіанти служби та адреси. Ми також працювали з нашим постачальником та іншими постачальниками хмарних послуг, щоб забезпечити ширший розгляд ризиків.
• В Azure Open Management Infrastructure ми виявили кілька варіантів, наші дослідники опублікували CVE-2022-29149 і ми створили можливості автоматичного оновлення розширень, щоб скоротити час виправлення для клієнтів. Наша функція автоматичного оновлення розширення вже використовується клієнтами Azure Log Analytics, Azure Diagnostics та Azure Desired State Configuration.

Крім того, Cloud Variant Hunting завчасно виявляє та усуває потенційні проблеми у всіх наших службах. Сюди входять багато відомих, а також нових класів уразливостей, і в найближчі місяці ми поділимося більш детальною інформацією про наше дослідження, щоб принести користь нашим клієнтам та спільноті загалом.

3. Безпечна мультиарендність

На основі інформації, отриманої з усіх наших джерел інформації про безпеку, ми продовжуємо розвивати наші вимоги до безпечного розрахованого на багато користувачів середовища, а також автоматизацію, яку ми використовуємо в Microsoft для раннього виявлення та усунення потенційних загроз безпеці. Коли ми аналізували Azure та інші випадки безпеки у хмарі за останні кілька років, наші внутрішні та зовнішні дослідники безпеки знайшли унікальні способи подолання деяких бар'єрів ізоляції. Корпорація Майкрософт вкладає значні кошти в запобіжні заходи безпеки, щоб запобігти цьому, тому ці нові результати допомогли визначити найбільш поширені причини і гарантувати, що ми взяли на себе зобов'язання усувати їх в Azure за допомогою невеликої кількості високоефективних змін.

Ми також подвоюємо наш підхід до глибокого захисту, вимагаючи та застосовуючи ще більш суворі стандарти для ізоляції обчислень, мережі та облікових даних у всіх службах Azure, особливо при використанні сторонніх компонентів або компонентів OSS. Ми продовжуємо співпрацювати з спільнотою OSS, таким як PostgreSQL, а також з іншими хмарними провайдерами, над функціями, які дуже бажані в розрахованих на багато користувачів хмарних середовищах. 

Ця робота вже призвела до десятків окремих висновків та виправлень, більшість з яких (86 відсотків) пов'язані з нашими конкретними покращеннями у обчислювальних ресурсах, мережі чи ізоляції облікових даних. Серед наших покращень автоматизації ми розширюємо внутрішні динамічні тести безпеки додатків (DAST), щоб увімкнути більше перевірок для перевірки ізоляції обчислень та мережі, а також додати нові можливості перевірки ізоляції облікових даних під час виконання. Паралельно з цим наші експерти з безпеки продовжують ретельно вивчати наші хмарні служби, перевіряють їхню відповідність нашим стандартам та впроваджують нові автоматизовані елементи управління на благо наших клієнтів та корпорації Майкрософт.

Виходячи з моделі загальної відповідальності хмарної безпеки, ми рекомендуємо нашим клієнтам використовувати еталонний тест безпеки хмарних обчислень Майкрософт, щоб підвищити рівень безпеки хмарних обчислень. Ми розробляємо набір нових рекомендацій, присвячених передовим методам безпеки з кількома орендарями, і опублікуємо їх у наступному випуску.

Коротше кажучи, незважаючи на те, що Microsoft має давню і постійну прихильність до безпеки, ми постійно ростемо і розвиваємо наші знання, оскільки ландшафт безпеки також розвивається і змінюється. У дусі постійного навчання корпорація Майкрософт вирішує недавні проблеми з безпекою в хмарі Azure, удосконалюючи стандарти безпеки з кількома орендарями, розширюючи наші можливості пошуку хмарних варіантів і розробляючи інтегровані механізми реагування. Наші вдосконалення та масштаби наших зусиль щодо забезпечення безпеки ще раз демонструють наше лідерство та багаторічну відданість постійному вдосконаленню наших програм безпеки та підвищенню планки безпеки у масштабах усієї галузі. Ми, як і раніше, прагнемо інтегрувати безпеку на кожному етапі проектування, розробки та експлуатації,

Інші новини