Microsoft ужесточает безопасность Azure с помощью «детализированных» разрешений
15 ноября 2022 г.Все REST API Azure DevOps теперь получают детализированные токены личного доступа (PAT). Цель этого изменения, которое с ликованием было встречено сообществом кибербезопасности, состоит в том, чтобы свести к минимуму потенциальный ущерб от утечки учетных данных PAT.
Объявление новостей через Azure DevOps в блоге, менеджер продукта Барри Вольфсон сказал, что до внесения изменений существовал "значительный риск для безопасности организаций, учитывая потенциальный доступ к исходному коду , производственная инфраструктура и другие ценные активы».
«Ранее ряд API-интерфейсов REST Azure DevOps не были связаны с областью PAT, что иногда заставляло клиентов использовать эти API с использованием полномасштабных PAT. " Широкий спектр разрешений, связанных с ними, вызывал беспокойство.
Триггер Преторианца
Хотя Вольфсон не упомянул подробности, другие предположили, что изменение, похоже, произошло после того, как исследователи Praetorian использовали PAT REST API для доступа к корпоративным сетям других компаний.
Одним из них был Microsoft- принадлежащий сайту GitHub, который был скомпрометирован из-за утечки PAT. В настоящее время компания тестирует использование мелкозернистых PAT в своей общедоступной бета-версии, чтобы решить эту проблему.
Теперь Вольфсон предлагает командам DevOps внести изменения как можно раньше, а не позже. «Если в настоящее время вы используете полнофункциональную PAT для аутентификации в одном из REST API Azure DevOps, рассмотрите возможность перехода на PAT с определенной областью действия, принимаемой API, чтобы избежать ненужного доступа», — сказал он.
Поддерживаемые детализированные области PAT для данного REST API можно найти в разделе "Безопасность — области" на страницах документации REST API, добавил он.
Кроме того, изменения должны позволить клиентам ограничить создание полномасштабных PAT с помощью политики уровня управления.
«Мы с нетерпением ждем продолжения выпуска улучшений, которые помогут клиентам защитить свои среды DevOps», — заключил Вольфсон.
- Познакомьтесь с самыми популярными менеджерами паролей ул>
Через: Реестр
Оригинал