Microsoft ужесточает безопасность Azure с помощью «детализированных» разрешений

Microsoft ужесточает безопасность Azure с помощью «детализированных» разрешений

15 ноября 2022 г.

Все REST API Azure DevOps теперь получают детализированные токены личного доступа (PAT). Цель этого изменения, которое с ликованием было встречено сообществом кибербезопасности, состоит в том, чтобы свести к минимуму потенциальный ущерб от утечки учетных данных PAT.

Объявление новостей через Azure DevOps в блоге, менеджер продукта Барри Вольфсон сказал, что до внесения изменений существовал "значительный риск для безопасности организаций, учитывая потенциальный доступ к исходному коду , производственная инфраструктура и другие ценные активы».

«Ранее ряд API-интерфейсов REST Azure DevOps не были связаны с областью PAT, что иногда заставляло клиентов использовать эти API с использованием полномасштабных PAT. " Широкий спектр разрешений, связанных с ними, вызывал беспокойство.

Триггер Преторианца

Хотя Вольфсон не упомянул подробности, другие предположили, что изменение, похоже, произошло после того, как исследователи Praetorian использовали PAT REST API для доступа к корпоративным сетям других компаний.

Одним из них был Microsoft- принадлежащий сайту GitHub, который был скомпрометирован из-за утечки PAT. В настоящее время компания тестирует использование мелкозернистых PAT в своей общедоступной бета-версии, чтобы решить эту проблему.

Теперь Вольфсон предлагает командам DevOps внести изменения как можно раньше, а не позже. «Если в настоящее время вы используете полнофункциональную PAT для аутентификации в одном из REST API Azure DevOps, рассмотрите возможность перехода на PAT с определенной областью действия, принимаемой API, чтобы избежать ненужного доступа», — сказал он.

Поддерживаемые детализированные области PAT для данного REST API можно найти в разделе "Безопасность — области" на страницах документации REST API, добавил он.

Кроме того, изменения должны позволить клиентам ограничить создание полномасштабных PAT с помощью политики уровня управления.

«Мы с нетерпением ждем продолжения выпуска улучшений, которые помогут клиентам защитить свои среды DevOps», — заключил Вольфсон.

PREVIOUS ARTICLE
NEXT ARTICLE