Microsoft förbättrar Azure-säkerheten med "granulära" behörigheter

Microsoft förbättrar Azure-säkerheten med "granulära" behörigheter

Alla Azure DevOps REST API:er får nu granulära personliga åtkomsttokens (PAT). Målet med denna förändring, som mottogs väl av cybersäkerhetsgemenskapen, är att minimera den potentiella skadan av en PAT-referensläcka.

Produktchef Barry Wolfson tillkännagav nyheten via ett Azure DevOps-blogginlägg och sa att före förändringen fanns det "en betydande säkerhetsrisk för organisationer med möjligheten att få tillgång till källkod, produktionsinfrastruktur och andra värdefulla tillgångar.

"Tidigare var flera Azure DevOps REST API:er inte associerade med ett PAT-omfång, vilket ibland ledde till att kunder konsumerade dessa API:er med PAT:er med full scope. Det stora utbudet av tillstånd som var förknippat med dessa gav anledning till oro.

praetoriansk trigger

Medan Wolfson inte nämnde detaljer, har andra spekulerat i att förändringen verkar ha skett efter att Praetorian-forskare använde PAT:s REST API:er för att komma åt andra företags företagsnätverk.

En av dem var den Microsoft-ägda GitHub-webbplatsen som äventyrades tack vare en PAT-läcka. Företaget testar för närvarande användningen av finkornig PAT i sin offentliga beta för att åtgärda problemet.

Nu föreslår Wolfson att DevOps-team gör bytet så snart som möjligt. "Om du för närvarande använder en full-scope PAT för att autentisera till någon av Azure DevOps REST API:erna, överväg att migrera till en PAT med det specifika omfånget som accepteras av API:et för att undvika onödig åtkomst", säger han.

De granulära PAT-omfattningarna som stöds för ett givet REST API kan hittas i avsnittet Säkerhet - Omfattningar på dokumentationssidorna för REST API, tillade han.

Dessutom bör ändringarna tillåta kunder att begränsa skapandet av PAT:er i full omfattning, via en kontrollplanspolicy.

"Vi ser fram emot att fortsätta leverera förbättringar som hjälper kunder att säkra sina DevOps-miljöer", avslutade Wolfson.

Via: registret (öppnas i en ny flik)