云端服务安全更新的深度解析

本文详细解析了微软在云端服务中如何识别、缓解和部署安全更新,包括内部与外部协作机制、CVE分配策略以及客户通知原则,帮助读者全面了解云端安全更新的运作流程与优势。

云端服务安全更新的深度解析

本博客是《Anatomy of a Cloud-Service Security Update》的摘要翻译版。最新信息请参考原文。

全球微软安全团队致力于尽快识别和缓解安全问题,同时最小化客户的混乱。传统安全更新的挑战之一是让客户能够快速应用保护。关于这些更新中包含的工作,我们最近在“安全更新的解剖”中进行了说明。云端服务相比传统方式具有优势:处理云端漏洞时,所有用户会一次性应用修复,通常不需要客户采取任何行动。本博客重点介绍如何识别、缓解、记录和通知影响云端服务的安全漏洞的更新。

云端漏洞的识别

微软在云端识别和缓解安全风险的方法包括两个关键方面:内部关注和外部协作。

  • 内部关注:超过8,500名全球微软安全专家全天候致力于监控、强化、修补和保护Azure及整个云平台。微软并非与威胁行为者的尝试无关,近年来网络攻击变得更加复杂和广泛。为应对这一威胁,微软网络防御运营中心(CDOC)汇集内部安全专家进行实时协作,在问题影响客户之前检测和缓解问题。红队和蓝队持续测试微软的防御,寻找弱点,并提供洞察和产品改进。如果检测到对客户的影响,我们会尽快通知客户,帮助保护他们的环境。

  • 外部协作:我们最大的优势之一是与全球独立研究人员和安全行业合作伙伴的多样化团体合作。微软漏洞赏金计划通过奖励激励研究人员发现并秘密报告高影响安全漏洞,以持续增强安全性和改善客户体验。去年,微软向安全社区授予了超过1,300万美元,支持他们的活动。

我们还鼓励研究人员在问题完全解决且客户受到保护后,对其发现的信息保持透明。这样做是为了让所有研究人员使用已识别的方法作为基线进一步检测漏洞,并增强系统安全性。这种方法也展示了安全合作伙伴关系的优势:在客户受到影响之前识别问题,并分享历程以便安全社区学习和共同进步。

漏洞的缓解

在云端,我们实时工作。微软的云服务持续更新以强化对抗攻击,这些缓解措施不遵循周二的更新周期。它们可能是微小更改,也可能解决整个潜在问题类别,修复可能影响潜在场景范围的根本问题。

在云端,更新准备就绪并测试后,会立即发布到服务。通常不需要客户操作。

安全事件响应

发现安全漏洞后,微软的响应包括几个阶段:

  • 检测:问题由内部安全专家或外部合作伙伴报告,全天候安全团队相应响应并开始评估。
  • 缓解:问题评估后,团队全天候识别和测试缓解措施。这包括变体分析和根本原因调查,尽可能消除整个问题类别而非单个漏洞。我们还彻底测试修复以确保兼容性和数据完整性。
  • 部署:缓解措施准备就绪并测试后,实时部署到云服务。这不限于周二的更新时间窗口,而是根据需要定期更新。

解决问题后,微软团队进行事后审查以识别问题并改进流程。我们欢迎客户和合作伙伴的反馈,并在事后审查中审查这些信息以持续改进。

我们对常见漏洞和暴露(CVE)的方法

CVE程序由一套可以随网络安全格局重大变化而调整的规则指导。2019年,规则进行了更改以应对基于云的漏洞。具体来说,添加了规则7.4.4,允许在“解决漏洞需要客户或同行操作时”为云漏洞分配CVE。自该规则生效以来,微软在需要客户或生态系统采取行动以保护他们时,为基于云的漏洞分配CVE。

当微软发布CVE时,大多数情况下客户需要执行操作。如果需要客户操作,微软理解每个客户有自己的流程和时间窗口应用更新。然而,我们建议尽快应用所有更新。

针对客户的定向沟通

对于安全或隐私事件,微软通过建立的通信渠道尽可能向适当的用户提供必要信息。通知针对受影响的特定资源,向客户提供有关事件所需操作或认知的信息。我们客户通知的主要原则包括:

  • 客户信任:通过彻底定向通知、客户关注和持续改进体验来实现。
  • 透明性:通知可能受影响的客户应执行的确切步骤。为保护客户和平台的安全与隐私,通知尽可能定向。
  • 机密信息和隐私保护:控制信息传播,确保敏感细节不广泛传播,并在漏洞更广泛认知之前给客户时间采取行动。

云端的优势

安全团队全天候识别问题、实时部署更新以及等待警报检测新威胁的组合,只是客户使用云端服务优势的一小部分。

我们建议客户遵循保护环境的最佳实践(微软安全最佳实践)。

Aanchal Gupta
企业副总裁 | 微软安全响应中心

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次