微软近期修复了由Palo Alto Networks安全研究员报告的Azure容器实例(ACI)服务漏洞,该漏洞可能允许用户访问ACI服务中其他客户的信息。调查显示未发生客户数据未经授权访问的情况。出于谨慎考虑,我们已通过Azure门户的服务健康通知告知与研究员容器运行在同一集群的客户。若未收到通知则无需采取任何措施。
哪些Azure容器实例账户可能受影响?
目前没有迹象表明该漏洞导致任何客户数据被访问。作为预防措施,微软已向可能受研究员活动影响的客户发送通知,建议其撤销2021年8月31日前部署到平台的所有特权凭证。若未收到服务健康通知则无需操作,漏洞已修复且其他集群未发现未授权访问。如有疑问可联系Azure支持,定期轮换特权凭证是有效的预防措施。
如何保护ACI?
尽管无数据泄露证据,我们建议客户采用以下安全实践:
- 若收到通知,建议撤销2021年8月31日前部署的特权凭证。常见配置和密钥存储位置包括:
- 环境变量
- 密钥卷
- Azure文件共享
- 参考安全最佳实践文档:
- 定期撤销特权凭证
- 配置Azure服务健康警报获取安全通知
- 如有疑问请联系Azure支持