Azure容器实例服务漏洞协同披露
微软近期修复了由安全研究人员报告的Azure容器实例(ACI)中的一个漏洞,该漏洞可能允许用户访问ACI服务中其他客户的信息。我们的调查未发现任何未经授权访问客户数据的情况。出于充分谨慎,我们通过Azure门户中的服务运行状况通知,通知了与研究人员在同一集群上运行容器的客户。如果您未收到通知,则无需针对此漏洞采取任何行动。
任何稳健的安全态势的一部分是与研究人员合作帮助发现漏洞,以便我们能够在漏洞被滥用之前修复任何发现。我们要感谢Palo Alto Networks报告此漏洞,并与Microsoft安全响应中心(MSRC)在协同漏洞披露(CVD)下合作,帮助保护Microsoft客户的安全。
哪些Azure容器实例账户可能受到影响?
没有迹象表明任何客户数据因该漏洞而被访问。出于充分谨慎,我们向可能受研究人员活动影响的客户发送了通知,建议他们撤销在2021年8月31日之前部署到平台的所有特权凭据。
如果您未收到服务运行状况通知,则无需采取任何行动。该漏洞已修复,我们的调查未发现其他集群中存在未经授权的访问。如果您不确定您的订阅或组织是否收到通知,请联系Azure支持。如果您有任何疑虑,轮换特权凭据是一种良好的定期安全实践,也是一种有效的预防措施。
如何保护ACI
没有迹象表明任何客户数据因该问题而被访问,我们鼓励客户使用以下最佳安全实践:
-
作为预防措施,如果您收到通知,我们建议撤销在2021年8月31日之前部署到平台的所有特权凭据。指定容器组配置和机密的常见位置包括:
- 环境变量
- 密钥卷
- Azure文件共享
-
参考这些安全最佳实践资源:
- Azure容器实例安全基线
- Azure容器实例安全注意事项
-
作为标准安全实践的一部分,您应频繁撤销特权凭据。
-
通过配置Azure服务运行状况警报,及时了解此类重要的安全相关通知。
如果您有任何问题,请联系Azure支持。