Пояснения в защиту нашего нового подхода к фронтингу домена в Azure
modern security, защита ит-инфраструктуры, информационная безопасность
Каждый день наши команды анализируют триллионы сигналов, за которыми мы наблюдаем для лучшего понимания векторов атак и дальнейшего применения полученных знаний в разработке наших продуктов и решений. Формирование такого понимания ландшафта угроз – ключ к обеспечению повседневной безопасности наших пользователей. Однако в сегодняшнем сложном мире современным разработчикам решений в сфере безопасности иногда требуется более глубокое мышление и обдумывание того, как можно устранить возникающие проблемы. Особенно это важно в обстоятельствах, когда ответ не ясен сразу.
Наш подход к фронтингу домена в Azure – это прекрасный пример того, как в условиях изменчивой динамики нашего мира мы пересматриваем важную и сложную проблему и вносим соответствующие изменения.
Начнем с некоторой предыстории. Фронтинг домена – это сетевой метод, который позволяет внутреннему домену использовать учетные данные безопасности прикрывающего (внешнего) домена. Например, если у вас есть два домена в одной и той же сети доставки контента (CDN), для домена №1 могут действовать определенные ограничения (региональные ограничения доступа и т. д.), которые не распространяются на домен №2. Взяв действительный домен № 2 и поместив его в заголовок SNI, а затем используя домен № 1 в заголовке HTTP, можно обойти эти ограничения. Наблюдателю извне кажется, что весь последующий трафик направляется в прикрывающий домен без возможности определить предполагаемое место назначения для конкретных пользовательских запросов в этом трафике. Допускается, что прикрывающий и внутренний домены принадлежат разным владельцам.
Поскольку компания стремится предоставлять технологию на постоянной основе, важным фактором при взвешивании потенциальных воздействий такого метода, как фронтинг домена является поддержка определенных сценариев использования, которые предусматривают свободное и открытое общение. Однако мы знаем, что домен-фронтингом также злоупотребляют злоумышленники и исполнители кибератак, участвующие в незаконных действиях. Мы выяснили, что в некоторых случаях злоумышленники специально настраивают для этого свои службы Azure.
Когда речь заходит о подобных ситуациях, Microsoft, как компания, занимающаяся безопасностью, старается упростить задачу для наших пользователей, когда они сталкиваются с повышенной сложностью. Наша миссия – обеспечить спокойствие наших клиентов и помочь им быстро адаптироваться к быстро меняющимся угрозам. Поэтому мы вносим изменения в нашу политику, чтобы гарантировать, что в Azure фронтинг домена будет остановлен и запрещен.
Подобные изменения вносятся нелегко, и мы понимаем, что они повлияют на ряд областей:
- Наши инженерные группы уже работают над тем, чтобы платформа не позволяла никому практиковать технику домен-фронтинга в Azure, а также продолжаем обеспечивать высочайший уровень защиты наших продуктов и услуг от угроз, связанных с прикрыванием домена.
- Мы продолжаем предоставлять четкие инструкции по тестированию на проникновение в наших ресурсах Azure и тесно сотрудничаем с исследователями в сфере обеспечения безопасности по всему миру, поверяя, что у них есть четкое представление об этих изменениях.
Такие перемены – еще одно подтверждение того, как сильно безопасность влияет на наш постоянно изменчивый мир. Мы продолжим ставить безопасность наших клиентов и их пользователей на первое место, что бы мы ни делали. Я хотел бы поблагодарить моих коллег Ника Карра и Кристофера Глайера за их постоянные исследования домен-фронтинга, которые помогли нам внести изменения в политику в Azure.