微软安全路线图：加强Azure DevOps云服务的安全性

微软宣布将加强旗下Azure DevOps云服务的安全性。Azure DevOps云服务是开发人员用于构建应用程序和管理他们的软件项目的平台。

云巨头微软本周为Azure DevOps制定了路线图，其中一部分是增强Azure DevOps的安全措施。路线图还包括增加Azure Boards（用于跟踪整个开发生命周期中的各种想法）及Azure Pipelines（用于自动构建和测试代码）的功能。

微软在推出路线图的同时亦在强化旗下基于云身份服务和访问服务的Entra套件。微软不但将名字从Azure AD改成Entra ID（此举并没有被所有用户完全接受），而且还通过旗下快速增长的安全服务边缘（SSE）领域的首批产品强化Entra套件。

总部设在美国Redmond的微软的重点放在GitHub代码库上。GitHub代码库与其他代码库（例如NPM和Python包索引 PyPI）一样已成了不法分子针对供应链的攻击目标，这些攻击的目的是令开发人员在无意中将一些恶意代码植入其应用程序中。

Azure DevOps GitHub高级安全（英文缩写为GHAS）是一套开发人员可以用于保护Azure Repos仓库和管道的工具。其中包括检测Azure Repos中已有的凭证等私密信息的扫描以及一些防止开发人员不小心推送新秘密和依赖扫描的方法，这些工具便于开发人员发现已知的易受攻击的开源软件包并修复任何的问题。

GHAS现在是预览版，已整合到Azure DevOps。GHAS还包括代码扫描，代码扫描利用GitHub的CodeQL语义分析引擎识别源代码中应用程序安全漏洞。

菜单栏身份验证

身份和认证至少在今年余下的时间里也将在微软的工作中占据重要位置。身份验证现在成了网络攻击者的重点，微软多年来一直在推动身份验证工具的改进，例如ModernAuth和passkeys的工具。

Azure DevOps中的一个重大风险是凭证被盗。

微软在博客里表示，“Azure DevOps支持多种不同的身份验证机制，包括基本身份验证、个人访问令牌（PAT）、SSH和Azure Active Directory访问令牌等机制。从安全的角度来看，这些机制并不完全相同，尤其是在涉及到凭证可能被盗的时候。”

犯罪分子可以利用PAT等泄露的凭证进入使用Azure DevOps的组织并访问源代码及发起供应链攻击或破坏基础设施。

微软还将发布用于Azure部署的工作负载身份联合认证，首先在第三季度发布该联合认证的公开预览版，然后在年底前普遍发布。开发人员对于在 Azure DevOps 中存储密码或证书等机密信息持谨慎态度，因为这些机密信息在Azure DevOps中的服务连接更新时很容易被窃取。

通过联合认证提供保护

Azure将使用Open ID Connect协议支持工作负载身份联合认证，并在Azure管道中创建不访问机密信息的服务连接，这些连接则由Azure AD中具有联合凭证的托管身份提供支持。

微软称，“管道执行的一部分可以用AAD令牌交换自己的内部令牌，从而获得对Azure资源的访问权限。该机制实施后，产品中将推荐使用这一类的连接，而不是目前存在的其他类型的Azure服务连接。”

微软还将支持粒度范围授权机制，目的是限制Azure AD OAuth应用程序的操作，例如连接到 Azure DevOps 查看源代码或配置管道。

微软还将在2023年底前允许应用程序在通过REST API和客户端库与Azure DevOps整合时使用托管身份和服务委托。目前，大多数应用程序都是通过PAT进行整合。

微软表示，“该项备受欢迎的功能为Azure DevOps客户提供了比PAT更安全的替代方案。托管身份为在Azure资源上运行的应用程序提供了获取Azure AD令牌的能力，因而根本不需要管理任何凭证。”

微软挺进安全服务边缘（SSE）

上述的这些都发生在微软Entra套件更名的同一周。首先，上面说过的名字从Azure AD改成Entra。另一个重要改变是推出了Entra Internet Access和Entra Private Access的公开预览版，这是微软的第一个SSE产品。

安全接入服务边缘（SASE）是几年前提出的，其时业界企业面临无线管理安全和身份等问题，因此希望供应商可以将软件定义广域网和网络安全功能（如零信任、防火墙即服务（FWaaS）和云接入安全代理（CASB））等功能融合到云服务中。

SSE是在疫情大流行期间出现的，SSE基本上放弃了软件定义广域网功能，而是将CASB、零信任和安全Web网关（SWG）统一为一项服务。微软进入这一领域较晚，思科、Zscaler和Palo Alto Networks等厂商起步早了一两年。

微软宣布SSE举措后后Cloudflare、Palo Alto和Zscaler的股价应声下跌。