微软大规模云安全整顿，清除数百万 Azure 休眠租户

作为其“安全未来计划”(SFI)的一部分，微软宣布了一系列全面的云安全升级，包括移除630万名不活跃的Azure租户，并彻底改革身份令牌的存储和管理方式。此次升级是对一次破坏性极强的国家攻击的直接回应，该攻击利用了微软身份基础设施的弱点，并引发了政府的严格审查。

基于硬件的密钥保护，防止未来漏洞利用

该计划的核心是对微软处理其 Microsoft 帐户 (MSA) 和 Entra ID 令牌签名密钥的方式进行结构性变革。这些密钥对于在 Microsoft 云服务中验证用户身份至关重要，现已被移至硬件安全模块 (HSM) 或具有自动密钥轮换功能的 Azure 机密虚拟机中。此举旨在防止 2021 年的漏洞重演，当时攻击者从一名被入侵工程师的公司帐户中发现的崩溃转储中获取了敏感的消费者签名密钥。

微软安全主管 Charlie Bell 表示，28 个 SFI 目标中，有 5 个已接近完成，另有 11 个目标取得了重大进展。微软报告称，迄今为止取得的成就包括：超过 90% 的内部生产力账户已采用防网络钓鱼多因素身份验证，90% 的第一方身份令牌现已使用新强化的软件开发工具包进行验证。MSA 签名服务已迁移至 Azure 机密虚拟机，Entra ID 服务也正在进行迁移。

清除非活动 Azure 租户以最小化攻击面

除了加强密钥管理实践外，微软还进行了大规模的云清理行动，清除了630万个闲置的Azure租户，以缩小其攻击面并增强生产系统的隔离。这些闲置或废弃的租户如果不加以管理，可能会带来安全风险，因此，清除这些租户是防止隐秘入侵的关键一步。

微软还将 88% 的活跃云资源迁移到 Azure 资源管理器，从而实现更一致、更可执行的安全策略。为了降低身份相关风险，微软还采取了另一项措施，对 440 万个托管身份进行了细分，使其仅从预先批准的网络位置进行身份验证。

回应批评并努力恢复信任

“安全未来倡议”于2023年11月启动，此前美国政府官员和网络安全界都对此提出了批评。微软不仅因其对中国高级持续性威胁 (APT) 组织数据泄露事件的处理方式而备受诟病，还因其在漏洞修补方面的拖延和不足（尤其是在云服务方面）。微软还因其对第三方漏洞研究和披露的处理方式而受到批评。

展望未来：这些变化足够吗？

本月发布的更新表明，微软正通过透明度和更强大的安全基础，重新赢得信任。通过修复架构缺陷、强化身份基础设施以及大规模改进云安全，该公司旨在降低遭受复杂攻击的风险，并提升其默认安全标准。

尽管微软仍面临挑战——包括日益增多的Windows零日漏洞以及对其补丁流程的持续批评——但当前的改革代表着向前迈出的重要一步。这些改革是否足以恢复人们对这家科技巨头云服务的信心，将取决于其长期有效性以及该公司对主动网络安全的持续承诺。