微软回应关于Azure服务标签的安全隐患报告

重点总结

微软否认Tenable报告中关于Azure服务标签的高危漏洞。服务标签应结合验证控制使用，不能单独保障安全。Tenable研究员指出该漏洞可能被用于侵犯Azure客户的数据。

微软最近对Tenable的一份报告作出回应，后者描述了Azure服务标签存在一种高危漏洞，可能被利用来进行Azure服务的欺骗和防火墙规则的绕过。微软强调，服务标签的设计初衷是作为路由机制，使用时应配合验证控制，以确保安全性。根据BleepingComputer的报道，微软表示：“服务标签并不是保障客户来源流量安全的全面方案，它不能替代输入验证过程，以防止与网络请求相关的漏洞。”

然而，Tenable研究员Liv Matan指出，这一问题还影响到Azure DevOps、Azure API管理、Azure机器学习及其他七个Azure服务，可能被威胁者利用来危害Azure客户的私人数据。“在配置Azure服务的网络规则时，要牢记服务标签并不能完全保障流量安全。通过确保维持强大的网络认证，用户可以为自己提供额外且至关重要的安全层。”Matan说道。

关键信息细节存在的漏洞Azure服务标签的高危漏洞影响服务Azure DevOps、Azure API管理、Azure机器学习等建议措施强化网络认证，结合验证控制使用服务标签

“服务标签并不是全面保护流量安全的手段，须结合其他安全措施。” 微软

一元机场clash

有关更多信息，请查看 Tenable的报告。