私たちのチームは毎日、何兆もの信号を分析して攻撃ベクトルを理解し、それらの学習を製品やソリューションに適用しています。脅威の状況を理解することは、お客様の安全を日々確保するための鍵となります。ただし、複雑な世界でセキュリティ プロバイダーになるには、新たな問題に対処する方法について、より深く考え、熟考する必要がある場合があります。特に、答えがすぐに明らかになるとは限らない場合はなおさらです。 Azure 内のドメイン フロンティングに対するマイクロソフトのアプローチは、絶え間なく変化する世界のダイナミクスによって、重要で複雑な問題を再検討し、最終的に変更を加えるよう促したことを示す好例です。
いくつかの背景から始めましょう。ドメイン フロンティングは、バックエンド ドメインがフロント ドメインのセキュリティ資格情報を利用できるようにするネットワーク技術です。たとえば、同じコンテンツ配信ネットワーク (CDN) の下に 2 つのドメインがある場合、ドメイン #1 には、ドメイン #2 には適用されない特定の制限 (地域アクセス制限など) が適用される場合があります。有効なドメイン #2 を取得して SNI ヘッダーに配置し、HTTP ヘッダーでドメイン #1 を使用することで、これらの制限を回避できます。外部の観察者には、後続のすべてのトラフィックがフロント ドメインに向かっているように見え、そのトラフィック内の特定のユーザー リクエストの意図された宛先を識別することができません。フロント ドメインとバックエンド ドメインが同じ所有者に属していない可能性があります。
良い技術を提供することを約束する企業として、ドメイン フロンティングのような技術の潜在的な影響を比較検討する際には、自由でオープンなコミュニケーションをサポートする特定のユース ケースをサポートすることが重要な考慮事項です。ただし、ドメイン フロンティングは、違法行為に関与する悪意のあるアクターや脅威アクターによって悪用されることもわかっており、場合によっては、悪意のあるアクターがこれを有効にするように Azure サービスを構成していることもわかっています。
このような状況になると、Microsoft は、セキュリティ企業として、顧客が複雑さの増大に直面したときに、よりシンプルなサービスを提供するという立場からリードしています。私たちの使命は、お客様に安心を提供し、急速に変化する脅威の状況に迅速に適応できるよう支援することです。そのため、ポリシーを変更して、Azure 内でドメイン フロンティングが停止および防止されるようにします。
このような変更は簡単に行われるものではなく、さまざまな分野に影響が及ぶことを理解しています。
- 当社のエンジニアリング チームは、プラットフォームが Azure でドメイン フロンティング技術を実践することをブロックするように既に取り組んでいます。また、当社の製品とサービスがドメイン フロンティング ベースの脅威に対して最高レベルの保護を提供できるように引き続き取り組んでいます。
- Microsoft は、Azure プロパティでの侵入テストに関する明確なガイダンスを引き続き提供し、世界中のセキュリティ研究者と緊密に協力して、これらの変更を明確に理解していることを確認しています。
これらの変化は、セキュリティが絶え間なく変化する世界に与える広範な影響のもう 1 つの例であり、私たちは今後もお客様とそのユーザーのセキュリティをすべての最前線に置き続けます。同僚の Nick Carr と Christopher Glyer には、Azure にこれらのポリシー変更を加えるのに役立った Domain Fronting に関する精力的な調査に感謝します。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments