Как уязвимости аутентификации API находятся в центре проблем облачной безопасности

Aug 25, 2023

В последние месяцы облачные сервисы Microsoft оказались под пристальным вниманием, причем в центре внимания API. Вот несколько стратегий, которые помогут смягчить проблемы безопасности, которые могут возникнуть при использовании API.

Небо облачных вычислений в последнее время было несколько бурным для Microsoft, которая оказалась под прицелом не только злоумышленника, злоупотребившего аутентификацией, но и фирмы Tenable, которая указала, что у гиганта облачных услуг есть общая проблема с аутентификацией. Сообщение Microsoft и рецензия Tenable осветили проблему облачной аутентификации и осветили некоторые ее слабые стороны.

В сообщении Tenable Microsoft была подвергнута критике за отсутствие прозрачности в облачной безопасности. Как описал генеральный директор Tenable Амит Йоран, соответствующая проблема «возникла в результате недостаточного контроля доступа к узлам функций Azure, которые запускаются в рамках создания и эксплуатации пользовательских соединителей в платформе Microsoft Power Platform (Power Apps, Power Automation). "

Если вы угадали URL-адрес Azure, вы можете получить доступ даже без аутентификации. Как писал Йоран: «Поэтому злоумышленник, определивший имя хоста функции Azure, связанной с настраиваемым соединителем, мог взаимодействовать с функцией, определенной кодом настраиваемого соединителя, без аутентификации. Имея одно такое имя хоста, злоумышленник мог определить имена хостов для функций Azure, связанных с настраиваемыми соединителями других клиентов, поскольку они отличаются только целым числом».

Со своей стороны, Microsoft указала в технической записке, что она устранила уязвимость раскрытия информации пользовательского кода Power Platform и уведомила затронутых клиентов об этой проблеме через Центр администрирования Microsoft 365 (MC665159), начиная с августа 2023 года — если вы не получили уведомление, никаких действий не требуется.

В центре проблемы находятся интерфейсы прикладного программирования (API), которые предлагают услуги или соединение между другими частями программного обеспечения без необходимости входа в систему человека. При использовании API часто бывает сложно получить доступ к системе безопасности, пока что-нибудь не произойдет.

Организациям часто приходится нанимать специализированных консультантов для проверки программного обеспечения и отсутствия очевидных уязвимостей. От программного обеспечения с открытым исходным кодом до проприетарного программного обеспечения, если оно не проверено специалистами, одной лишь проверки поставщиком обычно недостаточно, чтобы выявить какие-либо проблемы.

В «Топ-10 безопасности API OWASP» перечислены типичные основные проблемы, на которые следует обращать внимание при работе с API. Начиная от нарушенной авторизации на уровне объекта и заканчивая небезопасным использованием API, он указывает на то, что слишком часто в отношении API мы просто слишком доверяем их использованию. Мы также склонны редко ограничивать использование API, поскольку предлагаем услугу, которая может использоваться широкой публикой. Если использование вами API-интерфейсов не будет использоваться широкой публикой, рассмотрите возможность использования дополнительных технологий, которые в настоящее время находятся в стадии бета-тестирования, которые могут обеспечить дополнительную защиту.

Однако некоторые из этих решений еще не получили широкого распространения и все еще находятся в общедоступной предварительной версии. В качестве примера можно привести решение Microsoft IP Firewall, которое в настоящее время находится в предварительной версии в средах Power Platform. Как отмечается в документации Microsoft, это помогает снизить уровень инсайдерских угроз, таких как утечка данных, в режиме реального времени. «Злонамеренному пользователю, который пытается загрузить данные из Dataverse с помощью клиентского инструмента, такого как Excel или Power BI, запрещается загрузка данных на основе IP-адреса».

IP-брандмауэр также помогает остановить атаки повтора токена из-за пределов настроенных диапазонов IP-адресов. «Если пользователь крадет токен и пытается использовать его для доступа к Dataverse из-за пределов настроенных диапазонов IP-адресов, Dataverse отказывает в доступе в режиме реального времени». IP Firewall работает как для интерактивных, так и для неинтерактивных сценариев, доступен для управляемых сред. и поддерживается для любой среды Power Platform, включающей Dataverse.

Часто при использовании API проблемы безопасности сводятся к основам:

Разрешения. Не упускайте из виду основы разрешений API и не позволяйте им быть слишком либеральными для облачных сервисов. Как и в случае с пользовательским доступом, основы разрешений часто могут привести к раскрытию информации или атакам. Ограничьте использование доступа до необходимого минимума.