許多安全研究人員一致認(rèn)為，跨租戶漏洞是一種客戶需要注意的新型風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)不應(yīng)該發(fā)生在云中。

在過(guò)去的一年里，Azure發(fā)現(xiàn)了最多的安全漏洞，也是最嚴(yán)重的漏洞。有史以來(lái)最大的黑客攻擊事件之一發(fā)生在去年夏天，幾乎沒(méi)有人注意到。

2021年8月，黑客侵入了微軟Azure公有云平臺(tái)上廣泛使用的數(shù)據(jù)庫(kù)服務(wù)。他們聲稱(chēng)可以訪問(wèn)數(shù)千個(gè)客戶環(huán)境或租戶中的數(shù)據(jù)庫(kù)，其中包括一些財(cái)富500強(qiáng)公司的數(shù)據(jù)庫(kù)。這是可能的，因?yàn)樵朴?jì)算服務(wù)在共享基礎(chǔ)設(shè)施上運(yùn)行——事實(shí)證明，這可以發(fā)現(xiàn)一些云計(jì)算提供商認(rèn)為已經(jīng)解決的共享風(fēng)險(xiǎn)。

如果人們沒(méi)有聽(tīng)說(shuō)去年夏天的這起事件，那可能是因?yàn)槿肭治④汣osmos DB服務(wù)的黑客并不是網(wǎng)絡(luò)罪犯。他們是云安全初創(chuàng)廠商Wiz公司的研究人員。研究人員給該漏洞起了一個(gè)令人難忘的名字“ChaosDB”，并將其報(bào)告給了微軟。“跨租戶”問(wèn)題在任何實(shí)際攻擊者攻擊之前就已修復(fù)，其危機(jī)得以化解。

但這一驚人的發(fā)現(xiàn)讓W(xué)iz公司和其他幾家供應(yīng)商的研究人員很想知道這種新型跨租戶漏洞到底有多普遍。這導(dǎo)致一個(gè)月后在Azure服務(wù)中發(fā)現(xiàn)了另一個(gè)可怕的漏洞，然后又出現(xiàn)第三個(gè)漏洞。然后又發(fā)現(xiàn)另外三個(gè)漏洞——而在幾個(gè)月內(nèi)在Azure發(fā)現(xiàn)六個(gè)關(guān)鍵漏洞。

包括ChaosDB漏洞在內(nèi)，其中五個(gè)關(guān)鍵漏洞表明有可能破壞大量不同的云計(jì)算環(huán)境或租戶。Wiz公司研究主管Shir Tamari表示，像ChaosDB這樣的跨租戶漏洞是“在云服務(wù)提供商中可能發(fā)現(xiàn)的最嚴(yán)重的漏洞。”

Tamari指出，Wiz公司的研究團(tuán)隊(duì)并沒(méi)有尋找這種類(lèi)型的漏洞，只是偶然發(fā)現(xiàn)了ChaosDB。他說(shuō)，這一發(fā)現(xiàn)向研究人員揭示了這種問(wèn)題甚至在公有云中也有可能發(fā)生。

安全研究人員還將繼續(xù)發(fā)現(xiàn)AWS中的兩個(gè)關(guān)鍵漏洞。但研究人員表示，在過(guò)去一年中，大部分最嚴(yán)重的漏洞都是在Azure中發(fā)現(xiàn)的。對(duì)于一些安全研究人員和行業(yè)分析師來(lái)說(shuō)，這一系列問(wèn)題引發(fā)了對(duì)微軟公司保護(hù)其Azure服務(wù)的方法的質(zhì)疑。

獨(dú)立安全研究機(jī)構(gòu)Securosis公司首席執(zhí)行官兼長(zhǎng)期安全行業(yè)分析師Rich Mogull說(shuō)，“這很令人擔(dān)憂。這是一種模式。所以問(wèn)題是：我們是否相信這是因?yàn)樗麄兪艿搅烁鼑?yán)格的審查?還是他們有更多的問(wèn)題?可能兩者兼而有之。”

Orca公司首席技術(shù)官Yoav Alon表示，云安全服務(wù)商O(píng)rca Security公司的研究人員在Azure服務(wù)中發(fā)現(xiàn)了兩個(gè)跨租戶漏洞，這些問(wèn)題強(qiáng)烈表明Azure公司無(wú)法承受研究人員施加的與AWS和GoogleCloud相同程度的壓力。

Alon說(shuō)，“我認(rèn)為目前在云計(jì)算領(lǐng)域與其他供應(yīng)商相比，他們可能在安全性方面有些落后。”

微軟公司并沒(méi)有對(duì)行業(yè)媒體的報(bào)道發(fā)表評(píng)論。

該公司在一份聲明中表示，“安全性是Azure的基礎(chǔ)。客戶信任微軟公司跨物理數(shù)據(jù)中心、基礎(chǔ)設(shè)施和運(yùn)營(yíng)提供的多層安全性，網(wǎng)絡(luò)安全專(zhuān)家積極監(jiān)控以保護(hù)企業(yè)的數(shù)據(jù)。我們通過(guò)與研究人員的漏洞賞金不斷地在內(nèi)部和外部參與發(fā)現(xiàn)并修復(fù)安全問(wèn)題，我們積極分享更新和指導(dǎo)。”

其他研究人員和分析師表示，他們不認(rèn)為這些發(fā)現(xiàn)表明微軟公司在保護(hù)其Azure服務(wù)的方法上與AWS或谷歌云相比存在任何弱點(diǎn)。

獨(dú)立信息安全顧問(wèn)Kevin Beaver表示，事實(shí)上，云計(jì)算基礎(chǔ)設(shè)施非常復(fù)雜，這樣的安全問(wèn)題是不可避免的。Beaver 說(shuō)，“我不認(rèn)為這有什么可怕的。”

一種新的漏洞

然而，許多安全專(zhuān)家都認(rèn)為，這些問(wèn)題指向一種新型漏洞，客戶在很大程度上沒(méi)有考慮到他們對(duì)云計(jì)算風(fēng)險(xiǎn)的理解。畢竟，在發(fā)現(xiàn)這些風(fēng)險(xiǎn)之前，即使是安全研究人員也不認(rèn)為云平臺(tái)中的租戶隔離存在問(wèn)題。

漏洞賞金平臺(tái)Bugcrowd 公司創(chuàng)始人兼首席技術(shù)官Casey Ellis說(shuō)，“我認(rèn)為可以肯定的是，當(dāng)他們使用云計(jì)算提供商的云計(jì)算服務(wù)時(shí)，很多人會(huì)認(rèn)為這一切都已經(jīng)解決，如果發(fā)現(xiàn)不是，可能會(huì)有點(diǎn)驚訝。它確實(shí)違反了人們對(duì)云安全的基本假設(shè)。如果這個(gè)假設(shè)在起作用，那么可能需要重新解決這個(gè)假設(shè)。”

IDC公司安全與信任項(xiàng)目副總裁Frank Dickson表示，他認(rèn)為公有云提供商根本上來(lái)說(shuō)非常安全，遠(yuǎn)比內(nèi)部部署數(shù)據(jù)中心環(huán)境更安全。

Dickson說(shuō)，“這是否說(shuō)明了一類(lèi)新的漏洞?確實(shí)如此。”

與一兩年前相比，新冠疫情使企業(yè)加速向云計(jì)算的遷移，也使得更多的客戶現(xiàn)在嚴(yán)重依賴AWS、Azure和谷歌云。安全專(zhuān)家指出，這放大了被利用的跨租戶漏洞的潛在影響。

美國(guó)情報(bào)機(jī)構(gòu)前滲透測(cè)試人員、現(xiàn)為網(wǎng)絡(luò)安全服務(wù)商Deepwatch公司創(chuàng)始人兼副總裁Patrick Orzechowski說(shuō)，“很多人對(duì)AWS、微軟或谷歌十分信任，并認(rèn)為他們可以確保基礎(chǔ)設(shè)施中沒(méi)有重大漏洞。”

根據(jù)研究機(jī)構(gòu)Synergy Research集團(tuán)發(fā)布的調(diào)查報(bào)告，今年第一季度，全球云計(jì)算基礎(chǔ)設(shè)施服務(wù)支出飆升至近530億美元，同比增長(zhǎng)34%。Azure云平臺(tái)在本季度占據(jù)了22%的市場(chǎng)份額，落后于亞馬遜33%的市場(chǎng)份額，但仍遠(yuǎn)遠(yuǎn)領(lǐng)先于谷歌云10%的市場(chǎng)份額。

攻擊云平臺(tái)

2019年年中，針對(duì)CapitalOne公司的AWS云環(huán)境的網(wǎng)絡(luò)攻擊泄露了1.06億客戶的數(shù)據(jù)。這家美國(guó)最大的銀行之一的違規(guī)事件為云安全領(lǐng)域敲響了警鐘，顯示了當(dāng)網(wǎng)絡(luò)攻擊者以公有云為目標(biāo)時(shí)可能發(fā)生的情況。

但盡管情況很糟糕，這次違規(guī)只影響了一家公司。由于云計(jì)算的架構(gòu)，每家企業(yè)的數(shù)據(jù)都與其他公司保持隔離和不可見(jiàn)。破壞某個(gè)客戶環(huán)境的網(wǎng)絡(luò)攻擊者無(wú)法訪問(wèn)其余客戶的環(huán)境。

客戶通常很信任AWS、微軟或谷歌這些云計(jì)算供應(yīng)商。

或者至少認(rèn)為他們不應(yīng)該這樣做。自從去年8月以來(lái)發(fā)現(xiàn)的一系列公有云漏洞表明，可能會(huì)發(fā)生前所未有的大規(guī)模攻擊：研究人員表示，如果此類(lèi)攻擊獲得成功，其帶來(lái)的嚴(yán)重程度可能是CapitalOne公司泄漏事件的100或1000倍。

一些網(wǎng)絡(luò)安全專(zhuān)家表示，值得慶幸的是，到目前為止還沒(méi)有看到這種情況發(fā)生。但這也意味著這個(gè)問(wèn)題也沒(méi)有得到足夠的關(guān)注，即使是在安全社區(qū)。

Alon說(shuō)，“如果發(fā)生災(zāi)難性的事情，它將得到更多的關(guān)注，我們正在努力防止這種災(zāi)難性的情況發(fā)生。”

可以對(duì)軟件供應(yīng)鏈攻擊進(jìn)行類(lèi)比，這些攻擊基于類(lèi)似的理由令人恐懼：破壞單個(gè)應(yīng)用程序可能會(huì)導(dǎo)致許多最終客戶遭受損失或影響，例如2020年的SolarWinds網(wǎng)絡(luò)攻擊。公有云尚未出現(xiàn)SolarWinds這樣的攻擊，但研究人員的表示，如果網(wǎng)絡(luò)攻擊者首先發(fā)現(xiàn)了其中一個(gè)最近的漏洞，那么情況可能會(huì)有所不同。

令人關(guān)注的“關(guān)鍵”問(wèn)題

云安全專(zhuān)家Scott Piper表示，在2021年8月至2022年1月期間，安全研究人員在主要云服務(wù)平臺(tái)上共發(fā)現(xiàn)了8個(gè) “嚴(yán)重”的漏洞，他在GitHub上編制了一份冗長(zhǎng)的問(wèn)題清單。Piper的統(tǒng)計(jì)表明，自從去年夏天以來(lái)，Azure云平臺(tái)已經(jīng)發(fā)現(xiàn)了六個(gè)關(guān)鍵漏洞，相比之下，亞馬遜的云平臺(tái)上有兩個(gè)關(guān)鍵漏洞，谷歌云平臺(tái)上沒(méi)有關(guān)鍵漏洞。

由于公有云漏洞通常被排除在常見(jiàn)漏洞和暴露系統(tǒng)之外，因此這些問(wèn)題中的大多數(shù)都沒(méi)有被官方授予嚴(yán)重性評(píng)級(jí)。Piper根據(jù)自己的評(píng)估，將嚴(yán)重性評(píng)級(jí)歸因于迄今為止已披露的53個(gè)公有云問(wèn)題，從“低”到“嚴(yán)重”不等。Wiz公司指出Piper的工作是這些公有云問(wèn)題的權(quán)威文檔。

除了研究人員和供應(yīng)商本身之外，Piper可能和任何人一樣熟悉最近一連串的公有云漏洞。對(duì)他來(lái)說(shuō)，最引人注目的是研究人員已經(jīng)反復(fù)證明了在Azure服務(wù)上實(shí)現(xiàn)跨租戶訪問(wèn)的能力。

相比之下，由于這兩個(gè)最近發(fā)現(xiàn)的影響AWS的嚴(yán)重漏洞。Piper說(shuō)，“如果他們深入挖掘，似乎能夠獲得跨租戶訪問(wèn)，但通過(guò)Azure，他們實(shí)際上證明了這一點(diǎn)。”

在ChaosDB之后，下一個(gè)要發(fā)現(xiàn)的嚴(yán)重Azure漏洞是Azure容器即服務(wù)平臺(tái)上的跨賬戶接管漏洞。它是由Palo Alto Networks公司的Unit42小組的研究人員發(fā)現(xiàn)的，并被稱(chēng)為“Azurescape”。

Palo Alto Networks公司首席安全研究員Yuval Avrahami在去年9月發(fā)表的一篇博客文章中寫(xiě)道：“跨賬戶漏洞通常被描述為公有云的‘噩夢(mèng)’場(chǎng)景。Azurescape證明它們比我們想象的更真實(shí)。”

從那以后，這方面的證據(jù)不斷積累。在接下來(lái)的幾個(gè)月中，在Azurescape錯(cuò)誤出現(xiàn)之后，又出現(xiàn)了Azure服務(wù)中的三個(gè)額外的跨租戶漏洞。Orca Security公司研究人員發(fā)現(xiàn)了影響Azure自動(dòng)化服務(wù)的“AutoWarp”和影響AzureSynapse分析服務(wù)的“SynLapse”。Wiz公司研究人員表示，它影響了PostgreSQL Flexible Server的Azure數(shù)據(jù)庫(kù)。

由Wiz公司發(fā)現(xiàn)的另一個(gè)被稱(chēng)為“OMIGOD”的嚴(yán)重Azure漏洞沒(méi)有啟用跨租戶訪問(wèn)。但與其他漏洞相比，它對(duì)客戶來(lái)說(shuō)是更直接的問(wèn)題：該漏洞影響了客戶的一系列Azure服務(wù)，并在去年秋天被網(wǎng)絡(luò)攻擊者廣泛利用。相比之下，目前還不知道其他Azure最近的漏洞是否被利用。

你只有一份工作

在防止云中的跨租戶漏洞方面，云客戶的安全團(tuán)隊(duì)無(wú)能為力。Forrester公司首席分析師Lee Sustar表示，這些問(wèn)題顯然超出了任何客戶的能力范圍，他們只能依賴于他們的云計(jì)算提供商。

所有主要的公有云平臺(tái)都使用某種形式的“責(zé)任共擔(dān)”模型，在供應(yīng)商和客戶之間劃分安全職責(zé)。根據(jù)該計(jì)劃，供應(yīng)商承諾保護(hù)底層基礎(chǔ)設(shè)施。客戶負(fù)責(zé)保護(hù)自己的數(shù)據(jù)和應(yīng)用程序。

Sustar指出，跨租戶漏洞無(wú)疑屬于責(zé)任共擔(dān)模型的供應(yīng)商一方。相比之下，對(duì)于過(guò)去的云計(jì)算違規(guī)事件，例如CapitalOne數(shù)據(jù)泄露事件，責(zé)任主要在客戶方面。

網(wǎng)絡(luò)安全服務(wù)商FireMon公司的云安全高級(jí)副總裁Mogull表示，確保租戶隔離在云計(jì)算服務(wù)提供商的安全責(zé)任中名列前茅。他說(shuō)，“就像‘你只有一份工作’一樣，對(duì)于任何云計(jì)算提供商來(lái)說(shuō)，沒(méi)有更大的風(fēng)險(xiǎn)或擔(dān)憂。”

盡管如此，盡管云平臺(tái)在安全性方面并不完美，但在許多情況下，它們?nèi)詫⒈仁褂脭?shù)據(jù)中心更安全。Mogull說(shuō)，“我是云計(jì)算的堅(jiān)定支持者，我認(rèn)為每個(gè)人都應(yīng)該把他們能做的一切都遷移到云平臺(tái)上。”

Luttwak表示，對(duì)于Wiz公司來(lái)說(shuō)，漏洞研究的目標(biāo)只是幫助客戶了解公有云中確實(shí)存在隔離問(wèn)題。Luttwak公司曾是微軟公司以色列分公司研發(fā)部門(mén)的首席技術(shù)官，后來(lái)于2020年共同創(chuàng)立了這家云安全初創(chuàng)公司。

他說(shuō)：“這是我們過(guò)去認(rèn)為不夠的。作為云計(jì)算提供商的用戶，我們確實(shí)需要問(wèn)他們這樣的問(wèn)題，‘什么是隔離模型?如何確保隔離?’”

網(wǎng)絡(luò)安全服務(wù)商JupiterOne公司的現(xiàn)場(chǎng)安全總監(jiān)Jasmine Henry表示，鑒于客戶數(shù)據(jù)隔離是安全云計(jì)算的“絕對(duì)核心原則”，業(yè)界現(xiàn)在才發(fā)現(xiàn)需要有關(guān)云計(jì)算提供商使用的隔離架構(gòu)的文檔。Henry表示說(shuō)，云計(jì)算提供商必須找到一種方法來(lái)證明其隔離性，而不必付出太多代價(jià)，也不會(huì)造成進(jìn)一步的安全風(fēng)險(xiǎn)。

她說(shuō)。“作為一個(gè)行業(yè)，我認(rèn)為這些都是我們正在學(xué)習(xí)的東西。”

觀點(diǎn)問(wèn)題

Luttwak表示，在Azure中發(fā)現(xiàn)的一系列跨租戶漏洞甚至可以被視為一件好事。他說(shuō)，微軟公司鼓勵(lì)此類(lèi)研究，并為發(fā)現(xiàn)Azure漏洞提供高達(dá)6萬(wàn)美元的獎(jiǎng)金。

Luttwak說(shuō)，“存在漏洞的事實(shí)并不意味著整個(gè)平臺(tái)不安全。我不認(rèn)為可以聲稱(chēng)Azure比其他產(chǎn)品更安全。這是一個(gè)很好的問(wèn)題，但我認(rèn)為沒(méi)有人有數(shù)據(jù)可以這么說(shuō)。”

2001年創(chuàng)立了咨詢公司Principle Logic公司的Beaver說(shuō)，Azure中出現(xiàn)的漏洞似乎更像是微軟公司運(yùn)氣不佳并成為安全研究的目標(biāo)的問(wèn)題。

他說(shuō)，“這些事情隨時(shí)可能發(fā)生在任何企業(yè)身上。”

微軟公司的聲明中表示，其安全團(tuán)隊(duì)全天候工作，以識(shí)別和緩解潛在的安全問(wèn)題。還通過(guò)協(xié)調(diào)漏洞披露與安全研究界合作，確保在公開(kāi)披露潛在安全問(wèn)題之前發(fā)現(xiàn)并緩解這些問(wèn)題。

盡管如此，Wiz公司的研究團(tuán)隊(duì)和Orca Security公司的公有云漏洞研究團(tuán)隊(duì)都表示，他們已經(jīng)投入了類(lèi)似的時(shí)間來(lái)尋找AWS、Azure和Google云中的問(wèn)題，Azure中主要存在嚴(yán)重的跨租戶漏洞。

當(dāng)然，沒(méi)有人會(huì)認(rèn)為安全性被排除在Microsoft Azure服務(wù)的設(shè)計(jì)考慮之外。但多位云計(jì)算安全專(zhuān)家表示，根據(jù)目前的漏洞研究，似乎遺漏了某些允許用戶繞過(guò)租戶隔離的使用場(chǎng)景。

身份驗(yàn)證和授權(quán)問(wèn)題是許多關(guān)鍵Azure漏洞的主題。威脅研究服務(wù)商Invisible Threat公司的所有者兼首席研究員Scott Walsh說(shuō)：“這個(gè)系統(tǒng)承載了太多的信任。”

Walsh說(shuō)，對(duì)于ChaosDB關(guān)鍵漏洞，微軟公司似乎在檢查授權(quán)的第一步，但隨后假設(shè)信任，這使得網(wǎng)絡(luò)攻擊者能夠在授權(quán)的初始階段之后獲得對(duì)其他租戶的訪問(wèn)權(quán)限。

他說(shuō)：“基本上看起來(lái)，如果有足夠的信任進(jìn)入這個(gè)云實(shí)例，那么你在這個(gè)實(shí)例中的每件事都有足夠的信任。在多租戶共享環(huán)境中，這還不夠好。”

Wiz研究人員報(bào)告說(shuō)，通過(guò)利用CosmosDB服務(wù)中的一系列錯(cuò)誤配置，他們能夠不受限制地訪問(wèn)網(wǎng)絡(luò)并獲得許多“秘密”(私鑰和證書(shū))可用于管理數(shù)據(jù)庫(kù)服務(wù)。

Orca Security公司表示，SynLapse并非如此。該公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Avi Shua在5月9日的一篇博客文章中寫(xiě)道，Orca Security公司的研究人員于1月首次發(fā)現(xiàn)Azure Synapse服務(wù)中的漏洞，但在微軟公司在今年3月部署補(bǔ)丁之后，研究人員在4月仍然能夠繞過(guò)租戶分離的問(wèn)題。

Shua在帖子中說(shuō)，“我們認(rèn)為該架構(gòu)包含潛在的弱點(diǎn)，應(yīng)該通過(guò)更強(qiáng)大的租戶分離機(jī)制來(lái)解決這些問(wèn)題。”

未受影響的客戶

Navisite公司首席執(zhí)行官M(fèi)ark Clayman表示，到目前為止，跨租戶Azure漏洞的發(fā)現(xiàn)并未引起客戶的重大擔(dān)憂，Navisite公司提供云戰(zhàn)略和遷移服務(wù)，并持有頂級(jí)Azure Expert MSP認(rèn)證。Clayman表示，在采用Azure方面，客戶并沒(méi)有暫停，至少部分原因是這些發(fā)現(xiàn)是相對(duì)較新的，到目前為止還沒(méi)有發(fā)生跨租戶違規(guī)行為。

他說(shuō)，另一個(gè)因素可能是“更精通技術(shù)”的客戶更有可能專(zhuān)注于AWS或谷歌云。Clayman說(shuō)，“我只是發(fā)現(xiàn)更傳統(tǒng)、更保守的公司更傾向于Azure。”

IDC公司的Dickson表示，他最近與之交談的客戶也沒(méi)有對(duì)Azure的關(guān)鍵漏洞表示任何擔(dān)憂。因此，客戶在這個(gè)問(wèn)題上對(duì)微軟公司的壓力似乎很小。

盡管如此，F(xiàn)orrester公司的Sustar表示，盡管客戶過(guò)去可能認(rèn)為跨租戶問(wèn)題是“低級(jí)風(fēng)險(xiǎn)”，但在他們可能會(huì)在了解最近的調(diào)查結(jié)果時(shí)重新評(píng)估這一點(diǎn)。

OrcaSecurity公司的Alon說(shuō)，如今的微軟公司產(chǎn)生的資金數(shù)量和它做出的安全承諾類(lèi)型之間似乎存在差異。

他說(shuō)，“如果有一個(gè)平臺(tái)可以產(chǎn)生數(shù)十億美元的收入，并承諾安全，但交付不足，那么可以將其中的一些資金用于提高安全性。而微軟是世界上規(guī)模最大的公司之一。如果選擇這樣做，并且將其作為最高優(yōu)先級(jí)，他們就可以做出令人驚奇的事情。”

Walsh表示，解決潛在問(wèn)題可能首先需要更好地處理這些Azure服務(wù)中的邊界。然后，微軟公司可能希望隨著時(shí)間的推移緩慢地、迭代地改變服務(wù)架構(gòu)，以帶來(lái)更加云原生的身份和訪問(wèn)管理風(fēng)格。

他說(shuō)，“這可能還會(huì)有一段時(shí)間會(huì)面臨困難。”

可信計(jì)算2.0?

Alon表示，相信微軟公司將能夠改善圍繞Azure服務(wù)漏洞的情況。他指出，微軟公司在扭轉(zhuǎn)安全方面有著良好的記錄，這可以追溯到2002年著名的“可信賴計(jì)算”備忘錄。在給微軟員工的內(nèi)部備忘錄中，比爾·蓋茨承諾將微軟產(chǎn)品的安全放在更高的優(yōu)先級(jí)，導(dǎo)致多年來(lái)在提高安全性方面取得了很大進(jìn)步。

Alon表示，微軟公司現(xiàn)在可能正在接近與云安全類(lèi)似的時(shí)刻。他補(bǔ)充說(shuō)，懷疑該公司已經(jīng)在內(nèi)部進(jìn)行了更改以阻止未來(lái)的Azure安全問(wèn)題。

Alon說(shuō)，“但改變需要時(shí)間。我們將在接下來(lái)的幾個(gè)月和幾年內(nèi)看到更多的改變。”

Mogull表示，近年來(lái)，微軟公司通過(guò)一系列非常積極的舉措證明了其對(duì)網(wǎng)絡(luò)安全的承諾，這也令人鼓舞。

例如，微軟公司近年來(lái)在打擊“全球民族國(guó)家級(jí)僵尸網(wǎng)絡(luò)”方面值得稱(chēng)贊。在今年4月，微軟公司披露了其在摧毀ZLoader僵尸網(wǎng)絡(luò)中的作用，這是一個(gè)由網(wǎng)絡(luò)犯罪分子用來(lái)執(zhí)行包括勒索軟件在內(nèi)的攻擊的受感染計(jì)算機(jī)網(wǎng)絡(luò)。

Mogull表示，總體而言，它們具有出色的安全性。但談到Azure的安全性，他說(shuō)，“我只是希望它變得更好。而且我認(rèn)為微軟公司可以做到。”