Actualizaciones detalladas de defensa para Azure Identity SDK y Azure Key Vault SDK, además de una guía de implementación de prácticas recomendadas

Resumen

Hoy, Microsoft lanzó una nueva versión del kit de desarrollo de software (SDK) de Azure Vital Vault y el SDK de identidad de Azure que incluye mejoras de características de defensa en profundidad. También publicamos una guía de mejores prácticas para ayudar a proteger las aplicaciones y los servicios que permiten la entrada controlada externamente en el URI del cliente de Azure Critical Vault para su procesamiento. Si bien la mayoría de las aplicaciones que usan los SDK son seguras, las aplicaciones que toman los URI de recursos Essential Vault o Managed HSM proporcionados por el usuario pueden correr el riesgo de filtrar información de autenticación si los URI no se validan correctamente.

Acciones recomendadas del cliente

Todos los clientes deben tomar medidas para actualizar a la última SDK de Azure Crucial Vault y SDK de identidad de Azure para actualizaciones de funciones de defensa en profundidad.

  • Además, los clientes deben validar que las aplicaciones que aceptan los URI proporcionados por el usuario (potencialmente no confiables) para un Azure Vital Vault o Azure Managed HSM de propiedad del cliente siguen las mejores prácticas descritas en el blog site tecnico. Los ejemplos incluyen, pero no se limitan a:
    • URI a claves para el cifrado en reposo, a menudo denominadas claves administradas de forma personalizada (CMK).
    • URI a secretos para configurar una aplicación, incluidas claves API, cadenas de conexión, and many others.

Referencias adicionales



Fuente del articulo