Microsoft tightens Azure security with “granular” permissions

Semua API REST Azure DevOps kini menerima Token Akses Pribadi Terperinci (PAT). Tujuan dari perubahan tersebut, yang disambut baik oleh komunitas cybersecurity, adalah untuk meminimalkan potensi kerusakan dari kebocoran kredensial PAT.

Mengumumkan berita tersebut melalui posting blog Azure DevOps, manajer produk Barry Wolfson mengatakan ada “risiko keamanan yang signifikan bagi organisasi sebelum perubahan, mengingat potensi akses ke kode sumber, infrastruktur produksi, dan sumber daya berharga lainnya.”

“Sebelumnya, banyak API REST Azure DevOps tidak terikat dengan cakupan PAT, yang terkadang menyebabkan pelanggan menggunakan API ini menggunakan cakupan PAT penuh.” Berbagai macam kekuatan yang terkait dengan mereka menjadi perhatian.

Pemicu Praetorian

Sementara Wolfson tidak menyebutkan secara spesifik, yang lain berspekulasi bahwa peralihan terjadi setelah peneliti Praetorian menggunakan REST API PAT untuk masuk ke jaringan perusahaan pihak ketiga.

Salah satunya adalah situs GitHub milik Microsoft yang disusupi berkat kebocoran PAT. Perusahaan saat ini sedang menguji penggunaan PAT berbutir halus dalam versi beta publiknya untuk mengatasi masalah ini.

Sekarang Wolfson menyarankan agar tim DevOps menerapkan perubahan lebih cepat daripada nanti. “Jika saat ini Anda menggunakan PAT dengan cakupan penuh untuk mengautentikasi ke salah satu API REST Azure DevOps, pertimbangkan untuk bermigrasi ke PAT dengan cakupan khusus yang diterima API untuk menghindari akses yang tidak perlu,” katanya.

Dia menambahkan bahwa rentang PAT mendetail yang didukung untuk REST API tertentu dapat ditemukan di bagian Keamanan – Cakupan halaman dokumentasi REST API.

Selain itu, perubahan harus memungkinkan pelanggan untuk membatasi bagaimana PAT dibuat sepenuhnya melalui kebijakan bidang kontrol.

“Kami berharap dapat terus memberikan peningkatan yang akan membantu pelanggan mengamankan lingkungan DevOps mereka,” tutup Wolfson.

Oleh: Daftar (terbuka di tab baru)

Author: Austin Wood