최근 뉴스

탐구할 가치가 있는 16가지 WhatsApp 비즈니스 기능

인디애나 중부 마약 수사에서 25명 체포, 11명 수배 중

Jul 16, 2023

미국인을 Wegovy 및 기타 체중으로부터 보호하는 3가지 요인

May 03, 2024

4건의 새로운 소송에서는 산부인과 의사가 술에 취해 환자에게 부적절했다고 주장합니다. 37명 더 올 예정

Oct 20, 2023

WhatsApp Business 계정을 만들어야 하는 6가지 이유

Aug 05, 2023

API 인증 취약점이 클라우드 보안 문제의 중심에 있는 이유

Aug 25, 2023

Microsoft의 클라우드 서비스는 최근 몇 달 동안 문제의 핵심인 API를 중심으로 정밀 조사를 받았습니다. API를 사용할 때 발생할 수 있는 보안 문제를 완화하는 데 도움이 되는 몇 가지 전략은 다음과 같습니다.

클라우드 컴퓨팅 하늘은 인증을 남용한 공격자뿐만 아니라 클라우드 서비스 대기업이 인증에 일반적인 문제가 있음을 지적한 Tenable 회사의 십자선에 자신을 발견한 Microsoft의 경우 최근 다소 폭풍우를 겪었습니다. Microsoft의 게시물과 Tenable의 글은 모두 클라우드 인증 문제를 강조하고 일부 약점을 조명했습니다.

Tenable 게시물에서 Microsoft는 클라우드 보안의 투명성이 부족하다는 비난을 받았습니다. Tenable CEO Amit Yoran이 설명한 대로, 관련 문제는 "Microsoft Power Platform(Power Apps, Power Automation)에서 사용자 지정 커넥터 생성 및 운영의 일부로 실행되는 Azure Function 호스트에 대한 액세스 제어가 부족하여 발생했습니다. "

Azure URL을 추측하면 인증 없이도 액세스할 수 있습니다. Yoran은 다음과 같이 썼습니다. "따라서 사용자 지정 커넥터와 연결된 Azure 함수의 호스트 이름을 결정한 공격자가 인증 없이 사용자 지정 커넥터 코드에 정의된 함수와 상호 작용할 수 있었습니다. 이러한 호스트 이름을 사용하면 공격자는 다음과 같은 작업을 수행할 수 있습니다. 정수만 다르기 때문에 다른 고객의 사용자 지정 커넥터와 연결된 Azure Functions의 호스트 이름을 확인합니다.

Microsoft는 Power Platform 사용자 지정 코드 정보 공개 취약성을 완화했으며 2023년 8월부터 Microsoft 365 관리 센터(MC665159)를 통해 영향을 받는 고객에게 이 문제에 대해 알렸다는 기술 노트를 명시했습니다. 알림이므로 별도의 조치가 필요하지 않습니다.

사람의 로그인 없이 다른 소프트웨어 간의 서비스나 연결을 제공하는 애플리케이션 프로그래밍 인터페이스(API)가 문제의 중심에 있습니다. API를 사용하면 어떤 일이 발생할 때까지 보안에 액세스하기 어려운 경우가 많습니다.

조직에서는 소프트웨어를 검토하고 명백한 취약점이 없는지 확인하기 위해 전문 컨설턴트를 고용해야 하는 경우가 많습니다. 오픈 소스부터 독점 소프트웨어까지 전문가의 검토를 거치지 않는 한 공급업체의 검토만으로는 문제를 발견하기에 충분하지 않습니다.

OWASP API 보안 상위 10개에는 API를 다룰 때 찾아야 할 일반적인 주요 문제가 나열되어 있습니다. 손상된 객체 수준 인증부터 안전하지 않은 API 사용에 이르기까지 API의 사용을 너무 많이 신뢰하는 경우가 너무 많다는 점을 지적합니다. 또한 우리는 더 많은 대중이 사용할 수 있는 서비스를 제공하고 있기 때문에 API 사용을 거의 제한하지 않는 경향이 있습니다. API를 더 많은 대중이 사용하지 않을 경우 추가로 보호하고 방어할 수 있는 현재 베타 버전의 추가 기술을 사용하는 것을 고려해 보세요.

그러나 이러한 솔루션 중 일부는 아직 널리 사용되지 않으며 아직 공개 미리 보기 상태입니다. 적절한 사례는 현재 Power Platform 환경에서 미리 보기로 제공되는 Microsoft의 IP 방화벽 솔루션입니다. Microsoft 설명서에 명시된 대로 실시간으로 데이터 유출과 같은 내부 위협을 완화하는 데 도움이 됩니다. "Excel이나 Power BI와 같은 클라이언트 도구를 사용하여 Dataverse에서 데이터를 다운로드하려는 악의적인 사용자는 IP 위치를 기반으로 데이터 다운로드가 차단됩니다."

IP 방화벽은 구성된 IP 범위 외부에서 토큰 재생 공격을 차단하는 데도 도움이 됩니다. "사용자가 토큰을 훔쳐 이를 사용하여 구성된 IP 범위 외부에서 Dataverse에 액세스하려고 하면 Dataverse에서 액세스가 실시간으로 거부됩니다." IP 방화벽은 대화형 및 비대화형 시나리오 모두에서 작동하며 관리형 환경에서 사용할 수 있습니다. Dataverse를 포함하는 모든 Power Platform 환경에서 지원됩니다.

API를 사용하면 보안 문제가 기본적으로 발생하는 경우가 많습니다.

권한. API 권한의 기본 사항을 간과하지 말고 클라우드 서비스에 대해 너무 관대하게 허용하지 마십시오. 사용자 액세스와 마찬가지로 권한의 기본 사항은 종종 노출이나 공격으로 이어질 수 있습니다. 액세스 사용을 필요한 최소한으로 제한하십시오.

이전의: API를 통해 공개적으로 이용 가능한 Trilliant Health의 전국 서비스 제공자 디렉토리 다음: API 보호 도구로 생성 AI 추가

문의 보내기

보내다