微軟表示Azure AD已有針對其後端安全部署系統(SDP)的加強防護計畫,在SDP計畫全面完工之後,將可預防本周與去年9月發生的Azure AD意外。

微軟旗下包括Teams、Office及Dynamics等眾多服務,在世界協調時間(UTC)3月15日(周一)晚間7點、至3月16日的早上9點25分(臺北時間16日凌晨3點至下午5點25分)大規模出現登入錯誤且影響全球用戶,微軟很快地公布了初步的調查結果,指出這些服務皆因所仰賴的雲端身分識別及存取管理服務(Azure Active Directory,AAD)故障,而造成用戶無法登入。

分析顯示,此次的意外是因為那些支援Azure AD使用OpenID或其它加密簽章標準協定的金鑰,在輪替時發生錯誤。在標準的安全衛生措施上,自動化系統會定期移除不再使用的金鑰,但在過去幾周,微軟把一個應被移除的金鑰標註為「保留」(retain),以用來支援一個複雜的跨雲端遷移,然而,該自動化系統卻忽略了該金鑰的保留狀態而逕自將它移除。

Azure AD會根據網路身分標準協定把簽署金鑰的元資料公布至全球區域,該元資料是在UTC時間15日晚間7點進行變更,所有基於Azure AD及相關協定的應用程式都會開始採用新的元資料,同時棄用已被移除之金鑰所簽署的權杖,因而造成使用者無法再存取這些應用程式。

在確認問題所在之後,微軟在同一天晚上的9點05分,把金鑰元資料還原至先前的狀態,只是應用程式也必須重新取回元資料,同時刷新其快取,而每個應用程式復原的速度不一,有些還必須強制刷新快取,一直到UTC時間早上9點25分才完成此一程序。

微軟表示,Azure AD已有針對其後端安全部署系統(Safe Deployment Process,SDP)的加強防護多階段計畫,已完成的第一階段的確能夠在添增金鑰上提供保護,但對於移除金鑰的保護則預計於今年中完成,因此尚未部署。在此一計畫全面完工之後,將可預防本周與去年9月發生的Azure AD意外


熱門新聞

Advertisement