在Black Hat 2019上,微软宣布推出Azure安全实验室(Azure Security Lab),一个类似沙箱的环境,供安全研究人员测试其云安全性。该公司还将顶级Azure漏洞奖金提高了一倍,达到40,000美元。
Bug Bounty漏洞赏金计划是微软对现有内部安全计划的有力补充,有助于激励个人和黑客群体发现漏洞并正确地披露它们,而不是恶意使用漏洞或将它们出售给那不法分子。微软今天表示,它已经在过去12个月内发放了440万美元的漏洞赏金奖励。
Azure安全实验室将传统的漏洞奖金计划提高到了一个新的水平,它本质上是一组与Azure客户隔离的专用云主机,因此安全研究人员可以测试针对云方案的攻击。隔离意味着研究人员不仅可以研究Azure中的漏洞,还可以尝试利用漏洞(渗透测试)。
Azure安全实验室不向公众开放 – 专业人士需要在线申请。微软承诺针特定场景进行季度宣传活动,并增加激励措施,第三方安全研究人员还可以直接与Azure安全专家联系。
“我们有新的基于场景的挑战,并在Azure安全实验室中提供高达300,000美元的额外赏金奖励,Azure安全实验室每年向参与者提供的场景奖金讲超过200万美元,“微软安全社区经理Kymberlee Price在宣布之前告诉VB媒体。“第一个安全场景将侧重于打破Azure上基于VM的租户隔离。”
微软今天也正式确认了其二十年安全港(Safe Harbor)承诺,确保第三方安全研究人员(白帽子)的工作获得微软的认可。
Azure是微软目前的摇钱树。云安全问题不仅是与亚马逊和谷歌云竞争的关键环节,而且对微软的整体增长也是至关重要。