本ブログは、Defense-in-Depth Updates for Azure Identity SDK and Azure Key Vault SDK plus Best Practice Implementation Guidance の抄訳版です。最新の情報は原文を参照してください。
概要
本日、マイクロソフトは、多層防御機能の改善を含む Azure Key Vault Software Development Kit (SDK) と Azure Identity SDK の新しいバージョンをリリースしました。また、外部によって制御された入力を Azure Key Vault のクライアント URI に入力して処理させるアプリケーションやサービスを保護するためのベストプラクティス ガイダンスを公開しました。 SDK を使用するほとんどのアプリケーションは安全ですが、ユーザーが提供した Key Vault またはマネージド HSM リソース URI を使用するアプリケーションは、URI が正しく検証されない場合、認証情報が漏洩するリスクがあります。
推奨されるお客様のアクション
すべてのお客様は、多層防御機能を更新するために、最新の Azure Key Vault SDK および Azure Identity SDK にアップデートする必要があります。
-
さらに、お客様は、お客様が所有する Azure Key Vault または Azure Managed HSM に対してユーザーが提供した (信頼できない可能性がある) URI を受け入れるアプリケーションが、テクニカル ブログで概説されているベスト プラクティスに従っていることを検証する必要があります。例として以下が挙げられますが、これらに限りません。
-
保存時の暗号化用のキーへの URI。よくカスタム管理キー (CMK) と呼ばれることがあります。
-
アプリケーションを構成するためのシークレットへの URI (API キー、接続文字列など)
-
参考資料
- Azure Key Vault のテクニカル ブログ
- Azure Identity のテクニカル ブログ
- 質問がある場合には、Azure ポータル aka.ms/azsupt からサポート ケースを起票してください。