Microsoft heeft Azure Security Lab gelanceerd. Dat moet de beveiliging van zijn publieke cloudservice versterken. De softwarereus maakte het nieuws maandag bekend tijdens de Black Hat-conferentie in Las Vegas.
Het Azure Security Lab betreft een geïsoleerde set specifieke cloudhosts, die zijn ontworpen om te worden getest door beveiligingsprofessionals om de afweer van Microsofts cloudsystemen te versterken, aldus Silicon Angle.
Geïsoleerd
Microsoft heeft de labomgeving geïsoleerd om ervoor te zorgen dat iedereen die wordt uitgenodigd om Azure grondig te testen, de service zelf niet verstoort. Eigen beveiligingsonderzoekers van Microsoft zullen samen met uitgenodigde, externe beveiligingsprofessionals de resultaten van die tests bestuderen. Microsoft moedigt beveiligingsprofessionals aan hun best te doen en geen steen ongemoeid te laten in hun poging kwetsbaarheden in Azure te vinden.
300.000 dollar beloning
Microsoft neemt vanaf nu verzoeken aan van beveiligingsonderzoekers die Azure willen testen. Het bedrijf biedt daarnaast een aanzienlijke premie voor degene die erin slaagt Azure te hacken. Het gaat om beloningen die oplopen tot wel 300.000 dollar. Ook worden de beloningen in het bestaande traditionele bugbountyprogramma verhoogd van 20.000 dollar tot maximaal 40.000 dollar.
Het afgelopen jaar heeft Microsoft naar eigen zeggen al meer dan 4,4 miljoen dollar aan beloningen uitbetaald. In 2018 was dat nog 2 miljoen dollar. Een vergelijkbaar bugbountyprogramma van Google verhoogde onlangs ook nog zijn maximale beloning naar 30.000 dollar, ten opzichte van de vorige limiet van 15.000 dollar.
Microsoft hanteert nu ook de zogeheten Safe Harbor-principes. Beveiligingsonderzoekers kunnen hierdoor kwetsbaarheden identificeren en melden zonder angst voor juridische gevolgen.
Vertrouwen
Analist Holger Mueller van Constellation Research ziet het als een teken van vertrouwen van Microsoft dat het bedrijf white-hat hackers uitnodigt in te breken in zijn cloud.
“Het is een geweldige benadering om de inspanningen van leveranciers van infrastructuur als service te versnellen om hun cloud veiliger te maken. Je kunt hopen dat de concurrenten van Microsoft dit initiatief zullen volgen. Maar leidinggevenden moeten eraan herinnerd worden, dat direct hacken de minste bedreiging is dan social engineering. Ook hier moeten ze nog steeds hun ondernemingen beschermen”, besluit Mueller.
Lees ook: Huur je eigen fysieke server met Azure Dedicated Host