En medio de un importante impulso de seguridad después de las famosas infracciones de Storm-0558 el año pasado, Microsoft ha completado la migración de su servicio de firma de Microsoft Cuenta (MSA) a las máquinas virtuales confidenciales de Azure.
Este desarrollo se detalla en el informe de progreso de la Iniciativa Future Secure Future de abril de Microsoft (SFI), y representa una actualización de defensa crítica que proporciona un aislamiento adicional basado en hardware entre el proceso de firma de token y el host subyacente.
La migración se produce como parte de la respuesta continua de Microsoft al ataque 2023 Storm-0558, en el que los actores de amenaza sospechosos de violar el proceso de firma de tokens.
Según el informe, Microsoft implementa múltiples capas de protección de defensa detallada tanto para las claves de firma de tokens de Microsoft Entra y de la cuenta de Microsoft (MSA).
“Estamos aplicando nuevas protecciones detalladas, ejecutando el servicio de firma de la cuenta de Microsoft (MSA) en las máquinas virtuales confidenciales de Azure y el servicio de firma de identidad de INTRA migrando a las máquinas virtuales confidenciales de Azure”, dice el informe.
Verificación con pruebas estrictas
Para garantizar la efectividad de estas mejoras de seguridad, Microsoft realizó exhaustivos simulacros de investigación y respuesta del equipo rojo. Estas evaluaciones validan que mejoraron la telemetría de auditoría y los períodos reducidos de validez clave han mejorado significativamente la capacidad de la Compañía para investigar posibles ataques.
El informe establece que “el estudio también informó nuestras estrategias de detección y proporcionó información sobre las formas de proteger contra ataques más sofisticados”.
La migración es un elemento de la Iniciativa Secure Future de Microsoft (SFI), conocido como el “proyecto de ingeniería de ciberseguridad más grande de la historia”, y es una inversión equivalente a “34,000 ingenieros que trabajan a tiempo completo durante 11 meses”.
SFI
La iniciativa se centra en seis pilares de ingeniería, y “proteger la identidad y los secretos” es particularmente relevante para la migración de los servicios de firma MSA. Bajo este pilar, Microsoft tiene como objetivo proteger las claves de la firma de cifrado a través del almacenamiento y protección de hardware con una auto-rotación rápida.
Más allá de la migración de servicios de firma a MSA, Microsoft ha informado avances significativos en el área de seguridad relacionada.
El 90% de los tokens de identificación para Microsoft Entra IDS en las aplicaciones de Microsoft se validaron utilizando una implementación estandarizada. El 92% de las cuentas de productividad de los empleados utilizan la autenticación multifactor de resistencia de phishing (MFA). El 100% de las cuentas del sistema de producción utilizan MFA resistente a phishing.
La medida representa un paso importante en los esfuerzos de Microsoft para fortalecer las actitudes de seguridad, siguiendo varios incidentes de seguridad bien conocidos.
La compañía también está admitiendo algoritmos de resistencia cuántica con la biblioteca de funciones criptográficas de Windows Core para preparar sistemas de infraestructura de identidad y clave pública para el mundo post-cuantum postcrypto.
Microsoft se encuentra actualmente en el proceso de migrar los servicios de firma de ID de Entra a las máquinas virtuales confidenciales de Azure, mejorando aún más la seguridad de Idintinfraestructura.
Además, la compañía divide sus sistemas clave subyacentes en la infraestructura Entra, que separa el nivel de gestión del centro de datos y los servicios regionales de Azure.
Estas mejoras de seguridad en curso subrayan el compromiso de Microsoft con lo que se llama “seguridad por encima de todo” para continuar abordando las vulnerabilidades reveladas por violaciones pasadas y prepararse para futuros desafíos de seguridad.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
