首先，我们来看看Mandiant发布的关于SolarWinds国家威胁体的公告:自2020年以来，多个技术解决方案、服务和经销商公司被入侵(证明攻击范围已经扩展到企业重要的供应链、托管服务和技术解决方案供应链)，获得权限后，利用云攻击下游企业，利用更多猥琐的招数来Bypass微软机制(包括IP地址与被攻击企业的重叠，MFA推送让用户点击等。

以下是攻击技术：

针对Azure攻击环境的先进攻击技术包括:利用获得的技术解决方案、服务和经销商的供应链公司托管权限(ManagedServicesProviders)，利用AzureRuncomands功能执行相应的命令执行动作。相应的Stage1和Stage2阶段的攻击Payload通过AzureRuncomands执行，然后通过MSP入侵下游企业。有些读者一定很奇怪怎么发？其实两个步骤，第一步是获取Azure对应的账号、密码和MFA，然后通过Azurun-command发布相应的Payload，从而达到数据窃取的目的。

今天就不展开更多花哨的大图来讲解了，重点讲述Azure面对零信任攻击的系统解决方案：

用户身份认证升级:记得2019年底2020年初，整个身份认证层面只是账号密码等手段。由于疫情攻击的增加和复杂性的增加，很多厂商都进行了升级。最直接的是Azure支持MFA认证，最典型的是Intune的身份认证系统。使用账号密码登录Azure后，需要绕过Intune、短信等MFA认证方式(其实这里有一个很有意思的点，就是很多公司为了节约成本，会购买Microsofte3的License，因为E3的License安全性比较低，所以从这个角度来说，要想高强度安全，需要花很多钱才能达到相应的安全水平)。Intune只是微软自己的设备认证。最高级的终态方案是与Windows生态连接，所以要想要高强度安全，需要花很多钱才能达到相应的安全水平)。Intunene只是微软自己的设备认证，Windows11远程证书的主要目的是与Azure远程证书服务集成，这表明在让客户访问相应的服务之前，可以验证客户的身份和安全状况。举例来说，如果有一个TPM且安全启动的Windows11机器可以在AzureAD配置计算机上告知安全选项，该计算机在对应用程序/数据/服务进行终端访问之前生成一个证书标记，然后访问相应的服务。最终实现零信任与身份、应用程序、数据和操作系统本身的集成。另一个值得一提的是，Azure内部也使用了微软AzureAD+零信任的解决方案，Azure内部使用的逻辑是这样的，Azure和微软本身的员工和生态提供商登录应用必须强制打开手机验证码MFA，这是一层基本的防御手段；第二层如果Azure的管理员访问Azure的应用程序，必须使用Redmond硬件USBKey登录Azure后台管理，即普通手机MFA验证不能访问后台管理业务，另一个变态点，笔者在一篇公开的Paper中看到，Azure登录管理员控制台还需要相应的特权管理终端类似于我们的堡垒机，特权管理终端也需要支持验证，作者从攻击者的角度来看，RedMond攻击相对困难，因为前提是认证系统很难。