Schützen von Geheimnissen in Defender for Cloud
Mit Microsoft Defender for Cloud kann das Sicherheitsteam das Risiko minimieren, dass Angreifer Sicherheitsgeheimnisse ausnutzen.
Nachdem sich Angreifer Zugang verschafft haben, können sie sich seitwärts durch Netzwerke bewegen (Lateral Movement), vertrauliche Daten finden und Sicherheitslücken ausnutzen, um kritische Informationssysteme zu beschädigen, indem sie auf Cloudbereitstellungen, Ressourcen und Workloads mit Internetverbindung zugreifen. Lateral Movement geht häufig mit Anmeldeinformationenbedrohungen einher, die in der Regel vertrauliche Daten wie verfügbar gemachte Anmeldeinformationen und Geheimnisse wie Kennwörter, Schlüssel, Token und Verbindungszeichenfolgen ausnutzen, um Zugang zu weiteren Ressourcen zu erhalten. Geheimnisse befinden sich häufig in Dateien, die auf VM-Datenträgern gespeichert sind, oder in Containern in Multicloudbereitstellungen. Die Offenlegung von Geheimnissen kann verschiedene Ursachen haben:
- Fehlendes Bewusstsein: Organisationen sind sich möglicherweise nicht über die Risiken und Folgen offengelegter Geheimnisse in ihrer Cloudumgebung im Klaren. Möglicherweise gibt es keine klare Richtlinie für den Umgang mit und den Schutz von Geheimnissen in Code- und Konfigurationsdateien.
- Fehlende Ermittlungstools: Es sind möglicherweise keine Tools vorhanden, um Geheimnislecks zu erkennen und zu beheben.
- Komplexität und Geschwindigkeit: Die moderne Softwareentwicklung ist komplex und schnell und basiert auf mehreren Cloudplattformen sowie auf Open-Source-Software und Drittanbietercode. Entwickler verwenden ggf. Geheimnisse, um auf Ressourcen und Dienste in Cloudumgebungen zuzugreifen, und sie speichern Geheimnisse der Einfachheit halber sowie zur Wiederverwendung in Quellcoderepositorys. Dies kann zur ungewollten Offenlegung von Geheimnissen in öffentlichen oder privaten Repositorys oder bei der Datenübertragung oder -verarbeitung führen.
- Abwägung zwischen Sicherheit und Benutzerfreundlichkeit: Organisationen nutzen ggf. der Einfachheit halber in Cloudumgebungen verfügbar gemachte Geheimnisse, um die Komplexität und Wartezeit zu vermeiden, die mit der Ver- und Entschlüsselung ruhender und übertragener Daten einhergeht. Dies kann die Sicherheit und den Datenschutz von Daten und Anmeldeinformationen gefährden.
Defender for Cloud bietet eine Geheimnisüberprüfung für virtuelle Computer und für Cloudbereitstellungen, um das Lateral Movement-Risiko zu verringern.
- Virtuelle Computer (Virtual Machines, VMs): Geheimnisüberprüfung ohne Agent für Multicloud-VMs
- Cloudbereitstellungen: Geheimnisüberprüfung ohne Agent über verschiedene IaC-Bereitstellungsressourcen (Infrastructure-as-Code) in mehreren Clouds hinweg
- Azure DevOps: Überprüfung auf offengelegte Geheimnisse in Azure DevOps
Bereitstellen der Geheimnisüberprüfung
Die Geheimnisüberprüfung wird als Feature in Defender for Cloud-Plänen bereitgestellt:
- VM-Überprüfung: Bereitgestellt mit dem Defender for CSPM-Plan (Cloud Security Posture Management) oder mit dem Defender for Servers-Plan 2.
- Ressourcenüberprüfung für Cloudbereitstellungen: Bereitgestellt mit Defender for CSPM.
- DevOps-Überprüfung: Bereitgestellt mit Defender for CSPM.
Überprüfen von Ergebnissen für Geheimnisse
Sie können die Sicherheitsergebnisse für Geheimnisse auf verschiedene Arten überprüfen und untersuchen:
- Überprüfen Sie den Ressourcenbestand. Auf der Bestandsseite können Sie eine Gesamtansicht Ihrer Geheimnisse anzeigen.
- Überprüfen von Geheimnisempfehlungen: Auf der Seite „Defender für Cloud – Empfehlungen“ können Sie Geheimnisempfehlungen überprüfen und implementieren. Informieren Sie sich ausführlicher über die Untersuchung von Empfehlungen und Warnungen.
- Untersuchen von Sicherheitserkenntnissen: Sie können den Cloudsicherheits-Explorer verwenden, um den Cloudsicherheitsgraphen abzufragen. Sie können eigene Abfragen erstellen oder vordefinierte Abfragevorlagen verwenden.
- Verwenden von Angriffspfaden: Sie können Angriffspfade verwenden, um kritische Geheimnisrisiken zu untersuchen und zu behandeln. Weitere Informationen
Ermittlungsunterstützung
Defender for Cloud unterstützt die Ermittlung der Arten von Geheimnissen, die in der Tabelle zusammengefasst sind.
| Geheimnistyp | Ermittlung von VM-Geheimnissen | Ermittlung von Cloudbereitstellungsgeheimnissen | Überprüfungsort |
|---|---|---|---|
| Unsichere private SSH-Schlüssel Unterstützt RSA-Algorithmus für PuTTy-Dateien. PKCS#8- und PKCS#1-Standards OpenSSH-Standard |
Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure SQL-Verbindungszeichenfolgen in Klartext unterstützen SQL-PaaS. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for PostgreSQL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for MySQL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for MariaDB im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Cosmos DB im Klartext, einschließlich PostgreSQL, MySQL und MariaDB. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| AWS RDS-Verbindungszeichenfolge in Klartext unterstützt SQL-PaaS: Amazon Aurora im Klartext, inklusive Postgres und MySQL. Amazon: benutzerdefiniertes RDS im Klartext, inklusive Oracle- und SQL Server. |
Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Klartext-Verbindungszeichenfolgen des Azure-Speicherkontos | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Verbindungszeichenfolgen für Azure Storage-Konten im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| SAS-Token für Azure Storage-Konten im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| AWS-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Vorab signierte URL für AWS S3 in Klartext | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Signierte Google-Speicher-URL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Geheimer Azure AD-Clientschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliche Zugriffstoken für Azure DevOps im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliche GitHub-Zugriffstoken im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure App Configuration-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Cognitive Services-Schlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure AD-Benutzeranmeldeinformationen im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Zugriffsschlüssel für Azure Container Registry im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Bereitstellungskennwörter für Azure App Service im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliche Zugriffstoken für Azure Databricks im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure SignalR-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure API Management-Abonnementschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Geheime Azure Bot Framework-Schlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| API-Schlüssel für den Azure Machine Learning-Webdienst im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Communication Services-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Event Grid-Zugriffsschlüssel in Klartext | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Zugriffsschlüssel für Amazon Marketplace Web Service (MWS) im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Maps-Abonnementschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Web PubSub-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| OpenAI-API-Schlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| SAS-Schlüssel für Azure Batch im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| NPM-Erstellertoken im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Verwaltungszertifikate für Azure-Abonnements im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| GCP-API-Schlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| AWS Redshift-Anmeldeinformationen in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Privater Schlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| ODBC-Verbindungszeichenfolge in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Allgemeines Kennwort in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Benutzeranmeldeinformationen in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliches Travis-Token in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Slack-Zugriffstoken in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| ASP.NET-Computerschlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| HTTP-Autorisierungsheader in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Redis Cache-Kennwort in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| SAS-Schlüssel für Azure IoT in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| App-Geheimnis für Azure DevOps in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Schlüssel für Azure-Funktions-API in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure-SAS-Schlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Shared Access Signature für Azure-Logik-App in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Zugriffstoken für Azure Active Directory in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Shared Access Signature für Azure Service Bus in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
Zugehöriger Inhalt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für