Schützen von Cloudbereitstellungsgeheimnissen

  • Artikel

Microsoft Defender for Cloud bietet eine Geheimnisüberprüfung ohne Agent für Cloudbereitstellungen.

Was ist eine Cloudbereitstellung?

Cloudbereitstellung bezieht sich auf die Bereitstellung und Verwaltung von Ressourcen im großen Stil bei Cloudanbietern wie Azure und AWS unter Verwendung von Tools wie Azure Resource Manager-Vorlagen und AWS CloudFormation-Stapel. Anders ausgedrückt: Eine Cloudbereitstellung ist eine Instanz einer IaC-Vorlage (Infrastructure-as-Code).

Jede Cloud macht eine API-Abfrage verfügbar, und beim Abfragen von Cloudbereitstellungsressourcen über APIs rufen Sie in der Regel Bereitstellungsmetadaten wie Bereitstellungsvorlagen, Parameter, Ausgaben und Tags ab.

Sicherheit von der Softwareentwicklung bis zur Laufzeit

Herkömmliche Lösungen für die Geheimnisüberprüfung erkennen häufig falsch platzierte Geheimnisse in Coderepositorys, Codepipelines oder Dateien innerhalb von VMs und Containern. Cloudbereitstellungsressourcen werden in der Regel nicht berücksichtigt, enthalten aber möglicherweise Geheimnisse in Klartext, die zu kritischen Ressourcen wie Datenbanken, Blobspeicher, GitHub-Repositorys und Azure OpenAI-Diensten führen können. Diese Geheimnisse können es Angreifern ermöglichen, normalerweise verborgene Angriffsflächen in Cloudumgebungen auszunutzen.

Die Überprüfung auf Cloudbereitstellungsgeheimnisse bietet eine zusätzliche Sicherheitsebene und behandelt Szenarien wie die folgenden:

  • Bessere Sicherheitsabdeckung: In Defender for Cloud können DevOps-Sicherheitsfunktionen in Defender for Cloud innerhalb von Plattformen für die Quellcodeverwaltung offengelegte Geheimnisse identifizieren. Cloudbereitstellungen, die manuell über eine Entwicklerarbeitsstation ausgelöst werden, können jedoch zu offengelegten Geheimnissen führen, die möglicherweise übersehen werden. Darüber hinaus tauchen einige Geheimnisse ggf. nur während der Bereitstellungslaufzeit auf  – z. B. solche, die in Bereitstellungsausgaben enthalten sind oder über Azure Key Vault aufgelöst werden. Die Überprüfung auf Cloudbereitstellungsgeheimnisse schließt diese Lücke.
  • Verhindern von Lateral Movement: Die Ermittlung offengelegter Geheimnisse innerhalb von Bereitstellungsressourcen stellt ein erhebliches Risiko für nicht autorisierte Zugriffe dar.
    • Angreifer können diese Sicherheitslücken ausnutzen, um sich seitwärts in einer Umgebung zu bewegen (Lateral Movement), was letztendlich kritische Dienste gefährdet.
    • Durch die Verwendung der Angriffspfadanalyse mit der Überprüfung auf Cloudbereitstellungsgeheimnisse werden automatisch Angriffspfade ermittelt, die eine Azure-Bereitstellung umfassen und zu einer Offenlegung vertraulicher Daten führen können.
  • Ressourcenermittlung: Falsch konfigurierte Bereitstellungsressourcen können umfangreiche Auswirkungen haben und dazu führen, dass die neuen Ressourcen innerhalb einer größeren Angriffsfläche erstellt werden.
    • Die Erkennung und der Schutz von Geheimnissen innerhalb von Daten auf der Ressourcensteuerungsebene können dazu beitragen, potenzielle Sicherheitsverletzungen zu verhindern.
    • Die Behandlung offengelegter Geheimnisse während der Ressourcenerstellung kann besonders schwierig sein.
    • Die Überprüfung auf Cloudbereitstellungsgeheimnisse hilft ihnen dabei, diese Sicherheitsrisiken frühzeitig zu identifizieren und zu behandeln.

Die Überprüfung trägt dazu bei, in Klartext vorliegende Geheimnisse in Cloudbereitstellungen schnell zu erkennen. Wenn Geheimnisse erkannt werden, kann Defender for Cloud Ihr Sicherheitsteam dabei unterstützen, Maßnahmen zu priorisieren und das Problem zu behandeln, um das Lateral Movement-Risiko zu minimieren.

Wie funktioniert die Überprüfung auf Cloudbereitstellungsgeheimnisse?

Die Überprüfung trägt dazu bei, in Klartext vorliegende Geheimnisse in Cloudbereitstellungen schnell zu erkennen. Die Geheimnisüberprüfung für Cloudbereitstellungsressourcen funktioniert ohne Agent und verwendet die API für die Cloudsteuerungsebene.

Die Geheimnisüberprüfungs-Engine von Microsoft überprüft, ob private SSH-Schlüssel dazu verwendet werden können, sich seitwärts durch Ihr Netzwerk zu bewegen.

  • SSH-Schlüssel, die nicht erfolgreich verifiziert wurden, werden auf der Seite mit den Empfehlungen von Defender for Cloud als nicht verifiziert kategorisiert.
  • Verzeichnisse mit testbezogenen Inhalten werden von der Überprüfung ausgeschlossen.

Was wird unterstützt?

Bei der Überprüfung auf Cloudbereitstellungsressourcen werden Geheimnisse in Klartext erkannt. Die Überprüfung ist verfügbar, wenn Sie den Defender for CSPM-Plan (Cloud Security Posture Management) verwenden. Azure- und AWS-Cloudbereitstellung werden unterstützt. Machen Sie sich mit der Liste der Geheimnisse vertraut, die Defender for Cloud ermitteln kann.

Wie kann ich geheimnisbezogene Probleme identifizieren und behandeln?

Dafür gibt es mehrere Möglichkeiten:

  • Überprüfen der Geheimnisse im Ressourcenbestand: Im Bestand wird der Sicherheitsstatus von Ressourcen angezeigt, die mit Defender for Cloud verbunden sind. Über den Bestand können Sie die Geheimnisse anzeigen, die auf einem bestimmten Computer gefunden wurden.
  • Überprüfen der Empfehlungen im Zusammenhang mit Geheimnissen: Wenn Geheimnisse in Ressourcen gefunden werden, wird auf der Seite „Defender für Cloud – Empfehlungen“ unter der Sicherheitskontrolle „Sicherheitsrisiken entschärfen“ eine Empfehlung ausgelöst.

Sicherheitsempfehlungen

Folgenden Sicherheitsempfehlungen für Cloudbereitstellungsgeheimnisse sind verfügbar:

  • Azure-Ressourcen: Geheimnisfunde für Azure Resource Manager-Bereitstellungen müssen behoben werden.
  • AWS-Ressourcen: Geheimnisfunde für den AWS CloudFormation-Stapel müssen behoben werden.

Angriffspfadszenarien

Die Angriffspfadanalyse ist ein graphbasierter Algorithmus, der Ihren Cloudsicherheitsgraphen überprüft, um Pfade aufzudecken, die von Angreifer ausgenutzt werden können, um zu wichtigen Ressourcen zu gelangen.

Vordefinierte Abfragen des Cloudsicherheits-Explorers

Mit dem Cloudsicherheits-Explorer können Sie potenzielle Sicherheitsrisiken in Ihrer Cloudumgebung proaktiv identifizieren. Hierzu wird der Cloudsicherheitsgraph abgefragt. Erstellen Sie Abfragen, indem Sie Ressourcentypen für die Cloudbereitstellung sowie die Arten von Geheimnissen auswählen, nach denen Sie suchen möchten.

Zugehöriger Inhalt

Schützen von VM-Geheimnissen