Protección de secretos en Defender for Cloud
Microsoft Defender for Cloud ayuda al equipo de seguridad a minimizar el riesgo de que los atacantes aprovechen los secretos de seguridad.
Después de obtener acceso inicial, los atacantes pueden moverse lateralmente entre redes, buscar datos confidenciales y aprovechar vulnerabilidades para dañar los sistemas de información críticos mediante el acceso a implementaciones en la nube, recursos y cargas de trabajo accesibles desde Internet. El movimiento lateral suele implicar amenazas de credenciales que suelen aprovechar datos confidenciales, por ejemplo, credenciales expuestas y secretos, como contraseñas, claves, tokens y cadenas de conexión para obtener acceso a recursos adicionales. Los secretos a menudo se encuentran en archivos, almacenados en discos de máquina virtual o en contenedores, en implementaciones multinube. Los secretos expuestos se producen por varias razones:
- Falta de conocimiento: es posible que las organizaciones no conozcan los riesgos y consecuencias de la exposición de secretos en su entorno de nube. Es posible que no haya una directiva clara sobre el control y la protección de secretos en archivos de código y configuración.
- Falta de herramientas de detección: es posible que las herramientas no estén en vigor para detectar y corregir fugas de secretos.
- Complejidad y velocidad: el desarrollo de software moderno es complejo y rápido, basado en varias plataformas en la nube, software de código abierto y código de terceros. Los desarrolladores pueden usar secretos para acceder e integrar recursos y servicios en entornos en la nube. Podrían almacenar secretos en repositorios de código fuente para mayor comodidad y reutilización. Esto puede provocar la exposición accidental de secretos en repositorios públicos o privados, o durante la transferencia o el procesamiento de datos.
- Equilibrio entre la seguridad y la facilidad de uso: las organizaciones pueden mantener los secretos expuestos en entornos en la nube para facilitar el uso, para evitar la complejidad y la latencia del cifrado, así como el descifrado de datos en reposo y en tránsito. Esto puede poner en peligro la seguridad y la privacidad de los datos y las credenciales.
Defender for Cloud proporciona el análisis de secretos de las máquinas virtuales y de las implementaciones en la nube para reducir el riesgo de movimiento lateral.
- Máquinas virtuales: análisis de secretos sin agente en máquinas virtuales multinube.
- Implementaciones en la nube: análisis de secretos sin agente en recursos de implementación de infraestructura como código multinube.
- Azure DevOps: análisis para detectar secretos expuestos en Azure DevOps.
Implementación de análisis de secretos
El análisis de secretos se ofrece como una característica en los planes de Defender for Cloud:
- Análisis de máquinas virtuales: se proporciona con el plan de administración de la posición de seguridad en la nube (CSPM) de Defender para servidores o con el plan 2 de Defender para servidores.
- Análisis de recursos de implementación en la nube: se proporciona con CSPM de Defender.
- Análisis de DevOps: se proporciona con CSPM de Defender.
Revisión de los resultados de secretos
Puede revisar e investigar los resultados de seguridad de los secretos de dos maneras:
- Revisión del inventario de recursos. En la página Inventario puede obtener una vista general de los secretos.
- Revisión de las recomendaciones de secretos: en la página Recomendaciones de Defender for Cloud, puede revisar y corregir recomendaciones de secretos. Obtenga más información sobre cómo investigar recomendaciones y alertas.
- Investigación de la información de seguridad: puede usar Cloud Security Explorer para consultar el gráfico de seguridad en la nube. Puede crear sus propias consultas o usar plantillas de consulta predefinidas.
- Uso de rutas de acceso de ataque: puede usar rutas de acceso de ataque para investigar y corregir el riesgo de secretos críticos. Más información.
Compatibilidad con la detección
Defender for Cloud admite la detección de los tipos de secretos que se resumen en la tabla.
| Tipo de secretos | Detección de secretos de máquina virtual | Detección de secretos de implementación en la nube | Revisión de ubicación |
|---|---|---|---|
| Claves privadas SSH no seguras Admite algoritmo RSA para archivos PuTTy. Estándares PKCS#8 y PKCS#1 Estándar OpenSSH |
Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Cadenas de conexión de Azure SQL de texto no cifrado, admite PAAS de SQL. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Base de datos de Azure de texto no cifrado para PostgreSQL. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Base de datos de Azure de texto no cifrado para MySQL. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Base de datos de Azure de texto no cifrado para MariaDB. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Texto no cifrado de Azure Cosmos DB, incluidos PostgreSQL, MySQL y MariaDB. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| La cadena de conexión de AWS RDS de texto no cifrado admite PAAS de SQL: Texto no cifrado Amazon Aurora con tipos Postgres y MySQL. RDS personalizado de Amazon de texto no cifrado con tipos de Oracle y SQL Server. |
Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Cadena de conexión de texto no cifrado a una cuenta de almacenamiento de Azure | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Cadena de conexión de texto no cifrado a una cuenta de almacenamiento de Azure. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Tokens de SAS de texto no cifrado de la cuenta de almacenamiento de Azure. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Claves de acceso de AWS de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| URL prefirmada de AWS S3 de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Dirección URL firmada de Google Storage de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Secreto de cliente de Azure AD de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de acceso personal de Azure DevOps de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de acceso personal de GitHub de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure App Configuration de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de Azure Cognitive Service de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Credenciales de usuario de Azure AD de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Container Registry de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Contraseña de implementación de Azure App Service de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de acceso personal de Azure Databricks de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure SignalR de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de suscripción de Azure API Management de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave secreta de Azure Bot Framework de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de API del servicio web de Azure Machine Learning de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Communication Services de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Event Grid de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Amazon Marketplace Web Service (MWS) de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de suscripción de Azure Maps de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Web PubSub de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de API de OpenAI de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso compartido de Azure Batch de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de autor de NPM de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Certificado de administración de suscripciones de Azure de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de API de GCP de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Credenciales de AWS Redshift de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave privada de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Cadena de conexión ODBC de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Contraseña general de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Credenciales de inicio de sesión de usuario de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Token personal de Travis de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Token de acceso de Slack de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de máquina de ASP.NET de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Encabezado de autorización HTTP de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Contraseña de Azure Redis Cache de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso compartido de Azure IoT de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Secreto de aplicación de Azure DevOps de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de API de Azure Function de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso compartido de Azure de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Firma de acceso compartido de Azure Logic Apps de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Token de acceso de Azure Active Directory de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Firma de acceso compartido de Azure Service Bus de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |