Protection des secrets des machines virtuelles
Microsoft Defender pour le cloud fournit une analyse des secrets sans agent pour les machines virtuelles. L’analyse vous aide à détecter, à classer par ordre de priorité, puis à corriger rapidement les secrets exposés. La détection des secrets permet d’identifier une large plage de types de secrets, tels que des jetons, des mots de passe, des clés ou des informations d’identification, stockés dans différents types de fichiers sur le système de fichiers du système d’exploitation.
L’analyse des secrets sans agent de Defender pour le cloud pour les machines virtuelles localise les secrets en texte clair qui existent dans votre environnement. En cas de détection de secrets, Defender pour le cloud aide votre équipe de sécurité à établir des priorités et à prendre des mesures correctives exploitables en vue de réduire le risque de mouvement latéral, tout cela sans nuire aux performances de votre machine.
Comment fonctionne l’analyse des secrets des machines virtuelles ?
L’analyse des secrets pour les machines virtuelles est sans agent et utilise des API cloud.
- La fonction d’analyse capture les instantanés de disque, puis les analyse, sans impact sur les performances des machines virtuelles.
- Après avoir collecté les métadonnées de secrets depuis le disque, le moteur d’analyse des secrets Microsoft les envoie à Defender pour le cloud.
- Le moteur d’analyse des secrets vérifie si les clés privées SSH permettent de se déplacer ultérieurement dans votre réseau.
- Les clés SSH qui ne sont pas vérifiées avec succès sont classées comme non vérifiées sur la page Suggestions de Defender pour le cloud.
- Les répertoires reconnus comme contenant du contenu lié au test sont exclus de l’analyse.
Qu’est-ce qui est pris en charge ?
L’analyse des secret sans agent est disponible quand vous utilisez Defender pour serveurs plan 2 ou la gestion de la posture de sécurité cloud (CSPM) Defender. L’analyse des secrets de machine virtuelle permet d’analyser les machines virtuelles Azure et les instances AWS/GCP intégrées à Defender pour le cloud. Passez en revue les secrets détectables par Defender pour le cloud.
Comment l’analyse des secrets de machine virtuelle réduit-elle le risque ?
L’analyse des secrets permet de réduire le risque avec les atténuations suivantes :
- Élimination des secrets qui ne sont pas nécessaires.
- Application du principe du privilège minimum.
- Renforcement de la sécurité des secrets à l’aide de systèmes de gestion des secrets tels qu’Azure Key Vault.
- Utilisation de secrets de courte durée, tels que le remplacement de chaînes de connexion Stockage Azure par des jetons SAS qui possèdent des périodes de validité plus courtes.
Comment faire pour identifier et résoudre les problèmes de secrets ?
Il existe plusieurs façons. Chaque méthodes n’est pas prise en charge pour chaque secret. Veuillez passer en revue la liste des secrets pris en charge si vous souhaitez en savoir plus.
- Passez en revue les secrets dans l’inventaire des ressources : l’inventaire affiche l’état de sécurité des ressources connectées à Defender pour le cloud. À partir de l’inventaire, vous pouvez afficher les secrets découverts sur un ordinateur spécifique.
- Passez en revue les recommandations relatives aux secrets : lorsque des secrets sont trouvés sur des ressources, une recommandation est déclenchée sous le contrôle de sécurité Corriger les vulnérabilités sur la page Recommandations de Defender pour le cloud. Les recommandations sont déclenchées comme suit :
- Passez en revue les secrets avec l’explorateur de sécurité du cloud. Utilisez l’explorateur de sécurité du cloud pour interroger le graphique de sécurité du cloud. Vous pouvez générer vos propres requêtes ou utiliser l’un des modèles intégrés pour rechercher des secrets de machine virtuelle dans tout votre environnement.
- Passez en revue les chemins d’attaque : l’analyse des chemins d’attaque vous permet d’analyser le graphique de sécurité du cloud pour exposer des chemins exploitables que les attaquants peuvent utiliser pour violer votre environnement, puis atteindre des ressources à fort impact. L’analyse des secrets de machine virtuelle prend en charge un certain nombre de scénarios de chemin d’attaque.
Recommandations de sécurité
Les recommandations de sécurité suivantes en matière de secrets de déploiement cloud sont disponibles :
- Ressource Azure : les machines doivent avoir des résultats du secret résolus
- Ressources AWS : les instances EC2 doivent avoir des résultats du secret résolus
- Ressources GCP : les instances de machines doivent avoir des résultats du secret résolus
Scénarios de chemin d’attaque
Le tableau récapitule les scénarios de chemin d’attaque pris en charge.
| Machine virtuelle | Chemins d’attaque |
|---|---|
| Azure | La machine virtuelle vulnérable exposée a une clé privée SSH non sécurisée servant à s’authentifier auprès d’une machine virtuelle. La machine virtuelle vulnérable exposée contient des secrets non sécurisés servant à s’authentifier auprès d’un compte de stockage. La machine virtuelle vulnérable contient des secrets non sécurisés servant à s’authentifier auprès d’un compte de stockage. La machine virtuelle vulnérable exposée contient des secrets non sécurisés servant à s’authentifier auprès d’un serveur SQL. |
| AWS | L’instance EC2 vulnérable exposée a une clé privée SSH non sécurisée servant à s’authentifier auprès d’une instance EC2. L’instance EC2 vulnérable exposée a un secret non sécurisé servant à s’authentifier auprès d’un compte de stockage. L’instance EC2 vulnérable exposée contient des secrets non sécurisés servant à s’authentifier auprès d’un serveur RDS AWS. L’instance EC2 vulnérable contient des secrets non sécurisés servant à s’authentifier auprès d’un serveur RDS AWS. |
| GCP | L’instance de machine virtuelle GCP vulnérable exposée a une clé privée SSH non sécurisée servant à s’authentifier auprès d’une instance de machine virtuelle GCP. |
Requêtes d’explorateur de sécurité cloud prédéfinies
Defender pour le cloud fournit ces requêtes prédéfinies pour examiner les problèmes de sécurité des secrets :
- Machine virtuelle avec un secret en texte clair qui peut s’authentifier auprès d’une autre machine virtuelle : retourne toutes les machines virtuelles Azure, les instances AWS EC2 ou les instances de machine virtuelle GCP avec un secret en texte clair qui peut accéder à d’autres machines virtuelles ou EC2.
- Machine virtuelle avec un secret en texte clair qui peut s’authentifier auprès d’un compte de stockage : retourne toutes les machines virtuelles Azure, toutes les instances AWS EC2 ou toutes les instances de machine virtuelle GCP avec un secret en texte clair pouvant accéder à des comptes de stockage
- Machine virtuelle avec un secret en texte clair qui peut s’authentifier auprès d’une base de données SQL : retourne toutes les machines virtuelles Azure, les instances AWS EC2 ou les instances de machine virtuelle avec un secret en texte clair qui peuvent accéder à des bases de données SQL.
Comment faire pour atténuer efficacement les problèmes liés aux secrets ?
Il est important de pouvoir classer par ordre de priorité les secrets, puis identifier ceux qui nécessitent une attention immédiate. Pour vous aider dans cette tâche, Defender pour le cloud fournit les éléments suivants :
- Métadonnées enrichies pour chaque secret, comme l’heure de dernier accès à un fichier, une date d’expiration de jeton, une indication de l’existence ou non de la ressource cible à laquelle les secrets donnent accès, et bien plus encore.
- Combinaison de métadonnées de secrets avec le contexte des ressources du cloud. Cela vous permet de commencer par des ressources exposées à Internet ou qui contiennent des secrets pouvant compromettre d’autres ressources sensibles. Les résultats de l’analyse des secrets sont incorporés dans la hiérarchisation des recommandations basées sur les risques.
- Plusieurs vues fournies pour vous aider à identifier les secrets les plus couramment trouvés ou les ressources contenant des secrets.