Megosztás a következőn keresztül:


Virtuálisgép-titkos kódok védelme

Felhőhöz készült Defender a virtuális gépek ügynök nélküli titkos kulcsainak vizsgálatát biztosítja. A vizsgálat segít a feltárt titkos kódok gyors észlelésében, rangsorolásában és szervizelésében. A titkos kódok észlelése számos titkos kódtípust azonosíthat, például jogkivonatokat, jelszavakat, kulcsokat vagy hitelesítő adatokat, amelyeket az operációs rendszer fájlrendszerében különböző típusú fájlok tárolnak.

Felhőhöz készült Defender virtuális gépek (VM) ügynök nélküli titkos kulcsainak vizsgálata megkeresi a környezetben található egyszerű szöveges titkos kódokat. Titkos kulcsok észlelése esetén Felhőhöz készült Defender segíthet a biztonsági csapatnak a fontossági sorrendbe állításában és a végrehajtható szervizelési lépések végrehajtásában az oldalirányú mozgás kockázatának minimalizálása érdekében, mindezt a gép teljesítményének befolyásolása nélkül.

Hogyan működik a virtuális gépek titkos kulcsának vizsgálata?

A virtuális gépek titkos kulcsainak vizsgálata ügynök nélküli, és felhőalapú API-kat használ.

  1. A vizsgálat rögzíti és elemzi a lemez pillanatképeit, és nem befolyásolja a virtuális gépek teljesítményét.
  2. Miután a Microsoft titkos kódok beolvasási motorja begyűjti a titkos kódok metaadatait a lemezről, elküldi őket Felhőhöz készült Defender.
  3. A titkos kódok beolvasási motorja ellenőrzi, hogy az SSH titkos kulcsok használhatók-e a hálózat oldalirányú mozgatására.
    • A sikertelenül ellenőrzött SSH-kulcsok nem ellenőrzöttként vannak besorolva a Felhőhöz készült Defender Javaslatok lapon.
    • A teszttel kapcsolatos tartalmakat tartalmazó könyvtárak nem vizsgálhatók.

Mi támogatott?

A virtuális gépek titkos kulcsainak vizsgálata akkor érhető el, ha a Defender for Servers 2. csomagját vagy a Defender Cloud Security Posture Managementet (CSPM) használja. A virtuálisgép-titkos kódok vizsgálata képes az Azure-beli virtuális gépek és a Felhőhöz készült Defender előkészített AWS/GCP-példányok vizsgálatára. Tekintse át a Felhőhöz készült Defender által felderíthető titkos kulcsokat.

Hogyan csökkenti a virtuálisgép-titkos kulcsok vizsgálata a kockázatokat?

A titkos kódok vizsgálata az alábbi kockázatcsökkentésekkel segít csökkenteni a kockázatokat:

  • A szükségtelen titkos kulcsok kiküszöbölése.
  • A minimális jogosultság elvének alkalmazása.
  • A titkos kódok biztonságának megerősítése titkos kulcskezelő rendszerek, például az Azure Key Vault használatával.
  • Rövid élettartamú titkos kódok használata, például az Azure Storage kapcsolati sztring helyettesítése rövidebb érvényességi idejű SAS-jogkivonatokkal.

Hogyan identitással és a titkos kulcsokkal kapcsolatos problémák elhárítása?

Többféleképpen is. Nem minden metódus támogatott minden titkos kód esetében. További részletekért tekintse át a támogatott titkos kódok listáját.

  • Az eszközleltár titkos kulcsainak áttekintése: A leltár a Felhőhöz készült Defender csatlakoztatott erőforrások biztonsági állapotát jeleníti meg. A leltárból megtekintheti az adott gépen felderített titkos kulcsokat.
  • Titkos kódokra vonatkozó javaslatok áttekintése: Ha titkos kulcsok találhatók az objektumokon, a javaslatok a Felhőhöz készült Defender Javaslatok lapon található Biztonsági rések elhárítása biztonsági vezérlő alatt aktiválódnak. A javaslatok az alábbiak szerint aktiválódnak:
  • Tekintse át a titkos kulcsokat a Cloud Security Explorerrel. A felhőbiztonsági gráf lekérdezéséhez használja a Cloud Security Explorert. Létrehozhat saját lekérdezéseket, vagy használhatja az egyik beépített sablont a virtuálisgép-titkos kódok lekérdezéséhez a környezetében.
  • A támadási útvonalak áttekintése: A támadási útvonal elemzése megvizsgálja a felhőbeli biztonsági gráfot, hogy feltárja azokat a kihasználható útvonalakat, amelyeket a támadások a környezet megsértésére és a nagy hatású eszközök elérésére használhatnak. A virtuális gépek titkos kulcsainak vizsgálata számos támadási útvonalat támogat.

Biztonsági javaslatok

A következő virtuálisgép-titkos kulcsokra vonatkozó biztonsági javaslatok érhetők el:

  • Azure-erőforrások: A gépek titkos kulcsokkal kapcsolatos megállapításait meg kell oldani
  • AWS-erőforrások: Az EC2-példányok titkos kulcsokra vonatkozó megállapításait meg kell oldani
  • GCP-erőforrások: A virtuálisgép-példányoknak meg kell oldaniuk a titkos kulcsok felderítését

Támadási útvonal forgatókönyvei

A táblázat a támogatott támadási útvonalakat foglalja össze.

VM Támadási útvonalak
Azure A sebezhető sebezhető virtuális gép rendelkezik egy nem biztonságos SSH titkos kulccsal, amelyet a virtuális gép hitelesítésére használnak.
A sebezhető virtuális gép nem biztonságos titkos kódokkal rendelkezik, amelyeket a tárfiókok hitelesítésére használnak.
A sebezhető virtuális gép nem biztonságos titkos kódokkal rendelkezik, amelyeket a tárfiókok hitelesítésére használnak.
A sebezhető virtuális gép nem biztonságos titkos kódokkal rendelkezik, amelyeket az SQL Serveren való hitelesítéshez használnak.
AWS A sebezhető EC2-példány egy nem biztonságos SSH titkos kulccsal rendelkezik, amely egy EC2-példány hitelesítésére szolgál.
A sebezhető EC2-példány nem biztonságos titkos kóddal rendelkezik, amelyet egy tárfiók hitelesítésére használnak.
A sebezhető EC2-példány nem biztonságos titkos kódokkal rendelkezik, amelyeket egy AWS RDS-kiszolgáló hitelesítésére használnak.
A sebezhető EC2-példány nem biztonságos titkos kódokkal rendelkezik, amelyeket egy AWS RDS-kiszolgáló hitelesítésére használnak.
GCP A sebezhető GCP virtuálisgép-példány egy nem biztonságos SSH titkos kulccsal rendelkezik, amelyet a GCP virtuálisgép-példány hitelesítésére használnak.

Előre definiált Cloud Security Explorer-lekérdezések

Felhőhöz készült Defender ezeket az előre definiált lekérdezéseket tartalmazza a titkos kódok biztonsági problémáinak kivizsgálásához:

  • Olyan egyszerű szöveges titkos kóddal rendelkező virtuális gép, amely hitelesíthető egy másik virtuális géppel – Visszaadja az összes Olyan Azure-beli virtuális gépet, AWS EC2-példányt vagy GCP virtuálisgép-példányt, amely más virtuális gépekhez vagy EC2-ekhez is hozzáfér.
  • Egyszerű szöveges titkos kóddal rendelkező virtuális gép, amely hitelesítést végezhet egy tárfiókban – A tárfiókokhoz hozzáférő egyszerű szöveges titkos kóddal rendelkező összes Azure-beli virtuális gépet, AWS EC2-példányt vagy GCP virtuálisgép-példányt ad vissza
  • Egyszerű szöveges titkos kóddal rendelkező virtuális gép, amely hitelesíthető egy SQL-adatbázissal – Az SQL-adatbázisokhoz hozzáférő összes Azure-beli virtuális gépet, AWS EC2-példányt vagy GCP virtuálisgép-példányt ad vissza.

Hogyan hatékonyan enyhíteni a titkos kulcsokkal kapcsolatos problémákat?

Fontos, hogy képes legyen rangsorolni a titkos kulcsokat, és azonosítani azokat, amelyekre azonnali figyelmet kell fordítani. Ennek érdekében a Felhőhöz készült Defender a következő lehetőségeket nyújtja:

  • Részletes metaadatok biztosítása minden titkos kódhoz, például a fájlok utolsó hozzáférési idejéhez, a jogkivonat lejárati dátumához, annak jelzéséhez, hogy a titkos kulcsok által biztosított célerőforrás hozzáférést biztosít-e, és így tovább.
  • Titkos kulcsok metaadatainak kombinálása a felhőbeli eszközök környezetével. Ez segít abban, hogy az interneten közzétett vagy más bizalmas objektumokat veszélyeztető titkos kulcsokat tartalmazó eszközökkel kezdjen. A titkos kódok vizsgálatának megállapításai bele vannak foglalva a kockázatalapú javaslatok rangsorolásába.
  • Több nézetet is biztosít, amelyekkel rögzítheti a leggyakrabban talált titkos kulcsokat vagy titkos kulcsokat tartalmazó objektumokat.

Felhőbeli üzembehelyezési titkos kódok vizsgálata