Bagikan melalui


Melindungi rahasia VM

Defender untuk Cloud menyediakan pemindaian rahasia tanpa agen untuk komputer virtual. Pemindaian membantu Anda mendeteksi, memprioritaskan, dan memulihkan rahasia yang terekspos dengan cepat. Deteksi rahasia dapat mengidentifikasi berbagai jenis rahasia, seperti token, kata sandi, kunci, atau kredensial, yang disimpan dalam berbagai jenis file pada sistem file OS.

Defender untuk Cloud pemindaian rahasia tanpa agen untuk Virtual Machines (VM) menemukan rahasia teks biasa yang ada di lingkungan Anda. Jika rahasia terdeteksi, Defender untuk Cloud dapat membantu tim keamanan Anda untuk memprioritaskan dan mengambil langkah-langkah remediasi yang dapat ditindaklanjuti untuk meminimalkan risiko gerakan lateral, semuanya tanpa memengaruhi performa komputer Anda.

Bagaimana cara kerja pemindaian rahasia VM?

Pemindaian rahasia untuk VM tidak memiliki agen dan menggunakan API cloud.

  1. Pemindaian mengambil rekam jepret disk dan menganalisisnya, tanpa berdampak pada performa VM.
  2. Setelah mesin pemindaian rahasia Microsoft mengumpulkan metadata rahasia dari disk, mesin tersebut mengirimkannya ke Defender untuk Cloud.
  3. Mesin pemindaian rahasia memverifikasi apakah kunci privat SSH dapat digunakan untuk bergerak secara lateral di jaringan Anda.
    • Kunci SSH yang tidak berhasil diverifikasi dikategorikan sebagai tidak diverifikasi di halaman Rekomendasi Defender untuk Cloud.
    • Direktori yang diakui berisi konten terkait pengujian dikecualikan dari pemindaian.

Apa yang didukung?

Pemindaian rahasia VM tersedia saat Anda menggunakan Defender untuk Server Paket 2 atau Defender Cloud Security Posture Management (CSPM). Pemindaian rahasia VM dapat memindai Azure VM, dan instans AWS/GCP yang di-onboarding ke Defender untuk Cloud. Tinjau rahasia yang dapat ditemukan oleh Defender untuk Cloud.

Bagaimana rahasia VM memindai risiko mitigasi?

Pemindaian rahasia membantu mengurangi risiko dengan mitigasi berikut:

  • Menghilangkan rahasia yang tidak diperlukan.
  • Menerapkan prinsip hak istimewa paling sedikit.
  • Memperkuat keamanan rahasia dengan menggunakan sistem manajemen rahasia seperti Azure Key Vault.
  • Menggunakan rahasia berumur pendek seperti mengganti string koneksi Azure Storage dengan token SAS yang memiliki periode validitas yang lebih pendek.

Bagaimana cara mengidentifikasi dan memulihkan masalah rahasia?

Ada beberapa cara. Tidak setiap metode didukung untuk setiap rahasia. Tinjau daftar rahasia yang didukung untuk detail selengkapnya.

  • Tinjau rahasia dalam inventaris aset: Inventori menunjukkan status keamanan sumber daya yang terhubung ke Defender untuk Cloud. Dari inventori, Anda dapat melihat rahasia yang ditemukan pada komputer tertentu.
  • Tinjau rekomendasi rahasia: Ketika rahasia ditemukan pada aset, rekomendasi dipicu di bawah kontrol keamanan Kerentanan Remediasi di halaman Rekomendasi Defender untuk Cloud. Rekomendasi dipicu sebagai berikut:
  • Tinjau rahasia dengan penjelajah keamanan cloud. Gunakan penjelajah keamanan cloud untuk mengkueri grafik keamanan cloud. Anda dapat membuat kueri Anda sendiri, atau menggunakan salah satu templat bawaan untuk mengkueri rahasia VM di seluruh lingkungan Anda.
  • Tinjau jalur serangan: Analisis jalur serangan memindai grafik keamanan cloud untuk mengekspos jalur yang dapat dieksploitasi yang mungkin digunakan serangan untuk melanggar lingkungan Anda dan mencapai aset berdampak tinggi. Pemindaian rahasia VM mendukung sejumlah skenario jalur serangan.

Rekomendasi keamanan

Rekomendasi keamanan rahasia VM berikut tersedia:

  • Sumber daya Azure: Komputer harus menyelesaikan temuan rahasia
  • Sumber daya AWS: Instans EC2 harus menyelesaikan temuan rahasia
  • Sumber daya GCP: Instans VM harus memiliki temuan rahasia yang diselesaikan

Skenario jalur serangan

Tabel ini meringkas jalur serangan yang didukung.

Komputer Virtual Jalur serangan
Azure VM Rentan terekspos memiliki kunci privat SSH yang tidak aman yang digunakan untuk mengautentikasi ke VM.
VM Rentan yang Terekspos memiliki rahasia yang tidak aman yang digunakan untuk mengautentikasi ke akun penyimpanan.
VM yang rentan memiliki rahasia yang tidak aman yang digunakan untuk mengautentikasi ke akun penyimpanan.
VM Rentan yang Terekspos memiliki rahasia yang tidak aman yang digunakan untuk mengautentikasi ke server SQL.
AWS Instans EC2 Yang Rentan Terekspos memiliki kunci privat SSH yang tidak aman yang digunakan untuk mengautentikasi ke instans EC2.
Instans EC2 Yang Rentan Terekspos memiliki rahasia yang tidak aman yang digunakan untuk mengautentikasi ke akun penyimpanan.
Instans EC2 Yang Rentan Terekspos memiliki rahasia yang tidak aman yang digunakan untuk mengautentikasi ke server AWS RDS.
Instans EC2 yang rentan memiliki rahasia yang tidak aman yang digunakan untuk mengautentikasi ke server AWS RDS.
GCP Instans VM GCP Yang Rentan Terekspos memiliki kunci privat SSH yang tidak aman yang digunakan untuk mengautentikasi ke instans VM GCP.

Kueri penjelajah keamanan cloud yang telah ditentukan sebelumnya

Defender untuk Cloud menyediakan kueri yang telah ditentukan sebelumnya ini untuk menyelidiki masalah keamanan rahasia:

  • VM dengan rahasia teks biasa yang dapat mengautentikasi ke VM lain - Mengembalikan semua instans Azure VM, AWS EC2, atau VM GCP dengan rahasia teks biasa yang dapat mengakses VM atau EC2 lainnya.
  • VM dengan rahasia teks biasa yang dapat mengautentikasi ke akun penyimpanan - Mengembalikan semua instans Azure VM, AWS EC2, atau VM GCP dengan rahasia teks biasa yang dapat mengakses akun penyimpanan
  • VM dengan rahasia teks biasa yang dapat mengautentikasi ke database SQL - Mengembalikan semua VM Azure, instans AWS EC2, atau instans VM GCP dengan rahasia teks biasa yang dapat mengakses database SQL.

Bagaimana cara mengurangi masalah rahasia secara efektif?

Penting untuk dapat memprioritaskan rahasia dan mengidentifikasi rahasia mana yang membutuhkan perhatian segera. Untuk membantu Anda melakukan ini, Defender untuk Cloud menyediakan:

  • Menyediakan metadata yang kaya untuk setiap rahasia, seperti waktu akses terakhir untuk file, tanggal kedaluwarsa token, indikasi apakah sumber daya target yang disediakan rahasia akses ke ada, dan banyak lagi.
  • Menggabungkan metadata rahasia dengan konteks aset cloud. Ini membantu Anda memulai dengan aset yang terekspos ke internet, atau berisi rahasia yang mungkin membahayakan aset sensitif lainnya. Temuan pemindaian rahasia dimasukkan ke dalam prioritas rekomendasi berbasis risiko.
  • Menyediakan beberapa tampilan untuk membantu Anda menentukan rahasia yang paling umum ditemukan, atau aset yang berisi rahasia.

Pemindaian rahasia penyebaran cloud