Melindungi rahasia di Defender untuk Cloud
Microsoft Defender untuk Cloud membantu tim keamanan untuk meminimalkan risiko penyerang mengeksploitasi rahasia keamanan.
Setelah mendapatkan akses awal, penyerang dapat bergerak secara lateral di seluruh jaringan, menemukan data sensitif, dan mengeksploitasi kerentanan untuk merusak sistem informasi penting dengan mengakses penyebaran cloud, sumber daya, dan beban kerja yang menghadap internet. Gerakan lateral sering melibatkan ancaman info masuk yang biasanya mengeksploitasi data sensitif seperti kredensial dan rahasia yang terekspos seperti kata sandi, kunci, token, dan string koneksi untuk mendapatkan akses ke aset tambahan. Rahasia sering ditemukan dalam file, disimpan di disk VM, atau pada kontainer, di seluruh penyebaran multicloud. Rahasia yang diekspos terjadi karena sejumlah alasan:
- Kurangnya kesadaran: Organisasi mungkin tidak menyadari risiko dan konsekuensi dari paparan rahasia di lingkungan cloud mereka. Mungkin tidak ada kebijakan yang jelas tentang menangani dan melindungi rahasia dalam file kode dan konfigurasi.
- Kurangnya alat penemuan: Alat mungkin tidak tersedia untuk mendeteksi dan memulihkan kebocoran rahasia.
- Kompleksitas dan kecepatan: Pengembangan perangkat lunak modern kompleks dan serba cepat, mengandalkan beberapa platform cloud, perangkat lunak sumber terbuka, dan kode pihak ketiga. Pengembang mungkin menggunakan rahasia untuk mengakses dan mengintegrasikan sumber daya dan layanan di lingkungan cloud Mereka mungkin menyimpan rahasia di repositori kode sumber untuk kenyamanan dan penggunaan kembali. Ini dapat menyebabkan paparan rahasia yang tidak disengaja di repositori publik atau privat, atau selama transfer atau pemrosesan data.
- Trade-off antara keamanan dan kegunaan: Organisasi mungkin menyimpan rahasia yang terekspos di lingkungan cloud untuk kemudahan penggunaan, untuk menghindari kompleksitas dan latensi mengenkripsi dan mendekripsi data saat tidak aktif dan saat transit. Ini dapat membahayakan keamanan dan privasi data dan kredensial.
Defender untuk Cloud menyediakan pemindaian rahasia untuk komputer virtual, dan untuk penyebaran cloud, untuk mengurangi risiko gerakan lateral.
- Komputer virtual (VM): Pemindaian rahasia tanpa agen pada VM multicloud.
- Penyebaran cloud: Pemindaian rahasia tanpa agen di seluruh sumber daya penyebaran infrastruktur sebagai kode multicloud.
- Azure DevOps: Memindai untuk menemukan rahasia yang diekspos di Azure DevOps.
Prasyarat
Peran dan izin akses yang diperlukan:
Pembaca Keamanan
Admin Keamanan
Pembaca
Kontributor
- Pemilik
Menyebarkan pemindaian rahasia
Pemindaian rahasia disediakan sebagai fitur dalam paket Defender untuk Cloud:
- Pemindaian VM: Dilengkapi dengan paket Defender untuk Cloud Security Posture Management (CSPM), atau dengan Defender untuk Server Paket 2.
- Pemindaian sumber daya penyebaran cloud Disediakan dengan Defender CSPM.
- Pemindaian DevOps: Disediakan dengan Defender CSPM.
Meninjau temuan rahasia
Anda dapat meninjau dan menyelidiki temuan keamanan untuk rahasia dengan beberapa cara:
- Tinjau inventar persediaan aset. Di halaman Inventori, Anda bisa mendapatkan tampilan semua rahasia Anda.
- Tinjau rekomendasi rahasia: Di halaman Rekomendasi Defender untuk Cloud, Anda dapat meninjau dan memulihkan rekomendasi rahasia. Pelajari selengkapnya tentang Menyelidiki rekomendasi dan pemberitahuan.
- Menyelidiki wawasan keamanan: Anda dapat menggunakan penjelajah keamanan cloud untuk mengkueri grafik keamanan cloud. Anda dapat membuat kueri Anda sendiri, atau menggunakan templat kueri yang telah ditentukan sebelumnya.
- Gunakan jalur serangan: Anda dapat menggunakan jalur serangan untuk menyelidiki dan memulihkan risiko rahasia penting. Pelajari selengkapnya.
Dukungan penemuan
Defender untuk Cloud mendukung penemuan jenis rahasia yang dirangkum dalam tabel.
| Jenis rahasia | Penemuan rahasia VM | Penemuan rahasia penyebaran cloud | Tinjau lokasi |
|---|---|---|---|
| Kunci privat SSH tidak aman Mendukung algoritma RSA untuk file PuTTy. Standar PKCS#8 dan PKCS#1 Standar OpenSSH |
Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext Azure SQL string koneksi s mendukung SQL PAAS. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext Azure database for PostgreSQL. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Database Azure teks biasa untuk MySQL. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Database Azure plaintext untuk MariaDB. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext Azure Cosmos DB, termasuk PostgreSQL, MySQL, dan MariaDB. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Plaintext AWS RDS string koneksi mendukung SQL PAAS: Plaintext Amazon Aurora dengan rasa Postgres dan MySQL. RDS kustom Plaintext Amazon dengan rasa Oracle dan SQL Server. |
Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| String koneksi akun penyimpanan Azure Plaintext | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| String koneksi akun penyimpanan Plaintext Azure. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Token SAS akun penyimpanan Azure Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| Kunci akses AWS teks biasa. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| URL yang ditandatangani AWS S3 plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud, rekomendasi, jalur serangan |
| URL yang ditandatangani penyimpanan Google Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Rahasia Klien Azure AD Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Pribadi Plaintext Azure DevOps. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Pribadi GitHub Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure App Configuration Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Azure Cognitive Service Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kredensial Pengguna Azure AD Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure Container Registry Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kata Sandi Penyebaran Plaintext Azure App Service. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Pribadi Plaintext Azure Databricks. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure SignalR Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Langganan Plaintext Azure API Management. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Rahasia Kerangka Kerja Azure Bot Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API Layanan Web Pembelajaran Mesin Azure Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure Communication Services Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Plaintext Azure Event Grid. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Plaintext Amazon Marketplace Web Service (MWS). | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Langganan Plaintext Azure Maps. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Azure Web PubSub Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API OpenAI Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Bersama Azure Batch Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Token Penulis NPM Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Sertifikat Manajemen Langganan Azure Plaintext. | Ya | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API GCP Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kredensial AWS Redshift Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Privat Teks Biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| String koneksi ODBC teks biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kata sandi Umum teks biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kredensial masuk Pengguna Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Token pribadi Plaintext Travis. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Token akses Plaintext Slack. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Plaintext ASP.NET Machine Key. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Header Otorisasi HTTP Teks Biasa. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kata sandi Plaintext Azure Redis Cache. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Bersama Plaintext Azure IoT. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Rahasia Aplikasi Azure DevOps Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci API Fungsi Azure Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Kunci Akses Bersama Azure Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Tanda Tangan Akses Bersama Aplikasi Logika Azure Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Token Akses Azure Active Directory Plaintext. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |
| Plaintext Azure Bus Layanan Tanda Tangan Akses Bersama. | Tidak | Ya | Inventori, penjelajah keamanan cloud. |