Protezione dei segreti in Defender per il cloud
Microsoft Defender per il cloud aiuta il team di sicurezza a ridurre al minimo il rischio di attacchi che sfruttano i segreti di sicurezza.
Dopo aver ottenuto l'accesso iniziale, gli utenti malintenzionati possono spostarsi in un secondo momento tra reti, trovare dati sensibili e sfruttare le vulnerabilità per danneggiare i sistemi informativi critici accedendo a distribuzioni cloud, risorse e carichi di lavoro con connessione Internet. Lo spostamento laterale comporta spesso minacce per le credenziali che in genere sfruttano dati sensibili, ad esempio credenziali esposte e segreti, ad esempio password, chiavi, token e stringa di connessione per ottenere l'accesso ad asset aggiuntivi. I segreti vengono spesso trovati nei file, archiviati nei dischi delle macchine virtuali o nei contenitori nelle distribuzioni multicloud. I segreti esposti si verificano per diversi motivi:
- Mancanza di consapevolezza: le organizzazioni potrebbero non essere consapevoli dei rischi e delle conseguenze dell'esposizione dei segreti nel proprio ambiente cloud. Potrebbe non esserci un criterio chiaro sulla gestione e la protezione dei segreti nei file di codice e configurazione.
- Mancanza di strumenti di individuazione: gli strumenti potrebbero non essere disponibili per rilevare e correggere le perdite di segreti.
- Complessità e velocità: lo sviluppo di software moderno è complesso e veloce, basandosi su più piattaforme cloud, software open source e codice di terze parti. Gli sviluppatori possono usare segreti per accedere e integrare risorse e servizi in ambienti cloud. Potrebbero archiviare segreti nei repository di codice sorgente per praticità e riutilizzo. Ciò può causare un'esposizione accidentale dei segreti nei repository pubblici o privati o durante il trasferimento o l'elaborazione dei dati.
- Compromesso tra sicurezza e usabilità: le organizzazioni potrebbero mantenere i segreti esposti in ambienti cloud per facilitare l'uso, per evitare la complessità e la latenza della crittografia e della decrittografia dei dati inattivi e in transito. Ciò può compromettere la sicurezza e la privacy dei dati e delle credenziali.
Defender per il cloud fornisce l'analisi dei segreti per le macchine virtuali e per le distribuzioni cloud, per ridurre il rischio di spostamento laterale.
- Macchine virtuali (VM): analisi dei segreti senza agente nelle macchine virtuali multicloud.
- Distribuzioni cloud: analisi dei segreti senza agente tra risorse di distribuzione multicloud come codice.
- Azure DevOps: analisi per individuare i segreti esposti in Azure DevOps.
Distribuzione dell'analisi dei segreti
L'analisi dei segreti viene fornita come funzionalità nei piani di Defender per il cloud:
- Analisi delle macchine virtuali: fornita con Defender per il cloud piano CSPM (Security Posture Management) o con Defender per server piano 2.
- Analisi delle risorse di distribuzione cloud Fornita con Defender CSPM.
- Analisi DevOps: fornita con Defender CSPM.
Verifica dei risultati dei segreti
È possibile esaminare e analizzare i risultati della sicurezza per i segreti in due modi:
- Esaminare l'inventario degli asset. Nella pagina Inventario è possibile visualizzare tutti i segreti.
- Esaminare le raccomandazioni sui segreti: nella pagina Defender per il cloud Consigli è possibile esaminare e correggere le raccomandazioni sui segreti. Altre informazioni su Analizzare le raccomandazioni e gli avvisi.
- Esaminare le informazioni dettagliate sulla sicurezza: è possibile usare Esplora sicurezza cloud per eseguire query sul grafico della sicurezza cloud. È possibile creare query personalizzate o usare modelli di query predefiniti.
- Usare i percorsi di attacco: è possibile usare i percorsi di attacco per analizzare e correggere i rischi critici dei segreti. Altre informazioni.
Supporto per l'individuazione
Defender per il cloud supporta l'individuazione dei tipi di segreti riepilogati nella tabella.
| Tipo di segreti | Individuazione dei segreti della macchina virtuale | Individuazione dei segreti di distribuzione cloud | Esaminare la posizione |
|---|---|---|---|
| Chiavi private SSH non sicure Supporta l'algoritmo RSA per i file PuTTy. Standard PKCS#8 e PKCS#1 Standard OpenSSH |
Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| I stringa di connessione SQL di Azure in testo non crittografato supportano PAAS SQL. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Database di Azure in testo non crittografato per PostgreSQL. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Database di Azure in testo non crittografato per MySQL. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Database di Azure in testo non crittografato per MariaDB. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Testo non crittografato di Azure Cosmos DB, tra cui PostgreSQL, MySQL e MariaDB. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| AWS RDS in testo non crittografato stringa di connessione supporta il paAS SQL: Testo non crittografato Amazon Aurora con versioni Postgres e MySQL. Testo non crittografato amazon personalizzato di Servizi Desktop remoto con versioni oracle e SQL Server. |
Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Stringa di connessione dell'account di archiviazione di Azure in testo non crittografato | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Account di archiviazione di Azure non crittografato stringa di connessione. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Token di firma di accesso condiviso dell'account di archiviazione di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| Chiavi di accesso AWS in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| URL prefirmato di AWS S3 in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, raccomandazioni, percorsi di attacco |
| URL firmato di Google Storage in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Segreto client di Azure AD in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale di Azure DevOps in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale GitHub in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Testo non crittografato app Azure chiave di accesso alla configurazione. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave del servizio cognitivo di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Credenziali utente di Azure AD in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Testo non crittografato Registro Azure Container chiave di accesso. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Password di distribuzione del servizio app Azure testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale di Azure Databricks in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Azure SignalR in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di sottoscrizione di Azure Gestione API testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave privata di Azure Bot Framework in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API del servizio Web di Azure Machine Learning in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Testo non crittografato Servizi di comunicazione di Azure chiave di accesso. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Testo non crittografato Griglia di eventi di Azure chiave di accesso. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Amazon Marketplace Web Service (MWS) in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Testo non crittografato Mappe di Azure chiave di sottoscrizione. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso web pubsub di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API OpenAI in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure Batch in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di creazione NPM in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Certificato di gestione delle sottoscrizioni di Azure non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API GCP in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Credenziali di AWS Redshift in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave privata in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Stringa di connessione ODBC in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Password generale testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Credenziali di accesso utente in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token personale travis in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso Slack in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Testo non crittografato ASP.NET chiave del computer. | No | Sì | Inventario, Cloud Security Explorer. |
| Intestazione di autorizzazione HTTP in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Password di Cache Redis di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure IoT in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Segreto dell'app Azure DevOps in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave API della funzione di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Firma di accesso condiviso dell'app per la logica di Azure non crittografata. | No | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso di Azure Active Directory non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Testo non crittografato bus di servizio di Azure firma di accesso condiviso. | No | Sì | Inventario, Cloud Security Explorer. |
Contenuto correlato
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per