Condividi tramite

Protezione dei segreti di distribuzione cloud

  • Articolo

Microsoft Defender per il cloud fornisce l'analisi dei segreti senza agente per le distribuzioni cloud.

Che cos'è la distribuzione cloud?

La distribuzione cloud si riferisce al processo di distribuzione e gestione delle risorse nei provider di servizi cloud, ad esempio Azure e AWS su larga scala, usando strumenti come i modelli di Azure Resource Manager e lo stack AWS CloudFormation. In altre parole, una distribuzione cloud è un'istanza di un modello IaC (Infrastructure-as-Code).

Ogni cloud offre una query API e quando si eseguono query sulle API per le risorse di distribuzione cloud, in genere si recuperano metadati di distribuzione, ad esempio modelli di distribuzione, parametri, output e tag.

Sicurezza dallo sviluppo software al runtime

Le soluzioni di analisi dei segreti tradizionali spesso rilevano segreti non posizionati nei repository di codice, nelle pipeline di codice o nei file all'interno di macchine virtuali e contenitori. Le risorse di distribuzione cloud tendono a essere trascurate e potrebbero includere potenzialmente segreti in testo non crittografato che possono causare asset critici, ad esempio database, archiviazione BLOB, repository GitHub e servizi OpenAI di Azure. Questi segreti possono consentire agli utenti malintenzionati di sfruttare le superfici di attacco nascoste all'interno di ambienti cloud.

L'analisi dei segreti di distribuzione cloud aggiunge un ulteriore livello di sicurezza, risolvendo scenari come:

  • Maggiore copertura della sicurezza: in Defender per il cloud, le funzionalità di sicurezza DevOps in Defender per il cloud possono identificare i segreti esposti all'interno delle piattaforme di gestione del controllo del codice sorgente. Tuttavia, le distribuzioni cloud attivate manualmente dalla workstation di uno sviluppatore possono causare segreti esposti che potrebbero essere trascurati. Alcuni segreti potrebbero anche essere visualizzati solo durante il runtime di distribuzione, come quelli rivelati negli output di distribuzione o risolti da Azure Key Vault. L'analisi dei segreti di distribuzione cloud consente di colmare questo divario.
  • Prevenzione dello spostamento laterale: l'individuazione di segreti esposti all'interno delle risorse di distribuzione comporta un rischio significativo di accesso non autorizzato.
    • Gli attori delle minacce possono sfruttare queste vulnerabilità per attraversare in modo successivo in un ambiente, compromettendo infine i servizi critici
    • L'analisi del percorso di attacco con l'analisi dei segreti di distribuzione cloud individua automaticamente i percorsi di attacco che coinvolgono una distribuzione di Azure che potrebbe causare una violazione dei dati sensibili.
  • Individuazione delle risorse: l'impatto delle risorse di distribuzione configurate in modo errato può essere esteso, causando la creazione di nuove risorse in una superficie di attacco in espansione.
    • Il rilevamento e la protezione dei segreti all'interno dei dati del piano di controllo delle risorse possono aiutare a prevenire potenziali violazioni.
    • L'indirizzamento dei segreti esposti durante la creazione di risorse può essere particolarmente complesso.
    • L'analisi dei segreti di distribuzione cloud consente di identificare e attenuare queste vulnerabilità in una fase iniziale.

L'analisi consente di rilevare rapidamente i segreti in testo non crittografato nelle distribuzioni cloud. Se vengono rilevati segreti Defender per il cloud può aiutare il team di sicurezza a classificare in ordine di priorità l'azione e correggere per ridurre al minimo il rischio di spostamento laterale.

Come funziona l'analisi dei segreti di distribuzione cloud?

L'analisi consente di rilevare rapidamente i segreti in testo non crittografato nelle distribuzioni cloud. L'analisi dei segreti per le risorse di distribuzione cloud è senza agente e usa l'API del piano di controllo cloud.

Il motore di analisi dei segreti Microsoft verifica se le chiavi private SSH possono essere usate per spostarsi in un secondo momento nella rete.

  • Le chiavi SSH non verificate correttamente vengono classificate come non verificate nella pagina Defender per il cloud Consigli.
  • Le directory riconosciute come contenenti contenuto correlato al test vengono escluse dall'analisi.

Che cos'è supportato?

L'analisi delle risorse di distribuzione cloud rileva i segreti in testo non crittografato. L'analisi è disponibile quando si usa il piano CSPM (Defender Cloud Security Posture Management). Sono supportate la distribuzione cloud di Azure e AWS. Esaminare l'elenco dei segreti che Defender per il cloud è possibile individuare.

Ricerca per categorie l'identità e correggere i problemi relativi ai segreti?

Esistono diversi modi:

  • Esaminare i segreti nell'inventario degli asset: l'inventario mostra lo stato di sicurezza delle risorse connesse a Defender per il cloud. Dall'inventario è possibile visualizzare i segreti individuati in un computer specifico.
  • Esaminare le raccomandazioni sui segreti: quando i segreti vengono trovati negli asset, viene attivata una raccomandazione nel controllo di sicurezza Correggere le vulnerabilità nella pagina Defender per il cloud Consigli.

Suggerimenti per la sicurezza

Sono disponibili le raccomandazioni di sicurezza per la sicurezza dei segreti di distribuzione cloud seguenti:

  • Risorse di Azure: le distribuzioni di Azure Resource Manager devono avere i risultati dei segreti risolti.
  • Risorse AWS: AWS CloudFormation Stack deve avere i risultati dei segreti risolti.

Scenari di percorsi di attacco

L'analisi del percorso di attacco è un algoritmo basato su grafo che analizza il grafico della sicurezza cloud per esporre percorsi sfruttabili che gli utenti malintenzionati possono usare per raggiungere asset ad alto impatto.

Query predefinite di Cloud Security Explorer

Cloud Security Explorer consente di identificare in modo proattivo potenziali rischi per la sicurezza all'interno dell'ambiente cloud. A tale scopo, eseguire una query sul grafico della sicurezza cloud. Creare query selezionando i tipi di risorse di distribuzione cloud e i tipi di segreti da trovare.

Contenuto correlato

Analisi dei segreti delle macchine virtuali.