Delen via


VM-geheimen beveiligen

Defender voor Cloud biedt het scannen van geheimen zonder agent voor virtuele machines. Met scannen kunt u snel geheimen detecteren, prioriteren en herstellen. Geheimendetectie kan een breed scala aan geheimentypen identificeren, zoals tokens, wachtwoorden, sleutels of referenties, die zijn opgeslagen in verschillende typen bestanden op het bestandssysteem van het besturingssysteem.

Defender voor Cloud's scannen op geheimen zonder agent voor virtuele machines (VM) zoekt naar geheimen zonder opmaak die in uw omgeving aanwezig zijn. Als er geheimen worden gedetecteerd, kan Defender voor Cloud uw beveiligingsteam helpen om prioriteiten te stellen en actie te ondernemen om het risico op laterale verplaatsing te minimaliseren, allemaal zonder dat dit van invloed is op de prestaties van uw machine.

Hoe werkt het scannen van VM-geheimen?

Geheimen scannen op VM's is zonder agent en maakt gebruik van cloud-API's.

  1. Met scannen worden momentopnamen van schijven vastgelegd en geanalyseerd, zonder dat dit van invloed is op de prestaties van de VIRTUELE machine.
  2. Nadat de Scan-engine voor Geheimen van Microsoft geheimen metagegevens van de schijf verzamelt, worden deze verzonden naar Defender voor Cloud.
  3. De scanengine voor geheimen controleert of persoonlijke SSH-sleutels kunnen worden gebruikt om lateraal in uw netwerk te worden verplaatst.
    • SSH-sleutels die niet zijn geverifieerd, worden gecategoriseerd als niet-geverifieerd op de pagina Defender voor Cloud Aanbevelingen.
    • Mappen die worden herkend als die testgerelateerde inhoud bevatten, worden uitgesloten van scannen.

Wat wordt er ondersteund?

Scannen van VM-geheimen is beschikbaar wanneer u Defender for Servers Plan 2 of Defender Cloud Security Posture Management (CSPM) gebruikt. Scannen van VM-geheimen kan virtuele Azure-machines scannen en AWS/GCP-exemplaren die zijn onboarding uitgevoerd voor Defender voor Cloud. Bekijk de geheimen die kunnen worden gedetecteerd door Defender voor Cloud.

Hoe beperkt scannen van VM-geheimen het risico?

Geheimen scannen helpt bij het verminderen van risico's met de volgende oplossingen:

  • Geheimen elimineren die niet nodig zijn.
  • Het principe van minimale bevoegdheden toepassen.
  • Het verbeteren van de beveiliging van geheimen met behulp van geheimenbeheersystemen zoals Azure Key Vault.
  • Gebruik van kortdurende geheimen, zoals het vervangen van Azure Storage-verbindingsreeks s met SAS-tokens die kortere geldigheidsperioden hebben.

Hoe kan ik identiteit en problemen met geheimen oplossen?

Er zijn verschillende manieren. Niet elke methode wordt ondersteund voor elk geheim. Bekijk de lijst met ondersteunde geheimen voor meer informatie.

  • Geheimen controleren in de inventaris van assets: De inventaris toont de beveiligingsstatus van resources die zijn verbonden met Defender voor Cloud. Vanuit de inventaris kunt u de geheimen bekijken die zijn gedetecteerd op een specifieke computer.
  • Aanbevelingen voor geheimen controleren: wanneer geheimen op assets worden gevonden, wordt een aanbeveling geactiveerd onder het beveiligingsbeheer beveiligingsproblemen herstellen op de pagina Defender voor Cloud Aanbevelingen. Aanbevelingen worden als volgt geactiveerd:
  • Geheimen controleren met Cloud Security Explorer. Gebruik Cloud Security Explorer om een query uit te voeren op de cloudbeveiligingsgrafiek. U kunt uw eigen query's bouwen of een van de ingebouwde sjablonen gebruiken om query's uit te voeren op VM-geheimen in uw omgeving.
  • Aanvalspaden bekijken: Analyse van aanvalspaden scant de cloudbeveiligingsgrafiek om exploiteerbare paden beschikbaar te maken die aanvallen kunnen gebruiken om uw omgeving te schenden en assets met een hoge impact te bereiken. Scannen van VM-geheimen ondersteunt een aantal scenario's voor aanvalspaden.

Aanbevelingen voor beveiliging

De volgende aanbevelingen voor beveiliging van VM-geheimen zijn beschikbaar:

  • Azure-resources: op machines moeten geheimen zijn opgelost
  • AWS-resources: EC2-exemplaren moeten geheimen hebben opgelost
  • GCP-resources: VM-exemplaren moeten geheimen hebben opgelost

Scenario's voor aanvalspaden

De tabel bevat een overzicht van ondersteunde aanvalspaden.

VM Aanvalspaden
Azure Blootgestelde kwetsbare VM heeft een onveilige persoonlijke SSH-sleutel die wordt gebruikt voor verificatie bij een VIRTUELE machine.
Blootgestelde kwetsbare VM heeft onveilige geheimen die worden gebruikt om te verifiëren bij een opslagaccount.
Kwetsbare VM heeft onveilige geheimen die worden gebruikt voor verificatie bij een opslagaccount.
Blootgestelde kwetsbare VM heeft onveilige geheimen die worden gebruikt om te verifiëren bij een SQL-server.
AWS Kwetsbaar EC2-exemplaar heeft een onveilige persoonlijke SSH-sleutel die wordt gebruikt om te verifiëren bij een EC2-exemplaar.
Blootgesteld kwetsbaar EC2-exemplaar heeft een onveilig geheim dat wordt gebruikt voor verificatie bij een opslagaccount.
Kwetsbaar EC2-exemplaar heeft onveilige geheimen die worden gebruikt voor verificatie bij een AWS RDS-server.
Het kwetsbare EC2-exemplaar heeft onveilige geheimen die worden gebruikt voor verificatie bij een AWS RDS-server.
GCP Kwetsbaar GCP VM-exemplaar heeft een onveilige persoonlijke SSH-sleutel die wordt gebruikt om te verifiëren bij een GCP VM-exemplaar.

Vooraf gedefinieerde cloudbeveiligingsverkenner-query's

Defender voor Cloud biedt deze vooraf gedefinieerde query's voor het onderzoeken van beveiligingsproblemen met geheimen:

  • VM met geheim zonder opmaak dat kan worden geverifieerd bij een andere VIRTUELE machine: retourneert alle Azure-VM's, AWS EC2-exemplaren of GCP VM-exemplaren met geheim zonder tekst dat toegang heeft tot andere VM's of EC2's.
  • VM met geheim zonder opmaak dat kan worden geverifieerd bij een opslagaccount: retourneert alle Azure-VM's, AWS EC2-exemplaren of GCP VM-exemplaren met een geheim zonder tekst dat toegang heeft tot opslagaccounts
  • VM met geheim zonder opmaak dat kan worden geverifieerd bij een SQL-database: retourneert alle Azure-VM's, AWS EC2-exemplaren of GCP VM-exemplaren met een geheim zonder tekst dat toegang heeft tot SQL-databases.

Hoe kan ik geheimen effectief beperken?

Het is belangrijk om prioriteit te kunnen geven aan geheimen en te bepalen welke geheimen onmiddellijk aandacht nodig hebben. Om u te helpen dit te doen, biedt Defender voor Cloud het volgende:

  • Het verstrekken van uitgebreide metagegevens voor elk geheim, zoals de laatste toegangstijd voor een bestand, een vervaldatum van een token, een indicatie of de doelresource waartoe de geheimen toegang bieden, bestaat en meer.
  • Het combineren van metagegevens van geheimen met de context van cloudassets. Dit helpt u om te beginnen met assets die beschikbaar zijn voor internet of geheimen bevatten die andere gevoelige assets kunnen in gevaar kunnen komen. Bevindingen voor het scannen van geheimen worden opgenomen in prioriteitstelling op basis van risico's.
  • Het bieden van meerdere weergaven om u te helpen de meestal gevonden geheimen of assets met geheimen vast te stellen.

Scannen van geheimen voor cloudimplementatie