Ochrona wpisów tajnych maszyn wirtualnych
Defender dla Chmury zapewnia skanowanie wpisów tajnych bez agenta dla maszyn wirtualnych. Skanowanie ułatwia szybkie wykrywanie, określanie priorytetów i korygowanie ujawnionych wpisów tajnych. Wykrywanie wpisów tajnych może identyfikować szeroką gamę typów wpisów tajnych, takich jak tokeny, hasła, klucze lub poświadczenia, przechowywane w różnych typach plików w systemie plików systemu operacyjnego.
Defender dla Chmury bez agentów wpisy tajne skanowania maszyn wirtualnych lokalizują wpisy tajne w postaci zwykłego tekstu, które istnieją w danym środowisku. Jeśli wpisy tajne zostaną wykryte, Defender dla Chmury może pomóc zespołowi ds. zabezpieczeń w określaniu priorytetów i podjęciu kroków korygowania możliwych do podjęcia działań w celu zminimalizowania ryzyka przenoszenia bocznego, a wszystko to bez wpływu na wydajność maszyny.
Jak działa skanowanie wpisów tajnych maszyn wirtualnych?
Wpisy tajne skanowane pod kątem maszyn wirtualnych są bez agenta i używają interfejsów API w chmurze.
- Skanowanie przechwytuje migawki dysków i analizuje je bez wpływu na wydajność maszyny wirtualnej.
- Gdy aparat skanowania wpisów tajnych firmy Microsoft zbiera metadane wpisów tajnych z dysku, wysyła je do Defender dla Chmury.
- Aparat skanowania wpisów tajnych sprawdza, czy można używać kluczy prywatnych SSH do późniejszego przenoszenia w sieci.
- Klucze SSH, które nie zostały pomyślnie zweryfikowane, są klasyfikowane jako niezweryfikowane na stronie Defender dla Chmury Rekomendacje.
- Katalogi rozpoznawane jako zawierające zawartość związaną z testami są wykluczone ze skanowania.
Co jest obsługiwane?
Skanowanie wpisów tajnych maszyn wirtualnych jest dostępne w przypadku korzystania z usługi Defender for Servers (Plan 2) lub Defender Cloud Security Posture Management (CSPM). Skanowanie wpisów tajnych maszyn wirtualnych umożliwia skanowanie maszyn wirtualnych platformy Azure oraz dołączanych wystąpień platformy AWS/GCP do Defender dla Chmury. Przejrzyj wpisy tajne, które można odnaleźć za pomocą Defender dla Chmury.
Jak skanowanie wpisów tajnych maszyn wirtualnych zmniejsza ryzyko?
Skanowanie wpisów tajnych pomaga zmniejszyć ryzyko przy użyciu następujących środków zaradczych:
- Eliminowanie wpisów tajnych, które nie są potrzebne.
- Stosowanie zasady najniższych uprawnień.
- Wzmacnianie zabezpieczeń wpisów tajnych przy użyciu systemów zarządzania wpisami tajnymi, takich jak usługa Azure Key Vault.
- Używanie krótkożytnych wpisów tajnych, takich jak podstawianie parametry połączenia usługi Azure Storage z tokenami SAS, które mają krótsze okresy ważności.
Jak mogę tożsamości i korygowania problemów z wpisami tajnymi?
Istnieje wiele sposobów. Nie każda metoda jest obsługiwana dla każdego wpisu tajnego. Przejrzyj listę obsługiwanych wpisów tajnych, aby uzyskać więcej informacji.
- Przejrzyj wpisy tajne w spisie zasobów: spis pokazuje stan zabezpieczeń zasobów połączonych z Defender dla Chmury. Ze spisu można wyświetlić wpisy tajne odnalezione na określonej maszynie.
- Przejrzyj zalecenia dotyczące wpisów tajnych: po znalezieniu wpisów tajnych w zasobach zalecenie jest wyzwalane w obszarze Korygowanie kontroli zabezpieczeń luk w zabezpieczeniach na stronie Defender dla Chmury Rekomendacje. Rekomendacje są wyzwalane w następujący sposób:
- Przejrzyj wpisy tajne za pomocą eksploratora zabezpieczeń w chmurze. Użyj eksploratora zabezpieczeń w chmurze, aby wysłać zapytanie do grafu zabezpieczeń w chmurze. Możesz tworzyć własne zapytania lub używać jednego z wbudowanych szablonów do wykonywania zapytań dotyczących wpisów tajnych maszyn wirtualnych w całym środowisku.
- Przejrzyj ścieżki ataków: Analiza ścieżki ataku skanuje wykres zabezpieczeń w chmurze w celu uwidaczniania ścieżek, które mogą być używane do ataków w celu naruszenia środowiska i uzyskiwania dostępu do zasobów o dużym wpływie. Skanowanie wpisów tajnych maszyn wirtualnych obsługuje wiele scenariuszy ścieżki ataku.
Zalecenia dotyczące zabezpieczeń
Dostępne są następujące zalecenia dotyczące zabezpieczeń wpisów tajnych maszyn wirtualnych:
- Zasoby platformy Azure: maszyny powinny mieć rozpoznane wyniki wpisów tajnych
- Zasoby platformy AWS: wystąpienia usługi EC2 powinny mieć rozpoznane wyniki wpisów tajnych
- Zasoby GCP: wystąpienia maszyn wirtualnych powinny mieć rozpoznane wyniki wpisów tajnych
Scenariusze ścieżki ataku
Tabela zawiera podsumowanie obsługiwanych ścieżek ataków.
| VM | Ścieżki ataków |
|---|---|
| Azure | Uwidoczniona podatna na zagrożenia maszyna wirtualna ma niezabezpieczony klucz prywatny SSH używany do uwierzytelniania na maszynie wirtualnej. Ujawniona podatna na zagrożenia maszyna wirtualna ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na koncie magazynu. Podatna na zagrożenia maszyna wirtualna ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na koncie magazynu. Ujawniona podatna na zagrożenia maszyna wirtualna ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na serwerze SQL. |
| AWS | Uwidocznione wystąpienie narażone na zagrożenia EC2 ma niezabezpieczony klucz prywatny SSH używany do uwierzytelniania w wystąpieniu usługi EC2. Uwidocznione wystąpienie narażone na zagrożenia EC2 ma niezabezpieczony wpis tajny używany do uwierzytelniania na koncie magazynu. Uwidocznione wystąpienie usługi EC2 narażone na zagrożenia ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na serwerze usług pulpitu zdalnego platformy AWS. Wystąpienie usługi EC2 podatne na zagrożenia ma niezabezpieczone wpisy tajne, które są używane do uwierzytelniania na serwerze usług pulpitu zdalnego platformy AWS. |
| GCP | Uwidocznione narażone wystąpienie maszyny wirtualnej GCP ma niezabezpieczony klucz prywatny SSH używany do uwierzytelniania w wystąpieniu maszyny wirtualnej GCP. |
Wstępnie zdefiniowane zapytania eksploratora zabezpieczeń w chmurze
Defender dla Chmury udostępnia te wstępnie zdefiniowane zapytania dotyczące badania problemów z zabezpieczeniami wpisów tajnych:
- Maszyna wirtualna z wpisem tajnym w postaci zwykłego tekstu, która może uwierzytelniać się na innej maszynie wirtualnej — zwraca wszystkie maszyny wirtualne platformy Azure, wystąpienia usługi AWS EC2 lub wystąpienia maszyn wirtualnych GCP z wpisem tajnym w postaci zwykłego tekstu, które mogą uzyskiwać dostęp do innych maszyn wirtualnych lub ec2s.
- Maszyna wirtualna z wpisem tajnym w postaci zwykłego tekstu, która może uwierzytelniać się na koncie magazynu — zwraca wszystkie maszyny wirtualne platformy Azure, wystąpienia usługi AWS EC2 lub wystąpienia maszyn wirtualnych GCP z wpisem tajnym w postaci zwykłego tekstu, które mogą uzyskiwać dostęp do kont magazynu
- Maszyna wirtualna z wpisem tajnym w postaci zwykłego tekstu, która może uwierzytelniać się w bazie danych SQL — zwraca wszystkie maszyny wirtualne platformy Azure, wystąpienia usługi AWS EC2 lub wystąpienia maszyn wirtualnych GCP z wpisem tajnym w postaci zwykłego tekstu, który może uzyskiwać dostęp do baz danych SQL.
Jak mogę skutecznie rozwiązywać problemy z wpisami tajnymi?
Ważne jest, aby móc ustalić priorytety wpisów tajnych i określić, które z nich wymagają natychmiastowej uwagi. Aby to zrobić, Defender dla Chmury zapewnia:
- Udostępnianie zaawansowanych metadanych dla każdego wpisu tajnego, takiego jak czas ostatniego dostępu do pliku, data wygaśnięcia tokenu, wskazanie, czy zasób docelowy, do którego wpisy tajne zapewniają dostęp, i nie tylko.
- Łączenie metadanych wpisów tajnych z kontekstem zasobów w chmurze. Ułatwia to rozpoczęcie pracy z elementami zawartości udostępnianymi w Internecie lub wpisami tajnymi, które mogą naruszyć bezpieczeństwo innych poufnych zasobów. Wpisy tajne skanujące wyniki są uwzględniane w priorytetyzacji zaleceń opartych na ryzyku.
- Udostępnianie wielu widoków ułatwiających wskazanie najczęściej znalezionych wpisów tajnych lub zasobów zawierających wpisy tajne.