Ochrona wpisów tajnych w Defender dla Chmury
Microsoft Defender dla Chmury pomaga zespołowi ds. zabezpieczeń zminimalizować ryzyko wykorzystania wpisów tajnych zabezpieczeń przez osoby atakujące.
Po uzyskaniu dostępu początkowego osoby atakujące mogą przechodzić między sieciami, znajdować poufne dane i wykorzystywać luki w zabezpieczeniach, aby uszkodzić krytyczne systemy informacyjne, uzyskując dostęp do wdrożeń, zasobów i obciążeń w chmurze. Przenoszenie boczne często wiąże się z zagrożeniami poświadczeń, które zwykle wykorzystują poufne dane, takie jak ujawnione poświadczenia i wpisy tajne, takie jak hasła, klucze, tokeny i parametry połączenia w celu uzyskania dostępu do dodatkowych zasobów. Wpisy tajne są często spotykane w plikach, przechowywanych na dyskach maszyn wirtualnych lub w kontenerach we wdrożeniach wielochmurowych. Ujawnione wpisy tajne występują z wielu powodów:
- Brak świadomości: Organizacje mogą nie być świadomi ryzyka i konsekwencji ujawnienia wpisów tajnych w środowisku chmury. Nie ma wyraźnych zasad dotyczących obsługi i ochrony wpisów tajnych w plikach kodu i konfiguracji.
- Brak narzędzi odnajdywania: Narzędzia mogą nie być dostępne do wykrywania i korygowania wycieków wpisów tajnych.
- Złożoność i szybkość: Nowoczesne tworzenie oprogramowania jest złożone i szybkie, oparte na wielu platformach w chmurze, oprogramowaniu open source i kodzie innej firmy. Deweloperzy mogą używać wpisów tajnych do uzyskiwania dostępu do zasobów i usług i usług w środowiskach w chmurze, które mogą przechowywać wpisy tajne w repozytoriach kodu źródłowego w celu wygody i ponownego użycia. Może to prowadzić do przypadkowego ujawnienia wpisów tajnych w repozytoriach publicznych lub prywatnych albo podczas transferu lub przetwarzania danych.
- Kompromis między zabezpieczeniami i użytecznością: Organizacje mogą przechowywać wpisy tajne uwidocznione w środowiskach chmurowych w celu ułatwienia użycia, aby uniknąć złożoności i opóźnień szyfrowania i odszyfrowywania danych magazynowanych i przesyłanych. Może to naruszyć bezpieczeństwo i prywatność danych i poświadczeń.
Defender dla Chmury zapewnia skanowanie wpisów tajnych dla maszyn wirtualnych i wdrożeń w chmurze w celu zmniejszenia ryzyka przenoszenia bocznego.
- Maszyny wirtualne: wpisy tajne bez agenta skanowane na maszynach wirtualnych z wieloma chmurami.
- Wdrożenia w chmurze: wpisy tajne bez agenta skanujące w zasobach wdrażania infrastruktury jako kodu w wielu chmurach.
- Azure DevOps: skanowanie w celu odnalezienia uwidocznionych wpisów tajnych w usłudze Azure DevOps.
Wymagania wstępne
Wymagane role i uprawnienia:
Czytelnik zabezpieczeń
Administrator zabezpieczeń
Czytelnik
Współautor
- Właściciel
Wdrażanie skanowania wpisów tajnych
Skanowanie wpisów tajnych jest udostępniane jako funkcja w planach Defender dla Chmury:
- Skanowanie maszyn wirtualnych: dostępne z planem zarządzania stanem zabezpieczeń Defender dla Chmury (CSPM) lub z usługą Defender for Servers (plan 2).
- Skanowanie zasobów wdrożenia w chmurze Dostarczone z CSPM w usłudze Defender.
- Skanowanie metodyki DevOps: dostarczane z CSPM w usłudze Defender.
Przeglądanie wyników wpisów tajnych
Możesz przejrzeć i zbadać wyniki zabezpieczeń dla wpisów tajnych na kilka sposobów:
- Przejrzyj spis zasobów. Na stronie Spis możesz uzyskać widok wszystkich wpisów tajnych.
- Przejrzyj zalecenia dotyczące wpisów tajnych: na stronie zalecenia dotyczące Defender dla Chmury możesz przejrzeć i skorygować zalecenia dotyczące wpisów tajnych. Dowiedz się więcej na temat badania zaleceń i alertów.
- Badanie szczegółowych informacji o zabezpieczeniach: możesz użyć eksploratora zabezpieczeń w chmurze do wykonywania zapytań względem grafu zabezpieczeń w chmurze. Możesz tworzyć własne zapytania lub używać wstępnie zdefiniowanych szablonów zapytań.
- Użyj ścieżek ataków: możesz użyć ścieżek ataku, aby zbadać i skorygować krytyczne wpisy tajne. Dowiedz się więcej.
Obsługa odnajdywania
Defender dla Chmury obsługuje odnajdywanie typów wpisów tajnych podsumowanych w tabeli.
| Typ wpisów tajnych | Odnajdywanie wpisów tajnych maszyn wirtualnych | Odnajdywanie wpisów tajnych wdrażania w chmurze | Przejrzyj lokalizację |
|---|---|---|---|
| Niezabezpieczone klucze prywatne SSH Obsługuje algorytm RSA dla plików PuTTy. Standardy PKCS#8 i PKCS#1 Standard OpenSSH |
Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Usługa Azure SQL parametry połączenia w postaci zwykłego tekstu obsługuje usługę SQL PAAS. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Plaintext Azure database for PostgreSQL. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Plaintext Azure database for MySQL. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Baza danych azure w postaci zwykłego tekstu dla bazy danych MariaDB. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Usługa Azure Cosmos DB w postaci zwykłego tekstu, w tym PostgreSQL, MySQL i MariaDB. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Usługa AWS RDS w postaci zwykłego tekstu parametry połączenia obsługuje usługę SQL PAAS: Plaintext Amazon Aurora z smakami Postgres i MySQL. Niestandardowy rdS firmy Amazon w postaci zwykłego tekstu z wersjami oracle i SQL Server. |
Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Konto usługi Azure Storage w postaci zwykłego tekstu parametry połączenia | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Konto usługi Azure Storage w postaci zwykłego tekstu parametry połączenia. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Tokeny SAS konta usługi Azure Storage w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Klucze dostępu platformy AWS w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Adres URL wstępnie podpisany w postaci zwykłego tekstu AWS S3. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Podpisany adres URL magazynu Google w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Wpis tajny klienta usługi Azure AD w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token dostępu usługi Azure DevOps w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token dostępu usługi GitHub w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Zwykły tekst aplikacja systemu Azure klucz dostępu konfiguracji. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz usługi Azure Cognitive Service w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Poświadczenia użytkownika usługi Azure AD w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi Azure Container Registry w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Hasło wdrożenia usługi w postaci zwykłego tekstu aplikacja systemu Azure. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token dostępu usługi Azure Databricks w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi Azure SignalR w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz subskrypcji usługi Azure API Management w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz tajny platformy Azure Bot Framework w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API usługi sieci Web usługi Azure Machine Learning w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usług Azure Communication Services w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi Azure Event Grid w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi sieci Web w witrynie Amazon Marketplace (MWS) w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz subskrypcji usługi Azure Maps w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Zwykły tekst — internetowy klucz dostępu pubsub platformy Azure. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API OpenAI w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu współdzielonego usługi Azure Batch w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Token autora npm w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Certyfikat zarządzania subskrypcjami platformy Azure w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API GCP w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Poświadczenia usługi Redshift w postaci zwykłego tekstu AWS. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz prywatny w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Parametry połączenia ODBC w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Ogólne hasło w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Poświadczenia logowania użytkownika w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token funkcji Travis w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Token dostępu usługi Slack w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz maszyny w postaci zwykłego tekstu ASP.NET. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Nagłówek autoryzacji HTTP w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Hasło usługi Azure Redis Cache w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu współdzielonego usługi Azure IoT w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Wpis tajny aplikacji Usługi Azure DevOps w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API funkcji platformy Azure w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu współdzielonego platformy Azure w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Sygnatura dostępu współdzielonego aplikacji logiki platformy Azure w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Token dostępu usługi Azure Active Directory w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Sygnatura dostępu współdzielonego usługi Azure Service Bus w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
Powiązana zawartość
- Skanowanie wpisów tajnych maszyn wirtualnych.
- Skanowanie wpisów tajnych wdrażania w chmurze
- Skanowanie usługi Azure DevOps
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla