Защита секретов в Defender для облака
Microsoft Defender для облака помогает группе безопасности свести к минимуму риск использования секретов безопасности злоумышленниками.
После получения первоначального доступа злоумышленники могут перемещаться по сетям, находить конфиденциальные данные и использовать уязвимости для повреждения критически важных информационных систем путем доступа к облачным развертываниям, ресурсам и рабочим нагрузкам, подключенным к Интернету. Боковое перемещение часто включает угрозы учетных данных, которые обычно используют конфиденциальные данные, такие как предоставленные учетные данные и секреты, такие как пароли, ключи, маркеры и строка подключения для получения доступа к дополнительным ресурсам. Секреты часто находятся в файлах, хранятся на дисках виртуальных машин или в контейнерах в многооблачных развертываниях. Открытые секреты происходят по ряду причин:
- Отсутствие осведомленности: организации могут не знать о рисках и последствиях воздействия секретов в облачной среде. Возможно, не существует четкой политики обработки и защиты секретов в файлах кода и конфигурации.
- Отсутствие средств обнаружения: средства могут не находить и устранять утечки секретов.
- Сложность и скорость: современная разработка программного обеспечения является сложной и быстрой, опираясь на несколько облачных платформ, программного обеспечения с открытым исходным кодом и сторонний код. Разработчики могут использовать секреты для доступа к ресурсам и службам в облачных средах, которые могут хранить секреты в репозиториях исходного кода для удобства и повторного использования. Это может привести к случайному раскрытию секретов в общедоступных или частных репозиториях или во время передачи или обработки данных.
- Компромисс между безопасностью и удобством использования. Организации могут хранить секреты в облачных средах для удобства использования, чтобы избежать сложности и задержки шифрования и расшифровки данных в неактивных и передаваемых данных. Это может скомпрометирует безопасность и конфиденциальность данных и учетных данных.
Defender для облака предоставляет проверку секретов для виртуальных машин и для облачных развертываний, чтобы снизить риск бокового перемещения.
- Виртуальные машины (виртуальные машины): сканирование секретов без агента на многооблачных виртуальных машинах.
- Облачные развертывания: сканирование секретов без агента в ресурсах развертывания в виде кода в мультиоблачной инфраструктуре.
- Azure DevOps: сканирование для обнаружения открытых секретов в Azure DevOps.
Необходимые компоненты
Требуемые роли и разрешения
Читатель сведений о безопасности
администратор безопасности;
Читатель
Участник
- Владелец
Развертывание сканирования секретов
Сканирование секретов предоставляется как функция в планах Defender для облака:
- Проверка виртуальных машин: предоставлен план управления Defender для облака безопасностью (CSPM) или с помощью плана Defender для серверов 2.
- Проверка ресурсов облачного развертывания, предоставляемых CSPM в Defender.
- Сканирование DevOps: предоставлено с помощью CSPM Defender.
Просмотр выводов секретов
Вы можете просматривать и исследовать результаты безопасности для секретов несколькими способами:
- Просмотрите инвентаризацию активов. На странице инвентаризации вы можете получить все представление секретов.
- Просмотрите рекомендации по секретам: на странице рекомендаций Defender для облака можно просмотреть и исправить рекомендации по секретам. Дополнительные сведения об анализе рекомендаций и оповещений.
- Изучение аналитических сведений о безопасности. Вы можете использовать cloud security explorer для запроса графа облачной безопасности. Вы можете создавать собственные запросы или использовать стандартные шаблоны запросов.
- Используйте пути атаки: вы можете использовать пути атаки для исследования и устранения критически важных рисков секретов. Подробнее.
Поддержка обнаружения
Defender для облака поддерживает обнаружение типов секретов, приведенных в таблице.
| Тип секретов | Обнаружение секретов виртуальных машин | Обнаружение секретов облачного развертывания | Просмотр расположения |
|---|---|---|---|
| Небезопасные закрытые ключи SSH Поддерживает алгоритм RSA для файлов PuTTy. Стандарты PKCS#8 и PKCS#1 Стандарт OpenSSH |
Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения SQL с открытым текстом поддерживают SQL PAAS. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| База данных Azure с открытым текстом для PostgreSQL. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| База данных Azure с открытым текстом для MySQL. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| База данных Azure с открытым текстом для MariaDB. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Обычный текст Azure Cosmos DB, включая PostgreSQL, MySQL и MariaDB. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения azure RDS с открытым текстом поддерживает SQL PAAS: Обычный текст Amazon Aurora с ароматами Postgres и MySQL. Пользовательский RDS в Виде обычного текста Amazon с ароматами Oracle и SQL Server. |
Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения учетной записи хранения Azure в Формате Обычного текста | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Строка подключения учетной записи хранения Azure в виде обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Маркеры SAS учетной записи хранения Обычного текста Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Ключи доступа К AWS с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| СТАНДАРТНЫЙ URL-адрес AWS S3 с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки |
| Подписанный URL-адрес хранилища Plaintext Google. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Секрет клиента Azure AD с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер личного доступа Azure DevOps в Формате Обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Токен личного доступа GitHub с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа с открытым текстом Конфигурация приложений Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Открытый текст Azure Cognitive Service Key. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Учетные данные пользователя Azure AD в Формате Обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа с открытым текстом Реестр контейнеров Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Пароль развертывания службы с открытым текстом приложение Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер личного доступа Azure Databricks в формате Plaintext. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа Azure SignalR с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ подписки в Виде обычного текста Azure Управление API. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Секретный ключ Azure Bot Framework с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API веб-службы с открытым текстом Машинное обучение Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа в виде обычного текста Службы коммуникации Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа с открытым текстом Сетка событий Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа к веб-службе Amazon Marketplace (MWS). | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ подписки в Виде обычного текста Azure Maps. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ доступа в Виде обычного текста в Azure Web PubSub. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API OpenAI с открытым текстом. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Открытый текст пакетная служба Azure общий ключ доступа. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер авторов NPM в виде обычного текста. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Сертификат управления подписками в Формате Обычного текста Azure. | Да | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API GCP обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Учетные данные Redshift для Обычного текста AWS. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Закрытый ключ обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Строка подключения ODBC с открытым текстом. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Общий пароль обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Учетные данные для входа пользователя в Формате Обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Персональный токен Plaintext Travis. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер доступа Plaintext Slack. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Открытый текст ASP.NET ключ компьютера. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Заголовок авторизации HTTP в формате обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Пароль кэша Redis для Обычного текста Azure. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Общий ключ доступа к Azure IoT в Формате Обычного текста. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Секрет приложения Plaintext Azure DevOps. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Ключ API функции Обычного текста Azure. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Общий ключ доступа к Azure в формате Plaintext. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Подписанный URL-адрес приложения логики Для Обычного текста Azure. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Маркер доступа к Azure Active Directory в формате Plaintext. | No | Да | Инвентаризация, обозреватель облачной безопасности. |
| Сигнатура обычного текста Служебная шина Azure подписанного URL-адреса. | No | Да | Инвентаризация, обозреватель облачной безопасности. |