Защита секретов облачного развертывания
Microsoft Defender для облака предоставляет проверку секретов без агента для облачных развертываний.
Что такое облачное развертывание?
Облачное развертывание относится к процессу развертывания ресурсов и управления ими в облачных поставщиках, таких как Azure и AWS в масштабе, с помощью таких средств, как шаблоны Azure Resource Manager и стек CloudFormation AWS. Другими словами, облачное развертывание — это экземпляр шаблона "инфраструктура как код" (IaC).
Каждое облако предоставляет запрос API и при запросе API для ресурсов облачного развертывания обычно извлекаются метаданные развертывания, такие как шаблоны развертывания, параметры, выходные данные и теги.
Безопасность от разработки программного обеспечения до среды выполнения
Традиционные решения для сканирования секретов часто обнаруживают неуместные секреты в репозиториях кода, конвейерах кода или файлах в виртуальных машинах и контейнерах. Ресурсы облачного развертывания, как правило, не учитывается и могут включать секреты открытого текста, которые могут привести к критически важным ресурсам, таким как базы данных, хранилище BLOB-объектов, репозитории GitHub и службы Azure OpenAI. Эти секреты могут позволить злоумышленникам использовать скрытые поверхности атак в облачных средах.
Сканирование секретов облачного развертывания добавляет дополнительный уровень безопасности, например следующие сценарии:
- Повышение уровня безопасности. В Defender для облака возможности безопасности DevOps в Defender для облака могут определять открытые секреты на платформах управления версиями. Однако при запуске облачных развертываний вручную с рабочей станции разработчика могут возникнуть открытые секреты, которые могут быть пропущены. Кроме того, некоторые секреты могут отображаться только во время выполнения развертывания, например те, которые отображаются в выходных данных развертывания или разрешены из Azure Key Vault. Сканирование секретов облачного развертывания мостит этот разрыв.
- Предотвращение бокового перемещения: обнаружение открытых секретов в ресурсах развертывания представляет значительный риск несанкционированного доступа.
- Субъекты угроз могут использовать эти уязвимости для бокового обхода по всей среде, в конечном итоге компрометируя критически важные службы.
- Использование анализа путей атаки с сканированием секретов облачного развертывания автоматически обнаруживает пути атаки, связанные с развертыванием Azure, что может привести к нарушению конфиденциальных данных.
- Обнаружение ресурсов. Влияние неправильно настроенных ресурсов развертывания может быть обширным, что приводит к созданию новых ресурсов на расширяющейся области атак.
- Обнаружение и защита секретов в данных уровня управления ресурсами может помочь предотвратить потенциальные нарушения.
- Решение открытых секретов во время создания ресурсов может быть особенно сложным.
- Сканирование секретов облачного развертывания помогает выявлять и устранять эти уязвимости на ранней стадии.
Сканирование помогает быстро обнаруживать секреты обычного текста в облачных развертываниях. Если секреты обнаружены Defender для облака могут помочь вашей команде безопасности определить приоритеты действий и исправить, чтобы свести к минимуму риск бокового перемещения.
Как работает сканирование секретов развертывания в облаке?
Сканирование помогает быстро обнаруживать секреты обычного текста в облачных развертываниях. Проверка секретов для ресурсов облачного развертывания не является агентом и использует API уровня управления облаком.
Модуль сканирования секретов Майкрософт проверяет, можно ли использовать закрытые ключи SSH для бокового перемещения в сети.
- Ключи SSH, которые не проверены, классифицируются как непроверенные на странице Defender для облака Рекомендации.
- Каталоги, распознанные как содержащие содержимое, связанное с тестом, исключаются из сканирования.
Что поддерживается?
Сканирование ресурсов облачного развертывания обнаруживает секреты открытого текста. Сканирование доступно при использовании плана Управления posture Defender Cloud Security (CSPM). Поддерживаются облачные развертывания Azure и AWS. Просмотрите список секретов, которые Defender для облака могут обнаруживать.
Разделы справки удостоверений и исправление проблем с секретами?
Существует несколько способов:
- Просмотрите секреты в инвентаризации активов: инвентаризация показывает состояние безопасности ресурсов, подключенных к Defender для облака. Из инвентаризации можно просмотреть секреты, обнаруженные на определенном компьютере.
- Просмотрите рекомендации по секретам: когда секреты находятся в ресурсах, рекомендация активируется в разделе управления безопасностью исправлений уязвимостей на странице Defender для облака Рекомендации.
Рекомендации по обеспечению безопасности
Доступны следующие рекомендации по безопасности секретов облачного развертывания:
- Ресурсы Azure: развертывания Azure Resource Manager должны разрешать результаты секретов.
- Ресурсы AWS: AWS CloudFormation Stack должны иметь результаты секретов, разрешенные.
Сценарии пути атаки
Анализ пути атаки — это алгоритм на основе графа, который сканирует граф облачной безопасности для предоставления эксплойтируемых путей, которые злоумышленники могут использовать для достижения ресурсов с высоким уровнем влияния.
Предопределенные запросы облачного обозревателя безопасности
Обозреватель облачной безопасности позволяет заранее определить потенциальные риски безопасности в облачной среде. Это делается путем запроса графа облачной безопасности. Создайте запросы, выбрав типы ресурсов облачного развертывания и типы секретов, которые нужно найти.
Связанный контент
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по