Защита секретов виртуальной машины
Defender для облака предоставляет проверку секретов без агента для виртуальных машин. Сканирование помогает быстро обнаруживать, определять приоритеты и устранять открытые секреты. Обнаружение секретов может определять широкий спектр типов секретов, таких как маркеры, пароли, ключи или учетные данные, хранящиеся в разных типах файлов в файловой системе ОС.
проверка секретов без агента Defender для облака для Виртуальные машины (виртуальной машины) находит секреты открытого текста, которые существуют в вашей среде. Если обнаружены секреты, Defender для облака может помочь вашей группе безопасности определить приоритеты и предпринять действия по исправлению, чтобы свести к минимуму риск бокового перемещения, все без влияния на производительность компьютера.
Как работает сканирование секретов виртуальных машин?
Сканирование секретов для виртуальных машин является безагентным и использует облачные API.
- Сканирование записывает моментальные снимки дисков и анализирует их без влияния на производительность виртуальной машины.
- После того как модуль сканирования секретов Майкрософт собирает метаданные секретов с диска, он отправляет их в Defender для облака.
- Модуль сканирования секретов проверяет, можно ли использовать закрытые ключи SSH для бокового перемещения в сети.
- Ключи SSH, которые не проверены, классифицируются как непроверенные на странице рекомендаций Defender для облака.
- Каталоги, распознанные как содержащие содержимое, связанное с тестом, исключаются из сканирования.
Что поддерживается?
Проверка секретов виртуальных машин доступна при использовании службы "Защитник для серверов" (план 2) или "Управление облачным безопасностью Защитника" (CSPM). Сканирование секретов виртуальных машин позволяет сканировать виртуальные машины Azure и экземпляры AWS/GCP, подключенные к Defender для облака. Просмотрите секреты, которые можно обнаружить с помощью Defender для облака.
Как сканирование секретов виртуальных машин снижает риск?
Сканирование секретов помогает снизить риск со следующими рисками:
- Устранение секретов, которые не нужны.
- Применение принципа наименьшей привилегии.
- Укрепление безопасности секретов с помощью систем управления секретами, таких как Azure Key Vault.
- Использование коротких секретов, таких как замена служба хранилища Azure строка подключения маркерами SAS, которые имеют более короткие сроки действия.
Разделы справки удостоверений и исправление проблем с секретами?
Существует несколько способов. Не каждый метод поддерживается для каждого секрета. Дополнительные сведения см. в списке поддерживаемых секретов.
- Просмотрите секреты в инвентаризации активов: инвентаризация показывает состояние безопасности ресурсов, подключенных к Defender для облака. Из инвентаризации можно просмотреть секреты, обнаруженные на определенном компьютере.
- Ознакомьтесь с рекомендациями по секретам: когда секреты находятся в ресурсах, рекомендация активируется в разделе управления безопасностью исправлений уязвимостей на странице рекомендаций Defender для облака. Рекомендации активируются следующим образом:
- Просмотрите секреты с помощью облачного обозревателя безопасности. Используйте cloud security explorer для запроса графа облачной безопасности. Вы можете создавать собственные запросы или использовать один из встроенных шаблонов для запроса секретов виртуальных машин в вашей среде.
- Просмотрите пути атаки: анализ пути атаки сканирует граф облачной безопасности, чтобы предоставить доступ к эксплойтируемым путям, которые могут использоваться для нарушения среды и достижения ресурсов с высоким уровнем влияния. Сканирование секретов виртуальных машин поддерживает ряд сценариев пути атаки.
Рекомендации по обеспечению безопасности
Доступны следующие рекомендации по безопасности секретов виртуальных машин:
- Ресурсы Azure: компьютеры должны иметь результаты секретов, разрешенные
- Ресурсы AWS: экземпляры EC2 должны иметь результаты секретов, разрешенные
- Ресурсы GCP: экземпляры виртуальных машин должны иметь результаты секретов, разрешенные
Сценарии пути атаки
В таблице перечислены поддерживаемые пути атаки.
Виртуальная машина | Пути атаки |
---|---|
Azure | Доступная уязвимая виртуальная машина имеет небезопасный закрытый ключ SSH, используемый для проверки подлинности на виртуальной машине. Доступная уязвимая виртуальная машина имеет небезопасные секреты, используемые для проверки подлинности в учетной записи хранения. Уязвимая виртуальная машина имеет небезопасные секреты, используемые для проверки подлинности в учетной записи хранения. Доступная уязвимая виртуальная машина имеет небезопасные секреты, используемые для проверки подлинности на сервере SQL Server. |
AWS | У открытого экземпляра EC2 небезопасный закрытый ключ SSH, используемый для проверки подлинности в экземпляре EC2. В уязвимом экземпляре EC2 есть небезопасный секрет, используемый для проверки подлинности в учетной записи хранения. Открытый уязвимый экземпляр EC2 содержит небезопасные секреты, используемые для проверки подлинности на сервере AWS RDS. Уязвимый экземпляр EC2 содержит небезопасные секреты, используемые для проверки подлинности на сервере AWS RDS. |
GCP | У открытого экземпляра виртуальной машины GCP уязвимого GCP есть небезопасный закрытый ключ SSH, используемый для проверки подлинности в экземпляре виртуальной машины GCP. |
Предопределенные запросы облачного обозревателя безопасности
Defender для облака предоставляет эти предопределенные запросы для изучения проблем безопасности секретов:
- Виртуальная машина с секретным текстом, которая может проходить проверку подлинности на другой виртуальной машине. Возвращает все виртуальные машины Azure, экземпляры AWS EC2 или экземпляры виртуальных машин GCP с открытым текстом, которые могут получить доступ к другим виртуальным машинам или EC2.
- Виртуальная машина с секретом открытого текста, которая может проходить проверку подлинности в учетной записи хранения. Возвращает все виртуальные машины Azure, экземпляры AWS EC2 или экземпляры виртуальных машин GCP с открытым текстом, которые могут получить доступ к учетным записям хранения.
- Виртуальная машина с секретным текстом, которая может проходить проверку подлинности в базе данных SQL. Возвращает все виртуальные машины Azure, экземпляры AWS EC2 или экземпляры виртуальных машин GCP с открытым текстом, которые могут получить доступ к базам данных SQL.
Разделы справки эффективно устранять проблемы с секретами?
Важно иметь возможность определять приоритеты секретов и определять, какие из них требуют немедленного внимания. Для этого Defender для облака предоставляет следующие возможности:
- Предоставляя богатые метаданные для каждого секрета, например время последнего доступа для файла, дату окончания срока действия маркера, указывает, предоставляет ли целевой ресурс доступ к секретам и многое другое.
- Объединение метаданных секретов с контекстом облачных ресурсов. Это поможет вам начать с ресурсов, которые предоставляются в Интернете или содержат секреты, которые могут скомпрометировать другие конфиденциальные ресурсы. Результаты сканирования секретов включаются в определение приоритетов на основе рисков.
- Предоставление нескольких представлений для выявления наиболее часто найденных секретов или ресурсов, содержащих секреты.