你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
保护云部署机密
Microsoft Defender for Cloud 提供对云部署的无代理机密扫描。
什么是云部署?
云部署是指使用 Azure 资源管理器模板和 AWS CloudFormation 堆栈等工具大规模在云提供商(如 Azure 和 AWS)上部署和管理资源的过程。 换句话说,云部署是基础结构即代码 (IaC) 模板的实例。
每个云都公开 API 查询,在查询云部署资源的 API 时,通常检索部署元数据,例如部署模板、参数、输出和标记。
从软件开发到运行时的安全性
传统的机密扫描解决方案通常检测代码存储库、代码管道或 VM 和容器中的文件中错放的机密。 云部署资源往往被忽视,并且可能包含可能导致关键资产(如数据库、Blob 存储、GitHub 存储库和 Azure OpenAI 服务)的纯文本机密。 这些机密可让攻击者利用云环境中其他隐藏的攻击面。
扫描云部署机密增加了额外的安全层,解决了如下情况:
- 增加了安全覆盖范围:在 Defender for Cloud 中,Defender for Cloud 中的 DevOps 安全功能可以识别源代码管理平台中公开的机密。 但是,从开发人员工作站手动触发的云部署可能会导致可能被忽视的机密公开。 此外,某些机密可能仅在部署运行时出现,例如部署输出中显示或从 Azure Key Vault 解析的机密。 扫描云部署机密可弥补这一差距。
- 防止横向移动:发现部署资源中公开的机密会带来未经授权访问的重大风险。
- 威胁参与者可以利用这些漏洞在环境中横向遍历,最终危及关键服务
- 通过云部署机密扫描使用攻击路径分析会自动发现涉及可能导致敏感数据泄露的 Azure 部署的攻击路径。
- 资源发现:配置不当的部署资源的影响可能很大,导致在扩展的攻击面上创建新资源。
- 检测和保护资源控制平面数据中的机密有助于防止潜在的泄露。
- 在创建资源期间解决公开的机密问题尤其具有挑战性。
- 云部署机密扫描有助于在早期阶段识别和缓解这些漏洞。
扫描有助于快速检测云部署中的纯文本机密。 如果检测到 Defender for Cloud 机密,可帮助安全团队确定操作优先级并修正,以最大程度地降低横向移动的风险。
云部署机密扫描的工作方式如何?
扫描有助于快速检测云部署中的纯文本机密。 扫描云部署资源的机密是无代理的,并使用云控制平面 API。
Microsoft 机密扫描引擎验证 SSH 私钥是否可用于在网络中横向移动。
- 未成功验证的 SSH 密钥会在 Defender for Cloud“建议”页上归类为“未验证”。
- 识别为包含测试相关内容的目录将从扫描中排除。
支持的功能有哪些?
扫描云部署资源可检测纯文本机密。 使用 Defender 云安全状况管理 (CSPM) 计划时,可以使用扫描。 支持 Azure 和 AWS 云部署。 查看 Defender for Cloud 可以发现的机密列表。
如何识别和修复机密问题?
有许多方式:
- 查看资产清单中的机密:清单会显示连接到 Defender for Cloud 的资源的安全状态。 通过清单,可以查看在特定计算机上发现的密钥。
- 查看机密建议:在资产上找到机密后,将在 Defender for Cloud“建议”页上的“修复漏洞安全控制”下触发建议。
安全建议
提供了以下云部署机密安全建议:
- Azure 资源:Azure 资源管理器部署应已解析机密发现。
- AWS 资源:AWS CloudFormation Stack 应已解析机密发现。
攻击路径方案
攻击路径分析是一种基于图形的算法,可扫描云安全图,以公开攻击者可能用于访问高影响资产的可利用路径。
预定义的云安全资源管理器查询
借助云安全资源管理器,可以主动识别云环境中的潜在安全风险。 它通过查询云安全图来执行此操作。 通过选择云部署资源类型和要查找的机密类型来创建查询。