保護雲端部署祕密
「適用於雲端的 Microsoft Defender」為雲端部署提供無代理程式秘密掃描。
什麼是雲端部署?
雲端部署是指使用 Azure Resource Manager 範本和 AWS CloudFormation 堆疊等工具在 Azure 和 AWS 等雲端提供者上大規模部署和管理資源的流程。 換句話說,雲端部署是基礎結構即程式碼 (IaC) 範本的執行個體。
每個雲端提供者都會公開一個 API 查詢,在查詢雲端部署資源的 API 時,您通常會擷取部署中繼資料,例如部署範本、參數、輸出和標籤。
從軟體開發到執行階段的安全性
傳統的秘密掃描解決方案通常會偵測程式碼存放庫、程式碼管線或 VM 和容器內的檔案中放錯位置的秘密。 雲端部署資源往往會被忽視,且可能包含純文字的秘密資訊,這些資訊可能會導致重要資產的洩漏,例如資料庫、Blob 儲存體、GitHub 存放庫和 Azure OpenAI 服務。 這些秘密資訊可能會讓攻擊者利用雲端環境中原本隱藏的攻擊面。
掃描雲端部署秘密增加了額外的安全層,可解決如下的場景問題:
- 提高安全性涵蓋範圍:在「適用於雲端的 Defender」中,「適用於雲端的 Defender」中的 DevOps 安全性功能可以識別原始碼控制管理平台中暴露的秘密。 然而,從開發人員的工作站手動觸發的雲端部署可能會導致秘密資訊暴露,而這些資訊可能會被忽視。 此外,某些秘密可能僅在部署執行階段期間才會顯現,例如部署輸出中顯示的秘密或從 Azure Key Vault 解析出來的秘密。 掃描雲端部署秘密資訊可以填補這個漏洞。
- 防止橫向移動:在部署資源中探索暴露的秘密資訊會帶來未經授權存取的重大風險。
- 威脅行為者可以利用這些弱點在環境中橫向移動,最終危害到重要的服務
- 使用攻擊路徑分析搭配雲端部署秘密掃描,將自動探索涉及可能會導致敏感性資料外洩的 Azure 部署的攻擊路徑。
- 資源探索:部署資源設定錯誤的影響可能會非常廣泛,導致在不斷擴大的攻擊面上建立新的資源。
- 偵測和保護資源控制平面資料中的秘密有助於防止潛在的洩漏。
- 在資源建立期間解決暴露的秘密問題可能特別具有挑戰性。
- 雲端部署秘密掃描有助於在早期階段識別並減輕這些弱點的風險。
掃描可協助您快速偵測雲端部署中的純文字秘密。 如果偵測到秘密,「適用於雲端的 Defender」可以幫助您的安全性團隊確定採取行動的優先順序並進行補救,以最大程度地降低橫向移動的風險。
雲端部署秘密掃描如何運作?
掃描可協助您快速偵測雲端部署中的純文字秘密。 掃描雲端部署資源的秘密無需代理程式,且會使用雲端控制平面 API。
Microsoft 秘密掃描引擎會驗證 SSH 私鑰是否可用於在您的網路中橫向移動。
- 未成功驗證的 SSH 金鑰會在「適用於雲端的 Defender」建議頁面上被歸類為未驗證。
- 被辨識為包含測試相關內容的目錄會從掃描中排除。
支援的項目有哪些?
掃描雲端部署資源可偵測純文字秘密。 當您使用 Defender Cloud Security Posture Management (CSPM) 方案時,可以進行掃描。 支援 Azure 和 AWS 雲端部署。 檢閱「適用於雲端的 Defender」可以探索的秘密清單。
如何識別和補救秘密問題?
有幾種方式:
- 檢閱資產詳細目錄中的秘密:詳細目錄會顯示連線至「適用於雲端的 Defender」的資源的安全性狀態。 您可以從詳細目錄中檢視在特定機器上探索到的秘密。
- 檢閱秘密建議:在資產上找到秘密時,會在「適用於雲端的 Defender」建議頁面上的補救弱點安全性控制下觸發建議。
安全性建議
以下是可用的雲端部署秘密安全性建議:
- Azure 資源:Azure Resource Manager 部署應已解決秘密的發現問題。
- AWS 資源:AWS CloudFormation 堆疊應已解決秘密的發現問題。
攻擊路徑場景
攻擊路徑分析是以圖形為基礎的演算法,可掃描雲端安全性圖表,以公開可惡意探索路徑,攻擊者可能會使用該路徑來到達具有強烈影響的資產。
預先定義的雲端安全性總管查詢
雲端安全性總管可讓您主動識別雲端環境中的潛在安全性風險。 其方式是查詢雲端安全性圖表。 透過選取雲端部署資源類型以及要尋找的秘密類型來建立查詢。