分享方式:

保護 VM 祕密

  • 文章

「適用於雲端的 Defender」可為虛擬機器提供無代理程式秘密掃描功能。 該掃描功能可協助您快速偵測、確定優先順序並補救暴露的秘密。 秘密偵測可以識別儲存在 OS 檔案系統上不同類型檔案中的各種秘密類型,例如權杖、密碼、金鑰或認證。

適用於雲端的 Defender 的無代理程式祕密掃描虛擬機器 (VM) 會找出存在於您環境中的純文字祕密。 如果偵測到祕密,適用於雲端的 Defender 可協助安全性小組排定優先順序並採取可採取動作的補救步驟,以將橫向行動的風險降到最低,而不會影響電腦的效能。

VM 秘密掃描功能如何運作?

掃描 VM 的秘密無需代理程式,而是使用雲端 API。

  1. 該掃描功能會擷取磁碟快照集並加以分析,而不會影響 VM 效能。
  2. 在 Microsoft 秘密掃描引擎從磁碟收集秘密中繼資料之後,它會將其傳送至「適用於雲端的 Defender」。
  3. 該秘密掃描引擎會驗證 SSH 私鑰是否可用於在您的網路中橫向移動。
    • 未成功驗證的 SSH 金鑰會在「適用於雲端的 Defender」建議頁面上被歸類為未驗證。
    • 被辨識為包含測試相關內容的目錄會從掃描中排除。

支援的項目有哪些?

當您使用「適用於伺服器的 Defender 方案 2」或 Defender Cloud Security Posture Management (CSPM) 時,可以使用 VM 秘密掃描功能。 VM 秘密掃描功能能夠掃描 Azure VM,以及已上線至「適用於雲端的 Defender」的 AWS/GCP 執行個體。 檢閱「適用於雲端的 Defender」可以探索到的秘密。

VM 秘密掃描功能如何降低風險?

秘密掃描功能可透過下列風險降低來協助降低風險:

  • 消除不需要的秘密。
  • 套用最低權限原則。
  • 使用 Azure Key Vault 等秘密管理系統來加強秘密安全性。
  • 使用短期的秘密,例如使用有效期較短的 SAS 權杖來取代 Azure 儲存體連接字串。

如何識別和補救秘密問題?

有幾種方式。 並非每個秘密都支援每種方法。 如需詳細資料,請檢閱支援的秘密清單。

  • 檢閱資產詳細目錄中的秘密:詳細目錄會顯示連線至「適用於雲端的 Defender」的資源的安全性狀態。 您可以從詳細目錄中檢視在特定機器上探索到的秘密。
  • 檢閱秘密建議:在資產上找到秘密時,會在「適用於雲端的 Defender」建議頁面上的補救弱點安全性控制下觸發建議。 建議的觸發方式如下:
  • 使用雲端安全性總管檢閱秘密。 使用雲端安全性總管來查詢雲端安全性圖表。 您可以建置自己的查詢,或使用其中一個內建範本來查詢整個環境中的 VM 秘密。
  • 檢閱攻擊路徑:攻擊路徑分析會掃描雲端安全性圖表,以公開攻擊可能用來入侵您的環境並到達高影響力的資產的惡意探索路徑。 VM 秘密掃描功能支援許多攻擊路徑場景。

安全性建議

以下是可用的 VM 秘密安全性建議:

  • Azure 資源:機器應已解決了秘密發現問題
  • AWS 資源:EC2 執行個體應已解決了秘密發現問題
  • GCP 資源:VM 執行個體應已解決了秘密發現問題

攻擊路徑場景

下表總結了支援的攻擊路徑。

VM 攻擊路徑
Azure 暴露易受攻擊的 VM 具有不安全的 SSH 私鑰,用於向 VM 進行驗證。
暴露易受攻擊的 VM 具有不安全的秘密,用於向儲存體帳戶進行驗證。
易受攻擊的 VM 具有不安全的秘密,用於向儲存體帳戶進行驗證。
暴露易受攻擊的 VM 具有不安全的秘密,用於向 SQL 伺服器進行驗證。
AWS 暴露易受攻擊的 EC2 執行個體具有不安全的 SSH 私鑰,用於向 EC2 執行個體進行驗證。
暴露易受攻擊的 EC2 執行個體具有不安全的秘密,用於向儲存體帳戶進行驗證。
暴露易受攻擊的 EC2 執行個體具有不安全的秘密,用於向 AWS RDS 伺服器進行驗證。
易受攻擊的 EC2 執行個體具有不安全的秘密,用於向 AWS RDS 伺服器進行驗證。
GCP 暴露易受攻擊的 GCP VM 執行個體具有不安全的 SSH 私鑰,用於向 GCP VM 執行個體進行驗證。

預先定義的雲端安全性總管查詢

「適用於雲端的 Defender」提供以下這些預先定義的查詢來調查秘密安全性問題:

  • 可以向另一個 VM 驗證的純文字密碼的 VM - 傳回所有 Azure VM、AWS EC2 執行個體或具有可存取其他 VM 或 EC2 的純文字密碼 GCP VM 執行個體。
  • 可以向儲存體帳戶進行驗證的純文字密碼的 VM - 傳回所有 Azure VM、AWS EC2 執行個體或具有可存取儲存體帳戶之純文字密碼的 GCP VM 執行個體
  • 可以向 SQL 資料庫驗證的純文字密碼的 VM - 傳回所有可存取 SQL 資料庫的純文字密碼、AWS EC2 執行個體或 GCP VM 執行個體。

如何有效地降低秘密問題?

能夠對秘密進行優先排序並識別哪些秘密需要立即關注非常重要。 為了幫助您做到這一點,「適用於雲端的 Defender」提供:

  • 為每個秘密提供豐富的中繼資料,例如檔案的上次存取時間、權杖到期日、秘密提供存取的目標資源是否存在的指示等等。
  • 將秘密中繼資料與雲端資產內容結合。 這可以幫助您從暴露於網際網路的資產或包含可能危及其他敏感性資產的秘密的資產開始。 秘密掃描發現結果會併入風險型建議優先順序。
  • 提供多個檢視來幫助您找出最常被發現的秘密或包含秘密的資產。

相關內容

雲端部署秘密掃描