保護 VM 秘密
適用於雲端的 Defender 提供虛擬機的無代理程式秘密掃描。 掃描可協助您快速偵測、排定優先順序及補救公開的秘密。 秘密偵測可以識別各種秘密類型,例如令牌、密碼、金鑰或認證,儲存在操作系統文件系統上不同類型的檔案中。
適用於雲端的 Defender 的無代理程式祕密掃描虛擬機器 (VM) 會找出存在於您環境中的純文字祕密。 如果偵測到祕密,適用於雲端的 Defender 可協助安全性小組排定優先順序並採取可採取動作的補救步驟,以將橫向行動的風險降到最低,而不會影響電腦的效能。
VM 秘密掃描如何運作?
掃描 VM 的秘密是無代理程式,並使用雲端 API。
- 掃描會擷取磁碟快照集並加以分析,而不會影響 VM 效能。
- Microsoft 秘密掃描引擎從磁碟收集秘密元數據之後,它會將其傳送至 適用於雲端的 Defender。
- 秘密掃描引擎會驗證 SSH 私鑰是否可用來在網路中橫向移動。
- 未成功驗證的 SSH 金鑰會在 適用於雲端的 Defender 建議 頁面上分類為未驗證。
- 辨識為包含測試相關內容的目錄會從掃描中排除。
支持什麼?
當您使用適用於伺服器的 Defender 方案 2 或 Defender 雲端安全性狀態管理 (CSPM) 時,可以使用 VM 秘密掃描。 VM 秘密掃描能夠掃描 Azure VM,以及已上線至 適用於雲端的 Defender 的 AWS/GCP 實例。 檢閱 適用於雲端的 Defender 可以探索到的秘密。
VM 秘密掃描如何降低風險?
秘密掃描可透過下列風險降低來協助降低風險:
- 消除不需要的秘密。
- 套用最低許可權原則。
- 使用 Azure 金鑰保存庫 等秘密管理系統來加強秘密安全性。
- 使用短期秘密,例如將 Azure 儲存體 連接字串 取代為具有較短有效期限的SAS令牌。
如何? 身分識別並補救秘密問題嗎?
有許多方式。 並非每個秘密都支援每個方法。 如需詳細資訊,請檢閱支援的秘密清單。
- 檢閱資產清查中的秘密:清查會顯示連線到 適用於雲端的 Defender 的資源安全性狀態。 您可以從清查中檢視在特定電腦上探索到的秘密。
- 檢閱秘密建議:在資產上找到秘密時,會在 [適用於雲端的 Defender 建議] 頁面上補救弱點安全性控制下觸發建議。 建議 會觸發,如下所示:
- 使用雲端安全性總管檢閱秘密。 使用雲端安全性總管來查詢雲端安全性圖表。 您可以建置自己的查詢,或使用其中一個內建範本來查詢環境中 VM 秘密。
- 檢閱攻擊路徑:攻擊路徑分析會掃描雲端安全性圖表,以公開攻擊可能用來入侵環境並觸達高影響資產的惡意探索路徑。 VM 秘密掃描支援許多攻擊路徑案例。
安全性建議
以下是可用的 VM 秘密安全性建議:
- Azure 資源:機器應已解決秘密結果
- AWS 資源:EC2 實例應已解析秘密結果
- GCP 資源:VM 實例應已解析秘密結果
攻擊路徑案例
下表摘要說明支持的攻擊路徑。
VM | 攻擊路徑 |
---|---|
Azure | 公開的易受攻擊 VM 具有不安全的 SSH 私鑰,可用來向 VM 進行驗證。 公開的易受攻擊 VM 具有不安全的秘密,可用來向記憶體帳戶進行驗證。 易受攻擊的 VM 具有不安全的秘密,可用來向記憶體帳戶進行驗證。 公開的易受攻擊 VM 具有不安全的秘密,可用來向 SQL Server 進行驗證。 |
AWS | 公開的易受攻擊的 EC2 實例具有不安全的 SSH 私鑰,可用來向 EC2 實例進行驗證。 公開的易受攻擊的 EC2 實例具有不安全的秘密,可用來向記憶體帳戶進行驗證。 公開的易受攻擊的 EC2 實例具有不安全的秘密,可用來向 AWS RDS 伺服器進行驗證。 易受攻擊的 EC2 實例有不安全的秘密,可用來向 AWS RDS 伺服器進行驗證。 |
GCP | 公開的易受攻擊 GCP VM 實例具有不安全的 SSH 私鑰,可用來向 GCP VM 實例進行驗證。 |
預先定義的雲端安全性總管查詢
適用於雲端的 Defender 提供這些預先定義的查詢,以調查秘密安全性問題:
- 可以向另一個 VM 驗證的純文字密碼的 VM - 傳回所有 Azure VM、AWS EC2 執行個體或具有可存取其他 VM 或 EC2 的純文字密碼 GCP VM 執行個體。
- 具有可向記憶體帳戶驗證之純文字密碼的 VM - 傳回所有 Azure VM、AWS EC2 實例或具有可存取記憶體帳戶之純文字密碼的 GCP VM 實例
- 可以向 SQL 資料庫驗證的純文字密碼的 VM - 傳回所有可存取 SQL 資料庫的純文字密碼、AWS EC2 執行個體或 GCP VM 執行個體。
如何? 有效地減輕秘密問題?
請務必能夠設定秘密的優先順序,並識別哪些秘密需要立即注意。 為了協助您這樣做,適用於雲端的 Defender 提供:
- 為每個秘密提供豐富的元數據,例如檔案的最後存取時間、令牌到期日、指出秘密是否提供存取權的目標資源等等。
- 結合秘密元數據與雲端資產內容。 這可協助您從公開至因特網的資產開始,或包含可能危害其他敏感性資產的秘密。 掃描結果的秘密會併入風險型建議優先順序。
- 提供多個檢視來協助您找出最常找到的秘密,或包含秘密的資產。
相關內容
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應