Ochrana tajných kódů v defenderu pro cloud
Microsoft Defender for Cloud pomáhá týmům zabezpečení minimalizovat riziko zneužití tajných kódů zabezpečení útočníků.
Po získání počátečního přístupu se útočníci pokusí provést pozdější přesun napříč sítěmi a získat přístup k prostředkům za účelem zneužití ohrožení zabezpečení a poškození důležitých informačních systémů. Laterální přesun často zahrnuje hrozby přihlašovacích údajů, které obvykle využívají citlivá data, jako jsou vystavené přihlašovací údaje a tajné kódy, jako jsou hesla, klíče, tokeny a připojovací řetězec pro získání přístupu k dalším prostředkům.
Tajné kódy se často nacházejí napříč vícecloudovými nasazeními v souborech, na discích virtuálních počítačů nebo v kontejnerech. K vystaveným tajným kódům dochází z několika důvodů:
- Nedostatek povědomí: Organizace si nemusí být vědomy rizika a důsledků vystavení tajných kódů.
- Nedostatek zásad: Nemusí existovat jasné zásady společnosti pro zpracování a ochranu tajných kódů v kódech a konfiguračních souborech.
- Nedostatek nástrojů pro zjišťování: Nástroje nemusí být zavedené k detekci a nápravě úniků tajných kódů.
- Složitost a rychlost: Složitá prostředí, která můžou zahrnovat více cloudových platforem, opensourcový software a kód třetích stran. Vývojáři můžou používat tajné kódy pro přístup k prostředkům a službám a ukládání tajných kódů do úložišť zdrojového kódu, aby je mohli snadno a opakovaně používat. To může vést k náhodnému vystavení tajných kódů ve veřejných nebo privátních úložištích nebo během přenosu nebo zpracování dat.
- Kompromis mezi zabezpečením a použitelností: Organizace můžou uchovávat tajné kódy zveřejněné v cloudových prostředích, aby se zabránilo složitosti a latenci šifrování a dešifrování neaktivních uložených a přenášených dat. To může ohrozit zabezpečení a ochranu osobních údajů dat a přihlašovacích údajů.
Skenování typů a plánů
Defender for Cloud poskytuje různé typy prohledávání tajných kódů.
| Typ skenování | Podrobnosti | Plánování podpory |
|---|---|---|
| Skenování počítačů | Kontrola tajných kódů bez agentů na virtuálních počítačích s více cloudy | Plán Defender for Cloud Security Management (CSPM) nebo Defender for Servers Plan 2. |
| Kontrola prostředků cloudového nasazení | Kontrola tajných kódů bez agentů napříč prostředky nasazení infrastruktury jako kódu ve více cloudech | Plán CSPM v programu Defender. |
| Kontrola úložiště kódu | Skenování pro zjišťování vystavených tajných kódů v Azure DevOps | Plán CSPM v programu Defender. |
Kontrola oprávnění
Pokud chcete používat kontrolu tajných kódů, potřebujete následující oprávnění:
Čtenář zabezpečení
Správce zabezpečení
Čtenář
Přispěvatel
- Vlastník
Kontrola zjištění tajných kódů
K dispozici je celá řada metod pro identifikaci a zmírnění problémů s tajnými kódy. Ne každá metoda se podporuje pro každý tajný kód.
- Zkontrolujte tajné kódy v inventáři prostředků: Inventář zobrazuje stav zabezpečení prostředků připojených k Defenderu pro cloud. V inventáři můžete zobrazit tajné kódy zjištěné na konkrétním počítači.
- Projděte si doporučení k tajným kódům: Když se tajné kódy najdou u prostředků, aktivuje se doporučení v rámci ovládacího prvku Zabezpečení Náprava ohrožení zabezpečení na stránce Doporučení pro cloud v Defenderu. Doporučení se aktivují takto:
- Projděte si tajné kódy pomocí Průzkumníka zabezpečení cloudu. Pomocí Průzkumníka zabezpečení cloudu můžete dotazovat graf zabezpečení cloudu na přehledy tajných kódů. Můžete vytvořit vlastní dotazy nebo použít některou z předdefinovaných šablon k dotazování na tajné kódy virtuálních počítačů v celém prostředí.
- Projděte si cesty útoku: Analýza cest útoku kontroluje graf cloudového zabezpečení, aby zpřístupnil zneužitelné cesty, které by mohly útoky použít k narušení vašeho prostředí a dosažení prostředků s vysokým dopadem. Kontrola tajných kódů virtuálních počítačů podporuje řadu scénářů cesty útoku.
Podpora tajných kódů
Defender for Cloud podporuje zjišťování typů tajných kódů shrnutých v tabulce. Ve sloupci Kontrola se označují metody, které můžete použít k prozkoumání a nápravě doporučení k tajným kódům.
| Typ tajných kódů | Zjišťování tajných kódů virtuálních počítačů | Zjišťování tajných kódů nasazení v cloudu | Kontrola pomocí |
|---|---|---|---|
| Nezabezpečené privátní klíče SSH Podporuje algoritmus RSA pro soubory PuTTy. Standardy PKCS#8 a PKCS#1 Standard OpenSSH |
Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Azure SQL připojovací řetězec pro prostý text podporují SQL PAAS. | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Plaintext Azure database for PostgreSQL. | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Plaintext Azure database for MySQL. | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Plaintext Azure database for MariaDB. | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Plaintext Azure Cosmos DB, včetně PostgreSQL, MySQL a MariaDB | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Plaintext AWS RDS připojovací řetězec podporuje SQL PAAS: Plaintext Amazon Aurora s příchutěmi Postgres a MySQL. Plaintext Amazon custom RDS with Oracle and SQL Server flavors. |
Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Účet úložiště Azure ve formátu prostého textu připojovací řetězec | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Účet úložiště Azure ve formátu prostého textu připojovací řetězec. | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Tokeny SAS účtu úložiště Azure v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Přístupové klíče AWS v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Předsignovaná adresa URL AWS S3 v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu, doporučení, cesty útoku |
| Adresa URL podepsané úložištěm Google ve formátu prostého textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Tajný klíč klienta Azure AD ve formátu prostého textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Token patu Azure DevOps v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Osobní přístupový token GitHubu v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Prostý text Aplikace Azure konfiguračního přístupového klíče. | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Klíč služby Azure Cognitive Service v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Přihlašovací údaje uživatele Azure AD ve formátu prostého textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový klíč služby Azure Container Registry v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Heslo pro nasazení služby Aplikace Azure prostého textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Token patu Azure Databricks v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový klíč Azure SignalR v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Klíč předplatného služby Azure API Management v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Tajný klíč služby Azure Bot Framework v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Klíč rozhraní API webové služby Azure Machine Learning v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový klíč služby Azure Communication Services v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový klíč azure Event Gridu ve formátu prostého textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový klíč prostého textu webové služby Amazon Marketplace (MWS). | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Klíč předplatného Azure Maps v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový klíč pro prostý text Azure Web PubSub | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Klíč rozhraní API OpenAI v prostém textu. | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Sdílený přístupový klíč služby Azure Batch v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Token autora NPM v prostém textu | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Prostý text certifikátu správy předplatného Azure | Ano | Yes | Inventář, Průzkumník zabezpečení cloudu. |
| Klíč rozhraní API GCP v prostém textu. | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Přihlašovací údaje AWS Redshift v prostém textu. | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Privátní klíč prostého textu. | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Připojovací řetězec ODBC ve formátu prostého textu. | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Obecné heslo prostého textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Přihlašovací údaje uživatele ve formátu prostého textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Osobní token Travis v prostém textu. | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový token Slack ve formátu prostého textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Prostý text ASP.NET klíč počítače. | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Autorizační hlavička HTTP prostého textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Heslo Azure Redis Cache ve formátu prostého textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Sdílený přístupový klíč Azure IoT v prostém textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Tajný klíč aplikace Azure DevOps v prostém textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Klíč rozhraní API pro funkci Azure Functions v prostém textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Sdílený přístupový klíč Azure v prostém textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Sdílený přístupový podpis aplikace logiky Azure v prostém textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Přístupový token Azure Active Directory v prostém textu | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |
| Prostý text sdíleného přístupového podpisu služby Azure Service Bus | No | Ano | Inventář, Průzkumník zabezpečení cloudu. |