Sdílet prostřednictvím


Ochrana tajných kódů nasazení cloudu

Microsoft Defender for Cloud poskytuje kontrolu tajných kódů bez agentů pro nasazení v cloudu.

Co je cloudové nasazení?

Cloudové nasazení se týká procesu nasazování a správy prostředků u poskytovatelů cloudu, jako jsou Azure a AWS ve velkém měřítku, pomocí nástrojů, jako jsou šablony Azure Resource Manageru a zásobník AWS CloudFormation. Jinými slovy, cloudové nasazení je instance šablony infrastruktury jako kódu (IaC).

Každý cloud poskytuje dotaz rozhraní API a při dotazování rozhraní API pro prostředky cloudového nasazení obvykle načítáte metadata nasazení, jako jsou šablony nasazení, parametry, výstup a značky.

Zabezpečení z vývoje softwaru do modulu runtime

Tradiční řešení pro kontrolu tajných kódů často detekují chybně umístěné tajné kódy v úložištích kódu, kanálech kódu nebo souborech v rámci virtuálních počítačů a kontejnerů. Prostředky cloudového nasazení se obvykle přehlíží a můžou potenciálně zahrnovat tajné kódy prostého textu, které můžou vést k důležitým prostředkům, jako jsou databáze, úložiště objektů blob, úložiště GitHub a služby Azure OpenAI. Tyto tajné kódy můžou útočníkům umožnit zneužít jinak skryté prostory útoku v cloudových prostředích.

Vyhledávání tajných kódů nasazení cloudu přidává další vrstvu zabezpečení a řeší scénáře, jako jsou:

  • Zvýšené pokrytí zabezpečení: Funkce zabezpečení DevOps v defenderu pro cloud můžou identifikovat vystavené tajné kódy v rámci platforem správy správy zdrojového kódu. Ruční aktivace cloudových nasazení z pracovní stanice vývojáře ale může vést k odhalení tajných kódů, které by mohly být přehlédnuty. Kromě toho se některé tajné kódy můžou zobrazit jenom během modulu runtime nasazení, jako jsou ty, které se odhalily ve výstupech nasazení, nebo vyřešené ze služby Azure Key Vault. Kontrola tajných kódů nasazení cloudu tuto mezeru přemísní.
  • Zabránění laterálnímu pohybu: Zjišťování vystavených tajných kódů v rámci prostředků nasazení představuje významné riziko neoprávněného přístupu.
    • Aktéři hrozeb můžou tato ohrožení zabezpečení zneužít k pozdějšímu procházení napříč prostředím a nakonec ohrozit důležité služby.
    • Při analýze cesty útoku s kontrolou tajných kódů nasazení cloudu se automaticky objeví cesty útoku zahrnující nasazení Azure, které může vést k narušení zabezpečení citlivých dat.
  • Zjišťování prostředků: Dopad chybně nakonfigurovaných prostředků nasazení může být rozsáhlý, což vede k vytvoření nových prostředků na rozšiřujícím prostoru útoku.
    • Detekce a zabezpečení tajných kódů v datech roviny řízení prostředků může pomoct zabránit potenciálním porušením zabezpečení.
    • Řešení vystavených tajných kódů během vytváření prostředků může být obzvláště náročné.
    • Kontrola tajných kódů nasazení cloudu pomáhá identifikovat a zmírnit tato ohrožení zabezpečení v rané fázi.

Skenování pomáhá rychle rozpoznat tajné kódy prostého textu v cloudových nasazeních. Pokud se zjistí, že defender for Cloud zjistí, může týmu zabezpečení pomoct určit prioritu akce a napravit riziko laterálního pohybu.

Jak funguje prohledávání tajných kódů nasazení cloudu?

Skenování pomáhá rychle rozpoznat tajné kódy prostého textu v cloudových nasazeních. Vyhledávání tajných kódů pro prostředky cloudového nasazení je bez agentů a používá rozhraní API roviny řízení cloudu.

Modul pro kontrolu tajných kódů Microsoftu ověřuje, jestli se privátní klíče SSH dají použít k pozdějšímu přesunu ve vaší síti.

  • Klíče SSH, které se úspěšně neověřují, jsou na stránce Doporučení pro cloud v Defenderu pro cloud zařazené do kategorií jako neověřené.
  • Adresáře rozpoznané jako obsahující obsah související s testem jsou vyloučené z kontroly.

Co je podporované?

Vyhledávání prostředků cloudového nasazení detekuje tajné kódy prostého textu. Kontrola je dostupná, když používáte plán Správy stavu zabezpečení cloudu (CSPM) v programu Defender. Podporuje se nasazení cloudu Azure a AWS. Projděte si seznam tajných kódů, které může Defender for Cloud zjistit.

Návody identita a náprava problémů s tajnými kódy?

Existuje několik způsobů:

  • Zkontrolujte tajné kódy v inventáři prostředků: Inventář zobrazuje stav zabezpečení prostředků připojených k Defenderu pro cloud. V inventáři můžete zobrazit tajné kódy zjištěné na konkrétním počítači.
  • Projděte si doporučení k tajným kódům: Když se tajné kódy najdou u prostředků, aktivuje se doporučení v rámci ovládacího prvku Zabezpečení Náprava ohrožení zabezpečení na stránce Doporučení pro cloud v Defenderu.

Doporučení zabezpečení

K dispozici jsou následující doporučení zabezpečení tajných kódů nasazení cloudu:

  • Prostředky Azure: Nasazení Azure Resource Manageru by měla mít vyřešená zjištění tajných kódů.
  • Prostředky AWS: AWS CloudFormation Stack by měl mít vyřešené tajné kódy.

Scénáře cest útoku

Analýza cesty útoku je algoritmus založený na grafech, který prohledá graf cloudového zabezpečení a zpřístupňuje zneužitelné cesty, které by útočníci mohli použít k dosažení prostředků s vysokým dopadem.

Předdefinované dotazy Průzkumníka zabezpečení cloudu

Průzkumník zabezpečení cloudu umožňuje proaktivně identifikovat potenciální rizika zabezpečení v rámci vašeho cloudového prostředí. Provede to dotazováním grafu cloudového zabezpečení. Vytvářejte dotazy výběrem typů prostředků cloudového nasazení a typy tajných kódů, které chcete najít.

Kontrola tajných kódů virtuálních počítačů