Ochrana tajných kódů úložiště kódu
Defender for Cloud upozorní organizace na vystavené tajné kódy v úložištích kódu z GitHubu a Azure DevOps. Detekce tajných kódů pomáhá rychle zjišťovat, určovat prioritu a opravovat vystavené tajné kódy, jako jsou tokeny, hesla, klíče nebo přihlašovací údaje uložené v libovolném souboru v úložišti kódu.
Pokud se zjistí tajné kódy, může Defender for Cloud pomoct vašemu týmu zabezpečení určit prioritu a podniknout kroky k nápravě, které umožní minimalizovat riziko laterálního pohybu tím, že identifikuje cílový prostředek, ke kterému má tajný klíč přístup.
Jak funguje kontrola tajných kódů úložiště kódu?
Vyhledávání tajných kódů pro úložiště kódu spoléhá na GitHub Advanced Security pro GitHub a Azure DevOps. GitHub Advanced Security prohledá celou historii Gitu ve všech větvích, které jsou ve vašem úložišti, tajné kódy, i když je úložiště archivované.
Další informace najdete v dokumentaci ke gitHubu Advanced Security pro GitHub a Azure DevOps.
Co je podporované?
Kontrola tajných kódů úložiště kódu je k dispozici s potřebnou licencí GitHub Advanced Security. Zobrazení zjištění v programu Defender for Cloud je součástí základní správy stavu zabezpečení cloudu. K detekci možností laterálního pohybu prostředků modulu runtime se vyžaduje správa stavu zabezpečení cloudu Defenderu.
V tuto chvíli jsou cesty útoku pro vystavené tajné kódy dostupné jenom pro úložiště Azure DevOps.
Jak kontrola úložiště kódu snižuje riziko?
Kontrola tajných kódů pomáhá snížit riziko s využitím následujících omezení rizik:
- Zabránění laterálnímu pohybu: Zjišťování vystavených tajných kódů v úložištích kódu představuje významné riziko neoprávněného přístupu, protože aktéři hrozeb můžou tyto tajné kódy využít k ohrožení důležitých prostředků.
- Odstranění tajných kódů, které nejsou potřeba: Když budete vědět, že konkrétní tajné kódy nemají přístup k žádným prostředkům ve vašem tenantovi, můžete bezpečně spolupracovat s vývojáři na odebrání těchto tajných kódů. Kromě toho budete vědět, kdy vypršela platnost tajných kódů.
- Posílení zabezpečení tajných kódů: Získání doporučení k používání systémů pro správu tajných kódů, jako je Azure Key Vault.
Návody identifikovat a opravit problémy s tajnými kódy?
Existuje několik způsobů, jak identifikovat a opravit vystavené tajné kódy. Pro každý tajný klíč se ale nepodporuje každá níže uvedená metoda.
- Projděte si doporučení k tajným kódům: Když se tajné kódy najdou na prostředcích, aktivuje se doporučení pro příslušné úložiště kódu na stránce Doporučení defenderu pro cloud.
- Projděte si tajné kódy pomocí Průzkumníka zabezpečení cloudu: Pomocí Průzkumníka zabezpečení cloudu se dotazujte na graf zabezpečení cloudu pro úložiště kódu, která obsahují tajné kódy.
- Projděte si cesty útoku: Analýza cest útoku kontroluje graf cloudového zabezpečení, aby zpřístupnil zneužitelné cesty, které by mohly útoky použít k narušení vašeho prostředí a dosažení prostředků s vysokým dopadem.
Doporučení zabezpečení
K dispozici jsou následující doporučení zabezpečení tajných kódů:
- Úložiště Azure DevOps: Úložiště Azure DevOps by měla mít vyřešená zjištění kontroly tajných kódů.
- Úložiště GitHub: Úložiště GitHubu by měla mít vyřešená zjištění kontroly tajných kódů.
Scénáře cest útoku
Analýza cesty útoku je algoritmus založený na grafech, který prohledá graf cloudového zabezpečení a zpřístupňuje zneužitelné cesty, které by útočníci mohli použít k dosažení prostředků s vysokým dopadem. Mezi potenciální způsoby útoku patří:
- Úložiště Azure DevOps obsahuje vystavený tajný kód s laterálním přesunem do databáze SQL.
- Veřejně přístupné úložiště Azure DevOps obsahuje vystavený tajný kód s laterálním přesunem do účtu úložiště.
Dotazy v Průzkumníku zabezpečení cloudu
Pokud chcete prozkoumat dostupné tajné kódy a možnosti laterálního pohybu, můžete použít následující dotazy:
- Úložiště kódu obsahují tajné kódy.
- Úložiště Azure DevOps obsahují tajné kódy, které se můžou ověřit ve službě Object Storage nebo spravovaných databázích.
Návody efektivně zmírnit problémy s tajnými kódy?
Je důležité mít možnost určit prioritu tajných kódů a identifikovat, které z nich vyžadují okamžitou pozornost. Program Defender for Cloud vám pomůže s tímto postupovat takto:
- Bohatá metadata pro každý tajný klíč, například cestu k souboru, číslo řádku, sloupec, hodnotu hash potvrzení, adresu URL souboru, adresu URL upozornění služby GitHub Advanced Security a indikaci, jestli cílový prostředek poskytuje přístup k existenci tajných kódů.
- Metadata tajných kódů v kombinaci s kontextem cloudových prostředků To vám pomůže začít s prostředky, které jsou vystaveny internetu nebo obsahují tajné kódy, které by mohly ohrozit jiné citlivé prostředky. Zjištění kontroly tajných kódů se začlení do stanovení priority doporučení na základě rizika.
Související obsah
Přehled zabezpečení DevOps pro prohledávánítajných kódů virtuálních počítačů při nasazovánído cloudu