Schützen von Geheimnissen in Defender for Cloud
Mit Microsoft Defender for Cloud können Sicherheitsteams das Risiko minimieren, dass Angreifer Sicherheitsgeheimnisse ausnutzen.
Nach dem ersten Zugriff versuchen Angreifer, sich lateral über Netzwerke zu bewegen und auf Ressourcen zuzugreifen, um Sicherheitsrisiken auszunutzen und kritische Informationssysteme zu beschädigen. Laterale Bewegungen umfassen häufig Bedrohungen von Anmeldeinformationen, die in der Regel vertrauliche Daten ausnutzen, wie verfügbare Anmeldeinformationen und Geheimnisse wie Kennwörter, Schlüssel, Tokens und Verbindungszeichenfolgen. So wird versucht, Zugriff auf weitere Ressourcen zu erhalten.
Geheimnisse befinden sich häufig in Bereitstellungen auf mehreren Clouds in Dateien, auf VM-Datenträgern oder in Containern. Die Offenlegung von Geheimnissen kann verschiedene Ursachen haben:
- Fehlendes Bewusstsein: Organisationen sind sich möglicherweise nicht über die Risiken und Folgen offengelegter Geheimnisse im Klaren.
- Fehlende Richtlinien: Möglicherweise gibt es keine klare Unternehmensrichtlinie für den Umgang mit und den Schutz von Geheimnissen in Code- und Konfigurationsdateien.
- Fehlende Ermittlungstools: Es sind möglicherweise keine Tools vorhanden, um Geheimnislecks zu erkennen und zu beheben.
- Komplexität und Geschwindigkeit: Komplexe Umgebungen, die mehrere Cloudplattformen, Open-Source-Software und Drittanbietercode enthalten können. Entwickler verwenden möglicherweise Geheimnisse, um auf Ressourcen und Dienste zuzugreifen und sie zu integrieren, und sie speichern Geheimnisse der Einfachheit halber sowie zur Wiederverwendung in Quellcoderepositorys. Dies kann zur ungewollten Offenlegung von Geheimnissen in öffentlichen oder privaten Repositorys oder bei der Datenübertragung oder -verarbeitung führen.
- Abwägung zwischen Sicherheit und Benutzerfreundlichkeit: Organisationen nutzen möglicherweise der Einfachheit halber in Cloudumgebungen verfügbar gemachte Geheimnisse, um Komplexität und Wartezeiten bei der Ver- und Entschlüsselung ruhender und übertragener Daten zu vermeiden. Dies kann die Sicherheit und den Datenschutz von Daten und Anmeldeinformationen gefährden.
Überprüfungstypen und Überprüfungspläne
Defender for Cloud bietet verschiedene Arten von Geheimnisüberprüfungen.
| Überprüfungstyp | Details | Planunterstützung |
|---|---|---|
| Computerüberprüfung | Geheimnisüberprüfung ohne Agent für Multicloud-VMs. | Plan „Defender for Cloud Security Posture Management“ (CSPM) oder „Defender for Servers Plan 2“. |
| Ressourcenüberprüfung für Cloudbereitstellungen | Geheimnisüberprüfung ohne Agent für verschiedene IaC-Bereitstellungsressourcen (Infrastructure-as-Code) in mehreren Clouds. | Defender CSPM-Plan. |
| Überprüfen von Coderepositorys | Überprüfung auf offengelegte Geheimnisse in Azure DevOps. | Defender CSPM-Plan. |
Berechtigungen für Überprüfungen
Für die Geheimnisüberprüfung sind die folgenden Berechtigungen erforderlich:
Sicherheitsleseberechtigter
Sicherheitsadministrator
Leser
Mitwirkender
- Besitzer
Überprüfen von Ergebnissen für Geheimnisse
Es gibt mehrere Methoden, mit denen Probleme bei Geheimnissen identifiziert und abgemildert werden können. Nicht jede Methode wird für jedes Geheimnis unterstützt.
- Überprüfen der Geheimnisse im Ressourcenbestand: Im Bestand wird der Sicherheitsstatus von Ressourcen angezeigt, die mit Defender for Cloud verbunden sind. Über den Bestand können Sie die Geheimnisse anzeigen, die auf einem bestimmten Computer gefunden wurden.
- Überprüfen der Empfehlungen im Zusammenhang mit Geheimnissen: Wenn Geheimnisse in Ressourcen gefunden werden, wird auf der Seite „Defender for Cloud – Empfehlungen“ unter der Sicherheitskontrolle „Sicherheitsrisiken entschärfen“ eine Empfehlung ausgelöst. Empfehlungen werden wie folgt ausgelöst:
- Überprüfen der Geheimnisse mit dem Cloudsicherheits-Explorer. Verwenden Sie den Cloudsicherheits-Explorer, um den Cloudsicherheitsgraphen auf Erkenntnisse zu Geheimnissen abzufragen. Sie können eigene Abfragen erstellen oder eine der integrierten Vorlagen verwenden, um VM-Geheimnisse in Ihrer Umgebung abzufragen.
- Überprüfen von Angriffspfaden: Die Angriffspfadanalyse überprüft den Cloudsicherheitsgraphen, um Pfade aufzudecken, die von Angreifern verwendet werden können, um in Ihre Umgebung einzudringen und zu wichtigen Ressourcen zu gelangen. Die Überprüfung auf VM-Geheimnisse unterstützt eine Reihe von Angriffspfadszenarien.
Unterstützung von Geheimnissen
Defender for Cloud unterstützt die Ermittlung der Arten von Geheimnissen, die in der Tabelle zusammengefasst sind. Die Spalte Überprüfen mit gibt die Methoden an, die Sie verwenden können, um Empfehlungen zu Geheimnissen zu untersuchen und umzusetzen.
| Geheimnistyp | Ermittlung von VM-Geheimnissen | Ermittlung von Cloudbereitstellungsgeheimnissen | Überprüfen mit |
|---|---|---|---|
| Unsichere private SSH-Schlüssel Unterstützt RSA-Algorithmus für PuTTy-Dateien. PKCS#8- und PKCS#1-Standards OpenSSH-Standard |
Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure SQL-Verbindungszeichenfolgen in Klartext unterstützen SQL-PaaS. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for PostgreSQL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for MySQL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Database for MariaDB im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Azure Cosmos DB im Klartext, einschließlich PostgreSQL, MySQL und MariaDB. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| AWS RDS-Verbindungszeichenfolge in Klartext unterstützt SQL-PaaS: Amazon Aurora im Klartext, inklusive Postgres und MySQL. Amazon: benutzerdefiniertes RDS im Klartext, inklusive Oracle- und SQL Server. |
Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Klartext-Verbindungszeichenfolgen des Azure-Speicherkontos | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Verbindungszeichenfolgen für Azure Storage-Konten im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| SAS-Token für Azure Storage-Konten im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| AWS-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Vorab signierte URL für AWS S3 in Klartext | Ja | Ja | Bestand, Cloudsicherheits-Explorer, Empfehlungen, Angriffspfade |
| Signierte Google-Speicher-URL im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Geheimer Azure AD-Clientschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliche Zugriffstoken für Azure DevOps im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliche GitHub-Zugriffstoken im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure App Configuration-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Cognitive Services-Schlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure AD-Benutzeranmeldeinformationen im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Zugriffsschlüssel für Azure Container Registry im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Bereitstellungskennwörter für Azure App Service im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliche Zugriffstoken für Azure Databricks im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure SignalR-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure API Management-Abonnementschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Geheime Azure Bot Framework-Schlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| API-Schlüssel für den Azure Machine Learning-Webdienst im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Communication Services-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Event Grid-Zugriffsschlüssel in Klartext | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Zugriffsschlüssel für Amazon Marketplace Web Service (MWS) im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Maps-Abonnementschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Web PubSub-Zugriffsschlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| OpenAI-API-Schlüssel im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| SAS-Schlüssel für Azure Batch im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| NPM-Erstellertoken im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| Verwaltungszertifikate für Azure-Abonnements im Klartext. | Ja | Ja | Bestand, Cloudsicherheits-Explorer |
| GCP-API-Schlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| AWS Redshift-Anmeldeinformationen in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Privater Schlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| ODBC-Verbindungszeichenfolge in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Allgemeines Kennwort in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Benutzeranmeldeinformationen in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Persönliches Travis-Token in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Slack-Zugriffstoken in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| ASP.NET-Computerschlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| HTTP-Autorisierungsheader in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure Redis Cache-Kennwort in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| SAS-Schlüssel für Azure IoT in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| App-Geheimnis für Azure DevOps in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Schlüssel für Azure-Funktions-API in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Azure-SAS-Schlüssel in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Shared Access Signature für Azure-Logik-App in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Zugriffstoken für Azure Active Directory in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |
| Shared Access Signature für Azure Service Bus in Klartext | No | Ja | Bestand, Cloudsicherheits-Explorer |