Compartir vía


Protección de secretos en Defender for Cloud

Microsoft Defender for Cloud ayuda al equipo de seguridad a minimizar el riesgo de que los atacantes aprovechen los secretos de seguridad.

Después de obtener acceso inicial, los atacantes pueden moverse lateralmente entre redes, buscar datos confidenciales y aprovechar vulnerabilidades para dañar los sistemas de información críticos mediante el acceso a implementaciones en la nube, recursos y cargas de trabajo accesibles desde Internet. El movimiento lateral suele implicar amenazas de credenciales que suelen aprovechar datos confidenciales, por ejemplo, credenciales expuestas y secretos, como contraseñas, claves, tokens y cadenas de conexión para obtener acceso a recursos adicionales. Los secretos a menudo se encuentran en archivos, almacenados en discos de máquina virtual o en contenedores, en implementaciones multinube. Los secretos expuestos se producen por varias razones:

  • Falta de conocimiento: es posible que las organizaciones no conozcan los riesgos y consecuencias de la exposición de secretos en su entorno de nube. Es posible que no haya una directiva clara sobre el control y la protección de secretos en archivos de código y configuración.
  • Falta de herramientas de detección: es posible que las herramientas no estén en vigor para detectar y corregir fugas de secretos.
  • Complejidad y velocidad: el desarrollo de software moderno es complejo y rápido, basado en varias plataformas en la nube, software de código abierto y código de terceros. Los desarrolladores pueden usar secretos para acceder e integrar recursos y servicios en entornos en la nube. Podrían almacenar secretos en repositorios de código fuente para mayor comodidad y reutilización. Esto puede provocar la exposición accidental de secretos en repositorios públicos o privados, o durante la transferencia o el procesamiento de datos.
  • Equilibrio entre la seguridad y la facilidad de uso: las organizaciones pueden mantener los secretos expuestos en entornos en la nube para facilitar el uso, para evitar la complejidad y la latencia del cifrado, así como el descifrado de datos en reposo y en tránsito. Esto puede poner en peligro la seguridad y la privacidad de los datos y las credenciales.

Defender for Cloud proporciona el análisis de secretos de las máquinas virtuales y de las implementaciones en la nube para reducir el riesgo de movimiento lateral.

  • Máquinas virtuales: análisis de secretos sin agente en máquinas virtuales multinube.
  • Implementaciones en la nube: análisis de secretos sin agente en recursos de implementación de infraestructura como código multinube.
  • Azure DevOps: análisis para detectar secretos expuestos en Azure DevOps.

Requisitos previos

Roles y permisos necesarios:

  • Lector de seguridad

    • Administrador de seguridad

      • Lector

        • Colaborador

          • Propietario

Implementación de análisis de secretos

El análisis de secretos se ofrece como una característica en los planes de Defender for Cloud:

  • Análisis de máquinas virtuales: se proporciona con el plan de administración de la posición de seguridad en la nube (CSPM) de Defender para servidores o con el plan 2 de Defender para servidores.

  • Análisis de recursos de implementación en la nube: se proporciona con CSPM de Defender.

  • Análisis de repositorios de código: se proporciona con Defender CSPM y Seguridad avanzada para GitHub y Azure DevOps.

Revisión de los resultados de secretos

Puede revisar e investigar los resultados de seguridad de los secretos de dos maneras:

  • Revisión del inventario de recursos. En la página Inventario puede obtener una vista general de los secretos.
  • Revisión de las recomendaciones de secretos: en la página Recomendaciones de Defender for Cloud, puede revisar y corregir recomendaciones de secretos. Obtenga más información sobre cómo investigar recomendaciones y alertas.
  • Investigación de la información de seguridad: puede usar Cloud Security Explorer para consultar el gráfico de seguridad en la nube. Puede crear sus propias consultas o usar plantillas de consulta predefinidas.
  • Uso de rutas de acceso de ataque: puede usar rutas de acceso de ataque para investigar y corregir el riesgo de secretos críticos. Más información.

Compatibilidad con la detección

Defender for Cloud admite la detección de los tipos de secretos que se resumen en la tabla.

Tipo de secretos Detección de secretos de máquina virtual Detección de secretos de implementación en la nube Revisión de ubicación
Claves privadas SSH no seguras
Admite algoritmo RSA para archivos PuTTy.
Estándares PKCS#8 y PKCS#1
Estándar OpenSSH
Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Cadenas de conexión de Azure SQL de texto no cifrado, admite PAAS de SQL. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Base de datos de Azure de texto no cifrado para PostgreSQL. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Base de datos de Azure de texto no cifrado para MySQL. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Base de datos de Azure de texto no cifrado para MariaDB. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Texto no cifrado de Azure Cosmos DB, incluidos PostgreSQL, MySQL y MariaDB. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
La cadena de conexión de AWS RDS de texto no cifrado admite PAAS de SQL:
Texto no cifrado Amazon Aurora con tipos Postgres y MySQL.
RDS personalizado de Amazon de texto no cifrado con tipos de Oracle y SQL Server.
Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Cadena de conexión de texto no cifrado a una cuenta de almacenamiento de Azure Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Cadena de conexión de texto no cifrado a una cuenta de almacenamiento de Azure. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Tokens de SAS de texto no cifrado de la cuenta de almacenamiento de Azure. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Claves de acceso de AWS de texto no cifrado. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
URL prefirmada de AWS S3 de texto no cifrado. Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques
Dirección URL firmada de Google Storage de texto no cifrado. Inventario, Cloud Security Explorer
Secreto de cliente de Azure AD de texto no cifrado. Inventario, Cloud Security Explorer
Token de acceso personal de Azure DevOps de texto no cifrado. Inventario, Cloud Security Explorer
Token de acceso personal de GitHub de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso de Azure App Configuration de texto no cifrado. Inventario, Cloud Security Explorer
Clave de Azure Cognitive Service de texto no cifrado. Inventario, Cloud Security Explorer
Credenciales de usuario de Azure AD de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso de Azure Container Registry de texto no cifrado. Inventario, Cloud Security Explorer
Contraseña de implementación de Azure App Service de texto no cifrado. Inventario, Cloud Security Explorer
Token de acceso personal de Azure Databricks de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso de Azure SignalR de texto no cifrado. Inventario, Cloud Security Explorer
Clave de suscripción de Azure API Management de texto no cifrado. Inventario, Cloud Security Explorer
Clave secreta de Azure Bot Framework de texto no cifrado. Inventario, Cloud Security Explorer
Clave de API del servicio web de Azure Machine Learning de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso de Azure Communication Services de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso de Azure Event Grid de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso de Amazon Marketplace Web Service (MWS) de texto no cifrado. Inventario, Cloud Security Explorer
Clave de suscripción de Azure Maps de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso de Azure Web PubSub de texto no cifrado. Inventario, Cloud Security Explorer
Clave de API de OpenAI de texto no cifrado. Inventario, Cloud Security Explorer
Clave de acceso compartido de Azure Batch de texto no cifrado. Inventario, Cloud Security Explorer
Token de autor de NPM de texto no cifrado. Inventario, Cloud Security Explorer
Certificado de administración de suscripciones de Azure de texto no cifrado. Inventario, Cloud Security Explorer
Clave de API de GCP de texto no cifrado. No Inventario, Cloud Security Explorer
Credenciales de AWS Redshift de texto no cifrado. No Inventario, Cloud Security Explorer
Clave privada de texto no cifrado. No Inventario, Cloud Security Explorer
Cadena de conexión ODBC de texto no cifrado. No Inventario, Cloud Security Explorer
Contraseña general de texto no cifrado. No Inventario, Cloud Security Explorer
Credenciales de inicio de sesión de usuario de texto no cifrado. No Inventario, Cloud Security Explorer
Token personal de Travis de texto no cifrado. No Inventario, Cloud Security Explorer
Token de acceso de Slack de texto no cifrado. No Inventario, Cloud Security Explorer
Clave de máquina de ASP.NET de texto no cifrado. No Inventario, Cloud Security Explorer
Encabezado de autorización HTTP de texto no cifrado. No Inventario, Cloud Security Explorer
Contraseña de Azure Redis Cache de texto no cifrado. No Inventario, Cloud Security Explorer
Clave de acceso compartido de Azure IoT de texto no cifrado. No Inventario, Cloud Security Explorer
Secreto de aplicación de Azure DevOps de texto no cifrado. No Inventario, Cloud Security Explorer
Clave de API de Azure Function de texto no cifrado. No Inventario, Cloud Security Explorer
Clave de acceso compartido de Azure de texto no cifrado. No Inventario, Cloud Security Explorer
Firma de acceso compartido de Azure Logic Apps de texto no cifrado. No Inventario, Cloud Security Explorer
Token de acceso de Azure Active Directory de texto no cifrado. No Inventario, Cloud Security Explorer
Firma de acceso compartido de Azure Service Bus de texto no cifrado. No Inventario, Cloud Security Explorer