Compartir vía


Protección los secretos de la implementación de la nube

Microsoft Defender for Cloud proporciona un examen de secretos sin agente para las implementaciones en la nube.

¿Qué es la implementación en la nube?

La implementación en la nube hace referencia al proceso de implementación y administración de recursos en proveedores de nube como Azure y AWS a gran escala, mediante herramientas como plantillas de Azure Resource Manager y la pila de AWS CloudFormation. Es decir, una implementación en la nube es una instancia de una plantilla de infraestructura como código (IaC).

Cada nube proporciona una consulta de API y, al consultar las API para los recursos de implementación en la nube, normalmente se recuperan metadatos de implementación, como plantillas de implementación, parámetros, salida y etiquetas.

Seguridad del desarrollo de software al runtime

Las soluciones de examen de secretos tradicionales suelen detectar secretos mal colocados en repositorios de código, canalizaciones de código o archivos dentro de máquinas virtuales y contenedores. Los recursos de implementación en la nube tienden a pasarse por alto y pueden incluir secretos de texto no cifrado que pueden dar lugar a recursos críticos, como bases de datos, almacenamiento de blobs, repositorios de GitHub y servicios de Azure OpenAI. Estos secretos pueden permitir a los atacantes aprovechar las superficies de ataque ocultas en entornos de nube.

El examen de secretos de implementación en la nube agrega una capa adicional de seguridad, abordando escenarios como:

  • Mayor cobertura de seguridad: en Defender for Cloud, las funcionalidades de seguridad de DevOps de Defender for Cloud pueden identificar secretos expuestos en plataformas de administración de control de código fuente. Sin embargo, las implementaciones en la nube desencadenadas manualmente desde la estación de trabajo de un desarrollador pueden dar lugar a secretos expuestos que podrían pasarse por alto. Además, algunos secretos solo pueden aparecer durante el tiempo de ejecución de implementación, como los que se muestran en las salidas de implementación o aquellos resueltos desde Azure Key Vault. El examen de secretos de implementación en la nube cierra esta brecha.
  • Prevención del movimiento lateral: la detección de secretos expuestos dentro de los recursos de implementación supone un riesgo significativo de acceso no autorizado.
    • Los actores de amenazas pueden aprovechar estas vulnerabilidades para atravesar lateralmente un entorno y, en última instancia, poner en peligro los servicios críticos
    • El uso del análisis de rutas de acceso a ataques con el examen de secretos de implementación en la nube detectará automáticamente rutas de acceso de ataque que implican una implementación de Azure que podría provocar una vulneración de datos confidenciales.
  • Detección de recursos: el impacto de los recursos de implementación mal configurados puede ser extenso, lo que conduce a que los nuevos recursos se creen en una superficie expuesta a ataques en expansión.
    • La detección y protección de secretos dentro de los datos del plano de control de recursos puede ayudar a evitar posibles infracciones.
    • Abordar los secretos expuestos durante la creación de recursos puede ser especialmente difícil.
    • El examen de secretos de implementación en la nube ayuda a identificar y mitigar estas vulnerabilidades en una fase temprana.

El examen le ayuda a detectar rápidamente secretos de texto no cifrado en implementaciones en la nube. Si se detectan secretos, Defender for Cloud puede ayudar al equipo de seguridad a priorizar la acción y corregir para minimizar el riesgo de que se produzca un movimiento lateral.

¿Cómo funciona el examen de secretos de implementación en la nube?

El examen le ayuda a detectar rápidamente secretos de texto no cifrado en implementaciones en la nube. El examen de secretos de los recursos de implementación en la nube es un proceso sin agente y usa la API del plano de control en la nube.

El motor de análisis de secretos de Microsoft comprueba si se pueden usar claves privadas SSH para moverse lateralmente en la red.

  • Las claves SSH que no se han comprobado correctamente se clasifican como no comprobadas en la página Recomendaciones de Defender for Cloud.
  • Los directorios reconocidos como que contienen contenido relacionado con pruebas se excluyen del examen.

¿Qué es compatible?

El examen de recursos de implementación en la nube detecta secretos de texto no cifrado. El examen está disponible cuando se usa el plan de Administración de la posición de seguridad en la nube (CSPM) de Defender. Se admite la implementación en la nube de Azure y AWS. Revise la lista de secretos que Defender for Cloud puede detectar.

¿Cómo se pueden identificar y corregir problemas de secretos?

Existen varias maneras:

  • Revisión de secretos en el inventario de recursos: el inventario muestra el estado de seguridad de los recursos conectados a Defender for Cloud. Desde el inventario, puede ver los secretos detectados en una máquina específica.
  • Revisar las recomendaciones de secretos: cuando se encuentran secretos en recursos, se desencadena una recomendación en el control de seguridad Corregir vulnerabilidades en la página Recomendaciones de Defender for Cloud.

Recomendaciones de seguridad

Están disponibles las siguientes recomendaciones de seguridad de secretos de implementación en la nube:

  • Recursos de Azure: las implementaciones de Azure Resource Manager deben tener resueltos los hallazgos de secretos.
  • Recursos de AWS: la pila de AWS CloudFormation debe tener resueltos los hallazgos de secretos.

Escenarios de ruta de acceso a ataques

El análisis de rutas de acceso a ataques es un algoritmo basado en gráficos que examina el gráfico de seguridad en la nube para exponer rutas de acceso aprovechables que los atacantes pueden usar para llegar a recursos de alto impacto.

Consultas predefinidas del explorador de seguridad en la nube

Cloud Security Explorer le permite identificar proactivamente posibles riesgos de seguridad en su entorno de nube. Para ello, consulta el gráfico de seguridad en la nube. Cree consultas seleccionando tipos de recursos de implementación en la nube y los tipos de secretos que desea encontrar.

Análisis de secretos de máquina virtual.