Compartir vía


Protección de secretos de máquina virtual

Defender for Cloud proporciona el examen de secretos sin agente para máquinas virtuales. El examen le ayuda a detectar, priorizar y corregir rápidamente los secretos expuestos. La detección de secretos puede identificar una amplia gama de tipos de secretos, como tokens, contraseñas, claves o credenciales, almacenados en diferentes tipos de archivo en el sistema de archivos del sistema operativo.

El examen de secretos sin agente de Defender for Cloud para Virtual Machines (VM) busca secretos de texto no cifrado que existan en su entorno. Si se detectan secretos, Defender for Cloud puede ayudar al equipo de seguridad a priorizar y realizar pasos de corrección accionables para minimizar el riesgo de movimiento lateral, todo ello sin afectar al rendimiento de la máquina.

¿Cómo funciona el examen de secretos de máquina virtual?

El examen de secretos de máquina virtual es un proceso sin agente y usa API en la nube.

  1. El examen captura las instantáneas de disco y las analiza, sin afectar al rendimiento de la máquina virtual.
  2. Después de que el motor de examen de secretos de Microsoft recopila metadatos de secretos del disco, los envía a Defender for Cloud.
  3. El motor de examen de secretos comprueba si se pueden usar claves privadas SSH para moverse lateralmente en la red.
    • Las claves SSH que no se han comprobado correctamente se clasifican como no comprobadas en la página Recomendaciones de Defender for Cloud.
    • Los directorios reconocidos como que contienen contenido relacionado con pruebas se excluyen del examen.

¿Qué es compatible?

El examen de secretos de máquina virtual está disponible cuando se usa el plan 2 de Defender para servidores o la Administración de la posición de seguridad en la nube (CSPM) de Defender. El examen de secretos de máquina virtual puede examinar máquinas virtuales de Azure y las instancias de AWS/GCP incorporadas a Defender for Cloud. Revise los secretos que puede detectar Defender for Cloud.

¿Cómo mitiga el riesgo el examen de secretos de máquina virtual?

El examen de secretos ayuda a reducir el riesgo con las siguientes mitigaciones:

  • Eliminar secretos que no son necesarios.
  • Usar el principio de privilegios mínimos.
  • Reforzar la seguridad de los secretos mediante sistemas de administración de secretos como Azure Key Vault.
  • Uso de secretos de corta duración, como sustituir cadenas de conexión de Azure Storage con tokens de SAS que poseen períodos de validez más cortos.

¿Cómo se pueden identificar y corregir problemas de secretos?

Hay varias maneras. No todos los métodos son compatibles con todos los secretos. Revise la lista de secretos admitidos para obtener más detalles.

  • Revisión de secretos en el inventario de recursos: el inventario muestra el estado de seguridad de los recursos conectados a Defender for Cloud. Desde el inventario, puede ver los secretos detectados en una máquina específica.
  • Revisar las recomendaciones de secretos: cuando se encuentran secretos en recursos, se desencadena una recomendación en el control de seguridad Corregir vulnerabilidades en la página Recomendaciones de Defender for Cloud. Las recomendaciones se desencadenan de la siguiente manera:
  • Revise los secretos con el Explorador de seguridad en la nube. Use el Explorador de seguridad en la nube para consultar el gráfico de seguridad en la nube. Puede crear sus propias consultas o usar una de las plantillas integradas para consultar secretos de máquina virtual en todo el entorno.
  • Revisar las rutas de acceso de ataques: el análisis de rutas de acceso de ataques examina el gráfico de seguridad en la nube para exponer rutas de acceso aprovechables que los ataques pueden usar para infringir el entorno y llegar a recursos de alto impacto. El examen de secretos de máquina virtual admite una serie de escenarios de ruta de acceso de ataques.

Recomendaciones de seguridad

Están disponibles las siguientes recomendaciones de seguridad de secretos de máquina virtual:

  • Recursos de Azure: las máquinas deben tener resueltos los hallazgos de secretos
  • Recursos de AWS: las instancias de EC2 deben tener resueltos los hallazgos de secretos
  • Recursos de GCP: las instancias de máquina virtual deben tener resueltos los hallazgos de secretos.

Escenarios de ruta de acceso de ataques

En la tabla se resumen las rutas de acceso de ataques admitidas.

VM Rutas de acceso de ataques
Azure La máquina virtual vulnerable expuesta tiene una clave privada SSH no segura que se usa para autenticarse en una máquina virtual.
La máquina virtual vulnerable expuesta tiene secretos no seguros que se usan para autenticarse en una cuenta de almacenamiento.
La máquina virtual vulnerable tiene secretos no seguros que se usan para autenticarse en una cuenta de almacenamiento.
La máquina virtual vulnerable expuesta tiene secretos no seguros que se usan para autenticarse en un servidor SQL.
AWS La instancia de EC2 vulnerable expuesta tiene una clave privada SSH no segura que se usa para autenticarse en una instancia de EC2.
La instancia de EC2 vulnerable expuesta tiene un secreto no seguro que se usa para autenticarse en una cuenta de almacenamiento.
La instancia de EC2 vulnerable expuesta tiene secretos no seguros que se usan para autenticarse en un servidor de AWS RDS.
La instancia de EC2 vulnerable tiene secretos no seguros que se usan para autenticarse en un servidor de AWS RDS.
GCP La instancia de máquina virtual de GCP vulnerable expuesta tiene una clave privada SSH no segura que se usa para autenticarse en una instancia de máquina virtual de GCP.

Consultas predefinidas del explorador de seguridad en la nube

Defender for Cloud proporciona estas consultas predefinidas para investigar problemas de seguridad de secretos:

  • Máquina virtual con secreto de texto no cifrado que se puede autenticar en otra máquina virtual: devuelve todas las máquinas virtuales de Azure, instancias de AWS EC2, o instancias de máquina virtual de GCP con secreto de texto no cifrado que pueden acceder a otras máquinas virtuales o EC2.
  • Máquina virtual con secreto de texto no cifrado que se puede autenticar en una cuenta de almacenamiento: devuelve todas las máquinas virtuales de Azure, instancias de AWS EC2, o instancias de máquina virtual de GCP con un secreto de texto no cifrado que pueden acceder a cuentas de almacenamiento.
  • máquina virtual con secreto de texto no cifrado que se puede autenticar en una base de datos SQL: devuelve todas las máquinas virtuales de Azure, las instancias de AWS EC2 o las instancias de máquina virtual de GCP con secreto de texto no cifrado que pueden acceder a bases de datos SQL.

¿Cómo se mitigan los problemas de secretos de manera eficaz?

Es importante poder priorizar los secretos e identificar cuáles necesitan atención inmediata. Para ayudarle a hacer esto, Defender for Cloud proporciona lo siguiente:

  • Proporcionar metadatos enriquecidos para cada secreto, como la hora de último acceso para un archivo, la fecha de expiración de un token, una indicación de si el recurso de destino al que los secretos proporcionan acceso existe, etc.
  • Combinar metadatos de secretos con el contexto de recursos en la nube. Esto le ayuda a empezar con los recursos que se exponen a Internet o contienen secretos que podrían poner en peligro otros recursos confidenciales. Los hallazgos del examen de secretos se incorporan a la priorización de recomendaciones basadas en riesgos.
  • Proporcionar varias vistas para ayudarle a identificar los secretos más comunes o los recursos que contienen secretos.

Examen de secretos de implementación en la nube