Protection de secrets dans Defender pour le cloud
Microsoft Defender for Cloud aide l’équipe de sécurité à réduire le risque d’exploitation des secrets par des attaquants.
Après avoir obtenu l’accès initial, les attaquants tentent de se déplacer latéralement entre les réseaux, d’accéder aux ressources pour exploiter les vulnérabilités, et d’endommager les systèmes d’information critiques. Le mouvement latéral implique souvent des menaces sur les informations d’identification qui exploitent généralement des données sensibles telles que des informations d’identification exposées et des secrets tels que les mots de passe, les clés, les jetons et les chaînes de connexion pour accéder à des ressources supplémentaires.
Les secrets sont souvent dans des déploiements multiclouds dans des fichiers, sur des disques de machine virtuelle ou sur des conteneurs. Les secrets exposés sont dus à plusieurs raisons :
- Manque de sensibilisation : les organisations ne sont pas toujours conscientes du risque et des conséquences de l’exposition des secrets.
- Absence de stratégie : il n’y a pas toujours de stratégie d’entreprise claire sur la gestion et la protection des secrets dans les fichiers de code et de configuration.
- Manque d’outils de détection : les outils ne sont pas toujours en place pour détecter les fuites de secrets, puis y remédier.
- Complexité et rapidité : environnements complexes qui peuvent inclure plusieurs plateformes cloud, logiciels open source et code tiers. Les développeurs utilisent parfois des secrets pour solliciter et intégrer des ressources et des services, et ils stockent des secrets dans des référentiels de code source pour des raisons pratiques et de réutilisation. Cela peut entraîner une exposition accidentelle des secrets dans des référentiels publics ou privés, ou pendant le transfert ou le traitement des données.
- Compromis entre sécurité et facilité d’utilisation : les organisations conservent parfois les secrets exposés dans les environnements cloud pour faciliter l’utilisation, pour éviter la complexité et la latence du chiffrement et du déchiffrement des données au repos et en transit. Cela peut compromettre la sécurité et la confidentialité des données et des informations d’identification.
Types d’analyse et plans
Defender for Cloud fournit différents types d’analyse des secrets.
| Type d’analyse | Détails | Prise en charge par le plan |
|---|---|---|
| Analyse des machines | Analyse des secrets sans agent sur les machines virtuelles multiclouds. | Plan Gestion de la posture de sécurité cloud (CSPM) de Defender for cloud, ou Defender pour serveurs Plan 2. |
| Analyse des ressources de déploiement cloud | Analyse des secrets sans agent sur toutes les ressources de déploiement d’infrastructure en tant que code multiclouds. | Plan Defender CSPM. |
| Analyse du référentiel de code | Analyse pour découvrir les secrets exposés dans Azure DevOps. | Plan Defender CSPM. |
Autorisations nécessaires pour l’analyse
Pour utiliser l’analyse des secrets, les autorisations suivantes sont nécessaires :
Lecteur de sécurité
Administrateur de la sécurité
Lecteur
Contributeur
- Propriétaire
Évaluation des découvertes de secrets
Plusieurs méthodes sont disponibles pour identifier et atténuer les problèmes liés aux secrets. Chaque méthodes n’est pas prise en charge pour chaque secret.
- Passez en revue les secrets dans l’inventaire des ressources : l’inventaire affiche l’état de sécurité des ressources connectées à Defender for Cloud. À partir de l’inventaire, vous pouvez afficher les secrets découverts sur un ordinateur spécifique.
- Passez en revue les recommandations relatives aux secrets : lorsque des secrets sont trouvés sur des ressources, une recommandation est déclenchée sous le contrôle de sécurité Corriger les vulnérabilités dans la page Recommandations de Defender for Cloud. Les recommandations sont déclenchées comme suit :
- Passez en revue les secrets avec Cloud Security Explorer. Utilisez Cloud Security Explorer pour interroger le graphique de sécurité du cloud et obtenir des insights sur les secrets. Vous pouvez générer vos propres requêtes ou utiliser l’un des modèles intégrés pour rechercher des secrets de machine virtuelle dans tout votre environnement.
- Passez en revue les chemins d’attaque : l’analyse des chemins d’attaque vous permet d’analyser le graphique de sécurité du cloud pour exposer les chemins exploitables que les attaquants peuvent utiliser pour violer votre environnement, puis atteindre des ressources à fort impact. L’analyse des secrets de machine virtuelle prend en charge un certain nombre de scénarios de chemin d’attaque.
Prise en charge des secrets
Defender pour le cloud prend en charge la détection des types de secrets résumés dans le tableau. La colonne Révision à l’aide de indique les méthodes que vous pouvez utiliser pour investiguer et corriger les recommandations relatives aux secrets.
| Type de secrets | Détection des secrets des machines virtuelles | Détection des secrets de déploiement cloud | Révision à l’aide de |
|---|---|---|---|
| Clés privées SSH non sécurisées Prend en charge l’algorithme RSA pour les fichiers PuTTy. Normes PKCS#8 et PKCS#1 Norme OpenSSH |
Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Les chaînes de connexion Azure SQL en texte clair prennent en charge SQL PaaS. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Azure Database pour PostgreSQL en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Azure Database pour MySQL en texte en clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Azure Database for MariaDB en texte en clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Azure Cosmos DB en texte en clair, y compris PostgreSQL, MySQL et MariaDB. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| La chaîne de connexion AWS RDS en texte clair prend en charge le SQL PaaS : Amazon Aurora en texte clair avec saveurs Postgres et MySQL. RDS personnalisé Amazon en texte clair avec saveurs Oracle et SQL Server. |
Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Chaînes de connexion du compte de stockage Azure en texte clair | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Chaînes de connexion de compte Stockage Azure en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Jetons SAS de compte Stockage Azure en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| Clés d’accès AWS en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| URL présignée AWS S3 en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque |
| URL signée de stockage Google en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé secrète client Azure AD en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Jeton d’accès personnel Azure DevOps en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Jeton d’accès personnel GitHub en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès Azure App Configuration en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé Azure Cognitive Service en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Informations d’identification de l’utilisateur Azure AD en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès Azure Container Registry en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Mot de passe de déploiement Azure App Service en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Jeton d’accès personnel Azure Databricks en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès Azure SignalR en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’abonnement Gestion des API Azure en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé secrète Azure Bot Framework en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé API du service web Azure Machine Learning en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès Azure Communication Services en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès Azure Event Grid en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès Amazon Marketplace Web Service (MWS) en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’abonnement Azure Maps en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès Azure Web PubSub en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé API OpenAI en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès partagé Azure Batch en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Jeton d’auteur NPM en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Certificat de gestion des abonnements Azure en texte clair. | Oui | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’API GCP en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Informations d’identification AWS Redshift en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé privée en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Chaîne de connexion ODBC en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Mot de passe général en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Informations d'identification de connexion de l’utilisateur en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Jeton personnel Travis en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Jeton d’accès Slack en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé de machine ASP.NET en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| En-tête d’autorisation HTTP en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Mot de passe Azure Cache Redis en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès partagé Azure IoT en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Secret d’application Azure DevOps en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’API de fonction Azure en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Clé d’accès partagé Azure en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Signature d’accès partagé d’application logique Azure en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Jeton d’accès Azure Active Directory en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |
| Signature d’accès partagé Azure Service Bus en texte clair. | Non | Oui | Inventaire, explorateur de sécurité cloud. |