Partager via


Protection de secrets dans Defender pour le cloud

Microsoft Defender pour le cloud aide l’équipe de sécurité à réduire le risque d’exploitation des secrets de sécurité par des attaquants.

Après avoir obtenu un accès initial, les attaquants peuvent se déplacer latéralement dans tous les réseaux, trouver des données sensibles, puis exploiter les vulnérabilités pour endommager les systèmes d’information critiques. Pour cela, ils accèdent aux déploiements du cloud, aux ressources et aux charges de travail accessibles sur Internet. Le mouvement latéral implique souvent des menaces sur les informations d’identification. Ces menaces exploitent généralement des données sensibles telles que les informations d’identification exposées et les secrets tels que les mots de passe, les clés, les jetons et les chaînes de connexion pour accéder à des ressources supplémentaires. Les secrets sont souvent dans des fichiers, stockés sur des disques de machine virtuelle ou sur des conteneurs, dans des déploiements multiclouds. Les secrets exposés sont dus à plusieurs raisons :

  • Manque de sensibilisation : les organisations ne pas sont pas toujours conscientes des risques et des conséquences de l’exposition des secrets dans leur environnement cloud. Il n’y a pas toujours de stratégie claire sur la gestion et la protection des secrets dans les fichiers de code et de configuration.
  • Manque d’outils de détection : les outils ne sont pas toujours en place pour détecter les fuites de secrets, puis y remédier.
  • Complexité et vitesse : le développement de logiciels modernes est complexe et rapide, en s’appuyant sur plusieurs plateformes cloud, sur des logiciels open source et sur du code tiers. Les développeurs utilisent parfois des secrets pour consulter et intégrer des ressources et des services dans des environnements cloud. ils stockent parfois des secrets dans des référentiels de code source pour des raisons pratiques et de réutilisation. Cela peut entraîner une exposition accidentelle des secrets dans des référentiels publics ou privés, ou pendant le transfert ou le traitement des données.
  • Compromis entre sécurité et facilité d’utilisation : les organisations conservent parfois les secrets exposés dans les environnements cloud pour faciliter l’utilisation, pour éviter la complexité et la latence du chiffrement et du déchiffrement des données au repos et en transit. Cela peut compromettre la sécurité et la confidentialité des données et des informations d’identification.

Defender pour le cloud fournit une analyse des secrets pour les machines virtuelles et pour les déploiements cloud pour réduire les risques de mouvement latéral.

  • Machines virtuelles : analyse des secrets sans agent sur des machines virtuelles multiclouds.
  • Déploiements cloud : analyse des secrets sans agent sur toutes les ressources de déploiement d’infrastructure en tant que code multicloud.
  • Azure DevOps : analyse pour découvrir les secrets exposés dans Azure DevOps.

Prérequis

Rôles et autorisations obligatoires :

  • Lecteur de sécurité

    • Administrateur de la sécurité

      • Lecteur

        • Contributeur

          • Propriétaire

Déploiement de l’analyse des secrets

L’analyse des secrets est fournie en tant que fonctionnalité dans les plans Defender pour le cloud :

  • Analyse des machines virtuelles : fournie avec un plan de gestion de la posture de sécurité cloud (CSPM) de Microsoft Defender pour le cloud ou avec Defender pour serveurs plan 2.

  • Analyse des ressources de déploiement cloud : fournie avec Defender CSPM.

  • Analyse du référentiel de code : fourni avec CSPM Defender et Advanced Security pour GitHub et Azure DevOps.

Évaluation des découvertes de secrets

Vous pouvez passer en revue et examiner les découvertes de secrets en matière de sécurité de deux façons :

  • Passez en revue l’inventaire des ressources. Dans la page Inventaire, vous pouvez obtenir une vue d’ensemble de vos secrets.
  • Passer en revue les recommandations relatives aux secrets : dans la page Recommandations de Defender pour le cloud, vous pouvez passer en revue, puis corriger les recommandations relatives aux secrets. Découvrez comment examiner des recommandations et des alertes.
  • Examiner les insights de sécurité : vous pouvez utiliser l’Explorateur de sécurité du cloud pour interroger le graphique de sécurité du cloud. Vous pouvez créer vos propres requêtes ou utiliser des modèles de requête prédéfinis.
  • Utilisez des chemins d’attaque : vous pouvez utiliser des chemins d’attaque pour examiner le risque lié aux secrets critiques, puis y remédier. Plus d’informations

Prise en charge de la détection

Defender pour le cloud prend en charge la détection des types de secrets résumés dans le tableau.

Type de secrets Détection des secrets des machines virtuelles Détection des secrets de déploiement cloud Passer en revue l’emplacement
Clés privées SSH non sécurisées
Prend en charge l’algorithme RSA pour les fichiers PuTTy.
Normes PKCS#8 et PKCS#1
Norme OpenSSH
Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Les chaînes de connexion Azure SQL en texte clair prennent en charge SQL PaaS. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Azure Database pour PostgreSQL en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Azure Database pour MySQL en texte en clair. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Azure Database for MariaDB en texte en clair. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Azure Cosmos DB en texte en clair, y compris PostgreSQL, MySQL et MariaDB. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
La chaîne de connexion AWS RDS en texte clair prend en charge le SQL PaaS :
Amazon Aurora en texte clair avec saveurs Postgres et MySQL.
RDS personnalisé Amazon en texte clair avec saveurs Oracle et SQL Server.
Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Chaînes de connexion du compte de stockage Azure en texte clair Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Chaînes de connexion de compte Stockage Azure en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Jetons SAS de compte Stockage Azure en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
Clés d’accès AWS en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
URL présignée AWS S3 en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud, recommandations, chemins d’attaque
URL signée de stockage Google en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé secrète client Azure AD en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Jeton d’accès personnel Azure DevOps en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Jeton d’accès personnel GitHub en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès Azure App Configuration en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé Azure Cognitive Service en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Informations d’identification de l’utilisateur Azure AD en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès Azure Container Registry en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Mot de passe de déploiement Azure App Service en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Jeton d’accès personnel Azure Databricks en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès Azure SignalR en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’abonnement Gestion des API Azure en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé secrète Azure Bot Framework en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé API du service web Azure Machine Learning en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès Azure Communication Services en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès Azure Event Grid en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès Amazon Marketplace Web Service (MWS) en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’abonnement Azure Maps en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès Azure Web PubSub en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé API OpenAI en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès partagé Azure Batch en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Jeton d’auteur NPM en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Certificat de gestion des abonnements Azure en texte clair. Oui Oui Inventaire, explorateur de sécurité cloud.
Clé d’API GCP en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Informations d’identification AWS Redshift en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Clé privée en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Chaîne de connexion ODBC en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Mot de passe général en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Informations d'identification de connexion de l’utilisateur en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Jeton personnel Travis en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Jeton d’accès Slack en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Clé de machine ASP.NET en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
En-tête d’autorisation HTTP en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Mot de passe Azure Cache Redis en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès partagé Azure IoT en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Secret d’application Azure DevOps en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Clé d’API de fonction Azure en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Clé d’accès partagé Azure en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Signature d’accès partagé d’application logique Azure en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Jeton d’accès Azure Active Directory en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.
Signature d’accès partagé Azure Service Bus en texte clair. Non Oui Inventaire, explorateur de sécurité cloud.