Protéger les secrets du déploiement cloud
Microsoft Defender pour le cloud fournit une analyse des secrets sans agent pour les déploiements cloud.
Qu’est-ce que le déploiement cloud ?
Le déploiement cloud fait référence au processus de déploiement et de gestion des ressources sur des fournisseurs cloud tels qu'Azure et AWS à grande échelle, à l'aide d'outils tels que les modèles Azure Resource Manager et la pile AWS CloudFormation. En d’autres termes, un déploiement cloud est une instance d’un modèle IaC (infrastructure-as-code).
Chaque cloud fournit une requête d’API et, lors de l’interrogation des API pour les ressources de déploiement cloud, vous récupérez généralement les métadonnées de déploiement telles que les modèles de déploiement, les paramètres, la sortie et les balises.
Sécurité du développement logiciel au runtime
Les solutions traditionnelles d'analyse des secrets détectent souvent les secrets égarés dans les référentiels de code, les pipelines de code ou les fichiers des machines virtuelles et des conteneurs. Les ressources de déploiement cloud ont tendance à être ignorées et peuvent éventuellement inclure des secrets en texte clair pouvant entraîner des ressources critiques, telles que des bases de données, un stockage d’objets blob, des référentiels GitHub et des services Azure OpenAI. Ces secrets peuvent permettre aux attaquants d’exploiter les surfaces d’attaque masquées dans les environnements cloud.
L’analyse des secrets de déploiement cloud ajoute une couche supplémentaire de sécurité, en traitant des scénarios tels que :
- Couverture de sécurité accrue : dans Defender pour Cloud, les fonctionnalités de sécurité DevOps de Defender pour Cloud peuvent identifier les secrets exposés au sein des plateformes de gestion de contrôle de code source. Cependant, les déploiements cloud déclenchés manuellement à partir du poste de travail d’un développeur peuvent conduire à la révélation de secrets susceptibles d’être négligés. En outre, certains secrets peuvent n’apparaître que pendant l’exécution du déploiement, comme ceux révélés dans les résultats du déploiement ou résolus à partir d’Azure Key Vault. L’analyse des secrets de déploiement cloud permet de combler cet écart.
- Empêcher le déplacement latéral: la découverte de secrets exposés au sein des ressources de déploiement présente un risque important d’accès non autorisé.
- Les acteurs des menaces peuvent exploiter ces vulnérabilités pour traverser ultérieurement un environnement, ce qui compromet finalement les services critiques
- L’analyse des chemins d’attaque avec l’analyse des secrets de déploiement cloud détecte automatiquement les chemins d’attaque impliquant un déploiement Azure susceptible d’entraîner une violation de données sensibles.
- découverte de ressources: l’impact des ressources de déploiement mal configurées peut être étendu, ce qui entraîne la création de nouvelles ressources sur une surface d’attaque en expansion.
- La détection et la sécurisation des secrets dans les données du plan de contrôle des ressources peuvent aider à prévenir les violations potentielles.
- L’adressage des secrets exposés lors de la création de ressources peut être particulièrement difficile.
- L’analyse des secrets de déploiement cloud permet d’identifier et d’atténuer ces vulnérabilités à un stade précoce.
L’analyse vous permet de détecter rapidement les secrets en texte clair dans les déploiements cloud. Si des secrets sont détectés, Defender for Cloud peut aider votre équipe de sécurité à prioriser les actions et à y remédier afin de minimiser le risque de mouvement latéral.
Comment fonctionne l’analyse des secrets de déploiement cloud ?
L’analyse vous permet de détecter rapidement les secrets en texte clair dans les déploiements cloud. L’analyse des secrets pour les ressources de déploiement cloud est sans agent et utilise l’API du plan de contrôle cloud.
Le moteur d’analyse des secrets Microsoft vérifie si les clés privées SSH peuvent être utilisées pour se déplacer ultérieurement dans votre réseau.
- Les clés SSH qui ne sont pas vérifiées avec succès sont classées comme non vérifiées sur la page Suggestions de Defender pour Cloud.
- Les répertoires reconnus comme contenant du contenu lié au test sont exclus de l’analyse.
Qu’est-ce qui est pris en charge ?
L’analyse des ressources de déploiement cloud détecte les secrets en texte clair. L’analyse est disponible lorsque vous utilisez le plan Defender Cloud Security Posture Management (CSPM). Le déploiement cloud Azure et AWS est pris en charge. Consultez la liste des secrets que Defender pour le cloud peut découvrir.
Comment puis-je identifier et résoudre les problèmes de secrets ?
Il existe plusieurs façons :
- Examiner les secrets dans l’inventaire des actifs : l’inventaire affiche l’état de sécurité des ressources connectées à Defender pour le cloud. À partir de l’inventaire, vous pouvez afficher les secrets découverts sur un ordinateur spécifique.
- Examiner les recommandations relatives aux secrets : lorsque des secrets sont trouvés sur des actifs, une recommandation est déclenchée sous le contrôle de sécurité Corriger les vulnérabilités sur la page Recommandations de Defender pour le cloud.
Recommandations de sécurité
Les suggestions de sécurité suivantes en matière de secrets de déploiement cloud sont disponibles :
- Ressources Azure : les déploiements Azure Resource Manager doivent avoir des résultats secrets résolus.
- Ressources AWS : AWS CloudFormation Stack doit avoir des résultats secrets résolus.
Scénarios de chemin d’attaque
L’analyse des chemins d’attaque est un algorithme basé sur des graphiques qui analyse votre graphique de sécurité cloud pour exposer des chemins exploitables que les attaquants peuvent utiliser pour atteindre des ressources à fort impact.
Requêtes d’Explorateur de sécurité cloud prédéfinies
L’explorateur de sécurité cloud permet d’identifier de manière proactive les risques de sécurité potentiels au sein de votre environnement cloud. Pour ce faire, interrogez le graphique de sécurité cloud. Créez des requêtes en sélectionnant les types de ressources de déploiement cloud et les types de secrets que vous souhaitez rechercher.