Protezione dei segreti in Defender per il cloud
Microsoft Defender per il cloud consente al team di sicurezza di ridurre al minimo il rischio di attacchi che sfruttano i segreti di sicurezza.
Dopo aver ottenuto l'accesso iniziale, gli utenti malintenzionati possono spostarsi in un secondo momento tra le reti, trovare dati sensibili e sfruttare le vulnerabilità per danneggiare i reparti IT critici accedendo a distribuzioni cloud, risorse e carichi di lavoro con connessione Internet. Lo spostamento laterale comporta spesso minacce alle credenziali che in genere sfruttano dati sensibili, ad esempio credenziali esposte e segreti, come password, chiavi, token e stringhe di connessione per ottenere l'accesso ad asset aggiuntivi. I segreti vengono spesso trovati nei file, archiviati nei dischi delle macchine virtuali o nei contenitori, nelle distribuzioni multicloud. I segreti esposti si verificano per diversi motivi:
- Mancanza di consapevolezza: le organizzazioni potrebbero non essere consapevoli dei rischi e delle conseguenze dell'esposizione dei segreti nel proprio ambiente cloud. Potrebbe non esserci un criterio chiaro sulla gestione e la protezione dei segreti nei file di codice e configurazione.
- Mancanza di strumenti di individuazione: potrebbero non essere disponibili gli strumenti per rilevare e correggere le perdite di segreti.
- Complessità e velocità: lo sviluppo di software moderni è complesso e veloce, basandosi su più piattaforme cloud, software open source e codice di terze parti. Gli sviluppatori possono usare segreti per accedere e integrare risorse e servizi in ambienti cloud. Potrebbero archiviare segreti nei repository di codice sorgente per praticità e riutilizzo. Ciò può causare un'esposizione accidentale dei segreti nei repository pubblici o privati o durante il trasferimento o l'elaborazione dei dati.
- Compromesso tra sicurezza e usabilità: le organizzazioni potrebbero mantenere i segreti esposti in ambienti cloud per facilitarne l'uso, per evitare la complessità e la latenza della crittografia e della decrittografia dei dati inattivi e in transito. Ciò può compromettere la sicurezza e la privacy dei dati e delle credenziali.
Defender per il cloud offre l'analisi dei segreti per le macchine virtuali e per le distribuzioni cloud per ridurre i rischi di spostamento laterale.
- Macchine virtuali (VM): analisi dei segreti senza agente nelle macchine virtuali multicloud.
- Distribuzioni cloud: analisi dei segreti senza agente tra risorse di distribuzione di infrastruttura come codice multicloud.
- Azure DevOps: analisi per individuare i segreti esposti in Azure DevOps.
Prerequisiti
Autorizzazioni e ruoli obbligatori:
Ruolo con autorizzazioni di lettura per la sicurezza
Amministrazione della protezione
Lettore
Collaboratore
- Proprietario
Distribuzione dell'analisi dei segreti
L'analisi dei segreti viene fornita come funzionalità nei piani di Defender per il cloud:
Analisi delle macchine virtuali: fornita con il piano CsPM (Defender Cloud Security Posture Management) o con Defender per server Piano 2.
Analisi delle risorse di distribuzione cloud: fornita con Defender CSPM.
Analisi del repository di codice: fornita con Defender CSPM e sicurezza avanzata per GitHub e Azure DevOps.
Revisione dei risultati dei segreti
È possibile esaminare e analizzare i risultati della sicurezza per i segreti in due modi:
- Esaminare l'inventario degli asset. Nella pagina Inventario è possibile avere una vista completa di tutti i segreti.
- Esaminare le raccomandazioni sui segreti: nella pagina Raccomandazioni di Defender per il cloud, è possibile esaminare e correggere i consigli sui segreti. Altre informazioni su come analizzare le raccomandazioni e gli avvisi.
- Esaminare le informazioni dettagliate sulla sicurezza: è possibile usare Cloud Security Explorer per eseguire query sul grafico della sicurezza cloud. È possibile creare query personalizzate o usare modelli di query predefiniti.
- Usare i percorsi di attacco: è possibile usare i percorsi di attacco per analizzare e correggere i rischi critici dei segreti. Altre informazioni.
Supporto per l'individuazione
Defender per il cloud supporta l'individuazione dei tipi di segreti riepilogati nella tabella.
| Tipo di segreti | Individuazione dei segreti della VM | Individuazione dei segreti della distribuzione cloud | Esaminare la posizione |
|---|---|---|---|
| Chiavi private SSH non sicure Supporta l'algoritmo RSA per i file PuTTy. Standard PKCS#8 e PKCS#1 Standard OpenSSH |
Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Le stringhe di connessione Azure SQL in testo non crittografato supportano PaaS SQL. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Database di Azure per PostgreSQL in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Database di Azure per MySQL in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Database di Azure per MariaDB in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Azure Cosmos DB in testo non crittografato, inclusi PostgreSQL, MySQL e MariaDB. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| La stringa di connessione AWS RDS in testo non crittografato supporta PaaS SQL: Amazon Aurora in testo non crittografato con versioni Postgres e MySQL. RDS personalizzato di Amazon in testo non crittografato con versioni per Oracle e SQL Server. |
Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Stringhe di connessione dell'account di archiviazione di Azure in testo non crittografato | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Stringhe di connessione dell'account di archiviazione di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Token SAS dell'account di archiviazione di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Chiavi di accesso AWS in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| URL prefirmato di AWS S3 in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| URL firmato di archiviazione Google in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Segreto client di Azure AD in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale di Azure DevOps in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale GitHub in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Configurazione app di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave del Servizio cognitivo di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Credenziali utente di Azure AD in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiavi di accesso al Registro Azure Container in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Password di distribuzione del Servizio app di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale di Azure Databricks in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Azure SignalR in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di sottoscrizione di Gestione API di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave privata di Azure Bot Framework in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API del servizio Web di Azure Machine Learning in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Servizi di comunicazione di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Griglia di eventi di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Amazon Marketplace Web Service (MWS) in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di sottoscrizione di Mappe di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Azure Web PubSub in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API di OpenAI in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure Batch in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di creazione NPM in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Certificato di gestione delle sottoscrizioni di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API GCP in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Credenziali di AWS Redshift in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave privata in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Stringa di connessione di ODBC in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Password generale in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Credenziali di accesso utente in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token personale Travis in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso Slack in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave computer ASP.NET in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Intestazione dell'autorizzazione HTTP in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Password di Cache di Azure per Redis in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure IoT in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Segreto dell'app Azure DevOps in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave API di Funzioni di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Firma di accesso condiviso di App per la logica di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso di Azure Active Directory in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Firma di accesso condiviso di Bus di servizio di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |