クラウド デプロイ シークレットの保護
Microsoft Defender for Cloud では、クラウド デプロイのエージェントレス シークレット スキャンが提供されます。
クラウド デプロイとは
クラウド デプロイとは、Azure Resource Manager テンプレートや AWS CloudFormation スタックなどのツールを使用して、大規模な Azure や AWS などのクラウド プロバイダーにリソースをデプロイおよび管理するプロセスを指します。 言い換えると、クラウド デプロイは、コードとしてのインフラストラクチャ (IaC) テンプレートのインスタンスです。
各クラウドは API クエリを公開します。クラウド デプロイ リソースの API に対してクエリを実行すると、通常はデプロイ テンプレート、パラメーター、出力、タグなどのデプロイ メタデータが得られます。
ソフトウェア開発からランタイムまでのセキュリティ
従来のシークレット スキャン ソリューションでは、多くの場合、コード リポジトリ、コード パイプライン、または VM とコンテナー内のファイルの、誤ったシークレットが検出されます。 クラウド デプロイ リソースは見過ごされがちで、データベース、BLOB ストレージ、GitHub リポジトリ、Azure OpenAI サービスなどの重要なアセットにつながるプレーンテキスト シークレットが含まれている可能性があります。 これらのシークレットでは、攻撃者がクラウド環境内の隠れたアタック サーフェスを悪用する可能性があります。
クラウド デプロイ シークレットをスキャンすると、セキュリティ層が追加され、次のようなシナリオに対処できます。
- セキュリティカバレッジの強化: Defender for Cloud では、Defender for Cloud の DevOps セキュリティ機能によって、ソース管理管理プラットフォーム内で公開されているシークレットを特定できます。 ただし、開発者のワークステーションから手動でトリガーされたクラウドデプロイの場合、見過ごされる可能性のあるシークレットが公開される場合があります。 さらに、一部のシークレットは、デプロイの出力で明らかにされたり、Azure Key Vault から解決されたりする場合など、デプロイの実行時にのみ表示される場合があります。 クラウド デプロイ シークレットをスキャンすると、このギャップを埋められます。
- 横移動の防止: デプロイ リソース内で公開されているシークレットを検出すると、不正アクセスの重大なリスクが発生します。
- 脅威アクターはこれらの脆弱性を悪用して環境全体を横断し、最終的に重要なサービスを侵害する可能性があります
- クラウド デプロイでのシークレット スキャンで攻撃パス分析を使用すると、機密データ侵害につながる可能性のある Azure デプロイに関連する攻撃パスが自動的に検出されます。
- リソース検出: 正しく構成されていないデプロイ リソースの影響が広範囲に及ぶ可能性があります。その結果、新しいリソースは、拡大中のアタック サーフェスで作成される可能性があります。
- リソース コントロール プレーン データ内のシークレットを検出し、保護することで、潜在的な侵害を防ぐことができます。
- リソースの作成時に公開されたシークレットに対処することは、特に困難な場合があります。
- クラウド デプロイ シークレットのスキャンは、これらの脆弱性を早期に特定して軽減するのに役立ちます。
スキャンにより、クラウド デプロイのプレーンテキスト シークレットをすばやく検出できます。 シークレットが検出された場合、Defender for Cloud は、セキュリティ チームがアクションに優先順位を付け、修復して横移動のリスクを最小限に抑えられるよう支援します。
クラウド デプロイ シークレットのスキャンのしくみ
スキャンにより、クラウド デプロイのプレーンテキスト シークレットをすばやく検出できます。 クラウド デプロイ リソースのシークレット スキャンはエージェントレスであり、クラウド コントロール プレーン API を使用します。
Microsoft シークレット スキャン エンジンは、SSH プライベート キーがネットワーク内を横方向に移動するために利用できるかどうかを確認します。
- 正常に検証できなかった SSH キーは、Defender for Cloud の [レコメンデーション] ページで未検証と分類されます。
- テスト関連のコンテンツを含んでいると認識されたディレクトリは、スキャンから除外されます。
サポートされている機能
クラウド デプロイ リソースをスキャンすると、プレーンテキスト シークレットが検出されます。 スキャンは、Defender のクラウド セキュリティ態勢管理 (CSPM) プランを使用している場合に使用できます。 Azure と AWS のクラウド デプロイがサポートされています。 Defender for Cloud で検出できるシークレットの一覧を確認します。
シークレットの問題を識別して修復する方法
何種類かの方法があります。
- アセット インベントリのシークレットを確認する: インベントリには、Defender for Cloud に接続されているリソースのセキュリティ状態が表示されます。 インベントリでは、特定のマシンで検出されたシークレットを表示できます。
- シークレットの推奨事項を確認する: アセットでシークレットが見つかると、Defender for Cloud の [レコメンデーション] ページで、[脆弱性の修復] セキュリティ コントロールに推奨事項がトリガーされます。
セキュリティに関する推奨事項
利用可能なクラウド デプロイ シークレットのセキュリティに関するレコメンデーションには、次のものがあります。
- Azure リソース: Azure Resource Manager のデプロイでは、シークレットの結果が解決されている必要があります。
- AWS リソース: AWS CloudFormation Stack では、シークレットの結果が解決されている必要があります。
攻撃パスのシナリオ
攻撃パス分析は、グラフ ベースのアルゴリズムであり、クラウド セキュリティ グラフをスキャンすることで、攻撃者が影響の大きいアセットに到達するために使用する可能性のある悪用可能なパスを可視化します。
定義済みのクラウド セキュリティ エクスプローラーのクエリ
クラウド セキュリティ エクスプローラーを使用すると、クラウド環境内の潜在的なセキュリティ リスクを事前に特定できます。 これは、クラウド セキュリティ グラフに対してクエリを実行することで行われます。 クラウド デプロイ リソースの種類と検索するシークレットの種類を選択して、クエリを作成します。