Delen via

Geheimen voor cloudimplementatie beveiligen

  • Artikel

Microsoft Defender voor Cloud biedt scannen op geheimen zonder agent voor cloudimplementaties.

Wat is cloudimplementatie?

Cloudimplementatie verwijst naar het proces van het implementeren en beheren van resources op cloudproviders zoals Azure en AWS op schaal, met behulp van hulpprogramma's zoals Azure Resource Manager-sjablonen en AWS CloudFormation-stack. Met andere woorden, een cloudimplementatie is een exemplaar van een IaC-sjabloon (Infrastructure-as-Code).

Elke cloud biedt een API-query en bij het uitvoeren van query's op API's voor cloudimplementatieresources, haalt u doorgaans metagegevens van de implementatie op, zoals implementatiesjablonen, parameters, uitvoer en tags.

Beveiliging van softwareontwikkeling tot runtime

Traditionele geheimen die oplossingen scannen, detecteren vaak verkeerd geplaatste geheimen in codeopslagplaatsen, codepijplijnen of bestanden in VM's en containers. Cloudimplementatieresources worden meestal over het hoofd gezien en bevatten mogelijk geheimen zonder opmaak die kunnen leiden tot kritieke assets, zoals databases, blobopslag, GitHub-opslagplaatsen en Azure OpenAI-services. Met deze geheimen kunnen aanvallers anders verborgen aanvallen binnen cloudomgevingen misbruiken.

Scannen op cloudimplementatiegeheimen voegt een extra beveiligingslaag toe, waarbij scenario's zoals:

  • Verbeterde beveiligingsdekking: In Defender voor Cloud kunnen DevOps-beveiligingsmogelijkheden in Defender voor Cloud blootgestelde geheimen binnen broncodebeheerplatforms identificeren. Handmatig geactiveerde cloudimplementaties vanaf een werkstation van een ontwikkelaar kunnen echter leiden tot blootgestelde geheimen die mogelijk over het hoofd worden gezien. Daarnaast kunnen sommige geheimen alleen worden weergegeven tijdens de implementatieruntime, zoals die worden weergegeven in uitvoer van de implementatie of opgelost vanuit Azure Key Vault. Scannen op geheimen voor cloudimplementatie overbrugt deze kloof.
  • Laterale verplaatsing voorkomen: detectie van blootgestelde geheimen binnen implementatieresources vormt een aanzienlijk risico op onbevoegde toegang.
    • Bedreigingsactoren kunnen deze beveiligingsproblemen misbruiken om lateraal door een omgeving te gaan, en uiteindelijk kritieke services in gevaar te brengen
    • Bij het gebruik van analyse van aanvalspaden met het scannen van cloudimplementatiegeheimen worden aanvalspaden automatisch gedetecteerd met behulp van een Azure-implementatie die kan leiden tot een inbreuk op gevoelige gegevens.
  • Resourcedetectie: De impact van onjuist geconfigureerde implementatieresources kan uitgebreid zijn, wat leidt tot de nieuwe resources die worden gemaakt op een groeiende kwetsbaarheid voor aanvallen.
    • Het detecteren en beveiligen van geheimen in gegevens in het beheervlak van resources kan helpen potentiĆ«le schendingen te voorkomen.
    • Het oplossen van blootgestelde geheimen tijdens het maken van resources kan bijzonder lastig zijn.
    • Scannen van geheimen voor cloudimplementatie helpt bij het identificeren en beperken van deze beveiligingsproblemen in een vroeg stadium.

Met scannen kunt u snel geheimen in tekst zonder opmaak detecteren in cloudimplementaties. Als geheimen worden gedetecteerd Defender voor Cloud uw beveiligingsteam kan helpen om actie te prioriteren en te herstellen om het risico op laterale verplaatsing te minimaliseren.

Hoe werkt het scannen van geheimen in cloudimplementaties?

Met scannen kunt u snel geheimen in tekst zonder opmaak detecteren in cloudimplementaties. Geheimen scannen op resources voor cloudimplementatie is zonder agent en maakt gebruik van de API voor het cloudbesturingsvlak.

De scanengine van Microsoft-geheimen controleert of persoonlijke SSH-sleutels kunnen worden gebruikt om lateraal in uw netwerk te worden verplaatst.

  • SSH-sleutels die niet zijn geverifieerd, worden gecategoriseerd als niet-geverifieerd op de pagina Defender voor Cloud Aanbevelingen.
  • Mappen die worden herkend als die testgerelateerde inhoud bevatten, worden uitgesloten van scannen.

Wat wordt er ondersteund?

Scannen op resources voor cloudimplementatie detecteert geheimen zonder opmaak. Scannen is beschikbaar wanneer u het CSPM-abonnement (Defender Cloud Security Posture Management) gebruikt. Azure- en AWS-cloudimplementatie worden ondersteund. Bekijk de lijst met geheimen die Defender voor Cloud kunnen detecteren.

Hoe kan ik identiteit en problemen met geheimen oplossen?

Er zijn een aantal manieren:

  • Geheimen controleren in de inventaris van assets: De inventaris toont de beveiligingsstatus van resources die zijn verbonden met Defender voor Cloud. Vanuit de inventaris kunt u de geheimen bekijken die zijn gedetecteerd op een specifieke computer.
  • Aanbevelingen voor geheimen controleren: wanneer geheimen op assets worden gevonden, wordt een aanbeveling geactiveerd onder het beveiligingsbeheer beveiligingsproblemen herstellen op de pagina Defender voor Cloud Aanbevelingen.

Aanbevelingen voor beveiliging

De volgende aanbevelingen voor beveiliging van cloudimplementatiegeheimen zijn beschikbaar:

  • Azure-resources: Azure Resource Manager-implementaties moeten geheimen hebben opgelost.
  • AWS-resources: AWS CloudFormation Stack moet geheimen hebben opgelost.

Scenario's voor aanvalspaden

Analyse van aanvalspaden is een algoritme op basis van grafieken dat uw cloudbeveiligingsgrafiek scant om exploiteerbare paden beschikbaar te maken die aanvallers kunnen gebruiken om krachtige assets te bereiken.

Vooraf gedefinieerde cloudbeveiligingsverkenner-query's

Met Cloud Security Explorer kunt u proactief potentiƫle beveiligingsrisico's in uw cloudomgeving identificeren. Dit doet u door een query uit te voeren op de cloudbeveiligingsgrafiek. Maak query's door resourcetypen voor cloudimplementatie te selecteren en de typen geheimen die u wilt zoeken.

Gerelateerde inhoud

Scannen van VM-geheimen.