Geheimen van codeopslagplaats beveiligen

Defender voor Cloud organisaties op de hoogte stellen van blootgestelde geheimen in codeopslagplaatsen vanuit GitHub en Azure DevOps. Met geheimdetectie kunt u snel geheimen detecteren, prioriteren en herstellen, zoals tokens, wachtwoorden, sleutels of referenties die zijn opgeslagen in een bestand in de codeopslagplaats.

Als er geheimen worden gedetecteerd, kan Defender voor Cloud uw beveiligingsteam helpen bij het prioriteren en ondernemen van herstelbare herstelstappen om het risico van laterale verplaatsing te minimaliseren door de doelresource te identificeren waartoe het geheim toegang heeft.

Hoe werkt het scannen van geheimen in de codeopslagplaats?

Geheimen scannen op codeopslagplaatsen is afhankelijk van GitHub Advanced Security voor GitHub en Azure DevOps. GitHub Advanced Security scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in uw opslagplaats voor geheimen, zelfs als de opslagplaats is gearchiveerd.

Ga voor meer informatie naar de Documentatie voor Geavanceerde beveiliging van GitHub voor GitHub en Azure DevOps.

Wat wordt er ondersteund?

Scannen van geheimen in codeopslagplaats is beschikbaar met de benodigde GitHub Advanced Security-licentie. Het bekijken van de bevindingen in Defender voor Cloud wordt geleverd als onderdeel van Foundational Cloud Security Posture Management. Om laterale verplaatsingsmogelijkheden voor runtimeresources te detecteren, is Defender Cloud Security Posture Management vereist.

Op dit moment zijn aanvalspaden voor blootgestelde geheimen alleen beschikbaar voor Azure DevOps-opslagplaatsen.

Hoe wordt het scannen van codeopslagplaats risico's beperkt?

Geheimen scannen helpt bij het verminderen van risico's met de volgende oplossingen:

• Laterale verplaatsing voorkomen: detectie van blootgestelde geheimen in codeopslagplaatsen vormt een aanzienlijk risico op onbevoegde toegang, omdat bedreigingsactoren deze geheimen kunnen gebruiken om kritieke resources in gevaar te brengen.
• Geheimen elimineren die niet nodig zijn: Als u weet dat specifieke geheimen geen toegang hebben tot resources in uw tenant, kunt u veilig samenwerken met ontwikkelaars om deze geheimen te verwijderen. Daarnaast weet u wanneer geheimen zijn verlopen.
• Beveiliging van geheimen versterken: aanbevelingen krijgen voor het gebruik van geheime beheersystemen zoals Azure Key Vault.

Hoe kan ik problemen met geheimen identificeren en oplossen?

Er zijn verschillende manieren om blootgestelde geheimen te identificeren en te herstellen. Niet elke onderstaande methode wordt echter ondersteund voor elk geheim.

• Aanbevelingen voor geheimen controleren: wanneer geheimen op assets worden gevonden, wordt een aanbeveling geactiveerd voor de relevante codeopslagplaats op de pagina Defender voor Cloud Aanbevelingen.
• Geheimen controleren met Cloud Security Explorer: Gebruik Cloud Security Explorer om een query uit te voeren op de cloudbeveiligingsgrafiek voor codeopslagplaatsen die geheimen bevatten.
• Aanvalspaden bekijken: Analyse van aanvalspaden scant de cloudbeveiligingsgrafiek om exploiteerbare paden beschikbaar te maken die aanvallen kunnen gebruiken om uw omgeving te schenden en assets met een hoge impact te bereiken.

Aanbevelingen voor beveiliging

De volgende aanbevelingen voor beveiliging van geheimen zijn beschikbaar:

• Azure DevOps-opslagplaatsen: Azure DevOps-opslagplaatsen moeten geheime scanresultaten hebben opgelost
• GitHub-opslagplaatsen: GitHub-opslagplaatsen moeten geheime scanresultaten hebben opgelost

Scenario's voor aanvalspaden

Analyse van aanvalspaden is een algoritme op basis van grafieken dat uw cloudbeveiligingsgrafiek scant om exploiteerbare paden beschikbaar te maken die aanvallers kunnen gebruiken om krachtige assets te bereiken. Mogelijke aanvalspaden zijn:

• Azure DevOps-opslagplaats bevat een beschikbaar gemaakt geheim met laterale verplaatsing naar een SQL-database.
• Openbaar toegankelijke Azure DevOps-opslagplaats bevat een openbaar geheim met laterale verplaatsing naar een opslagaccount.

Query's van Cloud Security Explorer

Als u de mogelijkheden van blootgestelde geheimen en laterale verplaatsingen wilt onderzoeken, kunt u de volgende query's gebruiken:

• Codeopslagplaatsen bevatten geheimen
• Azure DevOps-opslagplaatsen bevatten geheimen die kunnen worden geverifieerd bij Object Storage of Beheerde databases

Hoe kan ik geheimen effectief beperken?

Het is belangrijk om prioriteit te kunnen geven aan geheimen en te bepalen welke geheimen onmiddellijk aandacht nodig hebben. Om u te helpen dit te doen, biedt Defender voor Cloud het volgende:

• Uitgebreide metagegevens voor elk geheim, zoals het bestandspad, regelnummer, kolom, doorvoerhash, bestands-URL, GitHub Advanced Security-waarschuwings-URL en een indicatie of de doelresource waartoe de geheimen toegang bieden, bestaat.
• Geheimenmetagegevens gecombineerd met context van cloudassets. Dit helpt u om te beginnen met assets die beschikbaar zijn voor internet of geheimen bevatten die andere gevoelige assets kunnen in gevaar kunnen komen. Bevindingen voor het scannen van geheimen worden opgenomen in prioriteitstelling op basis van risico's.

Gerelateerde inhoud

Overzicht van het scannen van DEVOps-beveiligingsgeheimen voor cloudimplementaties voor geheimen die VM-geheimen scannen