Ochrona wpisów tajnych w usłudze Defender dla Chmury
Microsoft Defender dla Chmury pomaga zespołom ds. zabezpieczeń zminimalizować ryzyko ataków wykorzystujących wpisy tajne zabezpieczeń.
Po uzyskaniu dostępu początkowego osoby atakujące próbują przenieść się poprzecznie między sieciami, uzyskując dostęp do zasobów w celu wykorzystania luk w zabezpieczeniach i uszkodzenia krytycznych systemów informacyjnych. Przenoszenie boczne często wiąże się z zagrożeniami poświadczeń, które zwykle wykorzystują poufne dane, takie jak ujawnione poświadczenia i wpisy tajne, takie jak hasła, klucze, tokeny i parametry połączenia w celu uzyskania dostępu do dodatkowych zasobów.
Wpisy tajne są często spotykane we wdrożeniach wielochmurowych w plikach, na dyskach maszyn wirtualnych lub w kontenerach. Ujawnione wpisy tajne występują z wielu powodów:
- Brak świadomości: Organizacje mogą nie być świadomi ryzyka i konsekwencji ujawnienia tajemnic.
- Brak zasad: może nie istnieć wyraźna polityka firmy w zakresie obsługi i ochrony wpisów tajnych w plikach kodu i konfiguracji.
- Brak narzędzi odnajdywania: Narzędzia mogą nie być dostępne do wykrywania i korygowania wycieków wpisów tajnych.
- Złożoność i szybkość: złożone środowiska, które mogą obejmować wiele platform w chmurze, oprogramowanie typu open source i kod innej firmy. Deweloperzy mogą używać wpisów tajnych do uzyskiwania dostępu do zasobów i usług oraz do przechowywania wpisów tajnych w repozytoriach kodu źródłowego w celu wygody i ponownego użycia. Może to prowadzić do przypadkowego ujawnienia wpisów tajnych w repozytoriach publicznych lub prywatnych albo podczas transferu lub przetwarzania danych.
- Kompromis między zabezpieczeniami i użytecznością: Organizacje mogą przechowywać wpisy tajne uwidocznione w środowiskach chmury w celu ułatwienia użytkowania, aby uniknąć złożoności i opóźnień szyfrowania i odszyfrowywania danych magazynowanych i przesyłanych. Może to naruszyć bezpieczeństwo i prywatność danych i poświadczeń.
Skanowanie typów i planów
Defender dla Chmury zapewnia różne typy skanowania wpisów tajnych.
| Typ skanowania | Szczegóły | Planowanie pomocy technicznej |
|---|---|---|
| Skanowanie maszyn | Wpisy tajne bez agenta skanowane na maszynach wirtualnych z wieloma chmurami. | Defender dla Chmury plan zarządzania stanem zabezpieczeń (CSPM) lub Defender for Servers (plan 2). |
| Skanowanie zasobów wdrażania w chmurze | Wpisy tajne bez agenta skanujące w zasobach wdrażania infrastruktury jako kodu w wielu chmurach. | CSPM w usłudze Defender plan. |
| Skanowanie repozytorium kodu | Skanowanie w celu odnalezienia uwidocznionych wpisów tajnych w usłudze Azure DevOps. | CSPM w usłudze Defender plan. |
Skanowanie uprawnień
Do korzystania ze skanowania wpisów tajnych potrzebne są następujące uprawnienia:
Czytelnik zabezpieczeń
Administrator zabezpieczeń
Czytelnik
Współautor
- Właściciel
Przeglądanie wyników wpisów tajnych
Dostępnych jest wiele metod identyfikowania i eliminowania problemów z wpisami tajnymi. Nie każda metoda jest obsługiwana dla każdego wpisu tajnego.
- Przejrzyj wpisy tajne w spisie zasobów: spis pokazuje stan zabezpieczeń zasobów połączonych z Defender dla Chmury. Ze spisu można wyświetlić wpisy tajne odnalezione na określonej maszynie.
- Przejrzyj zalecenia dotyczące wpisów tajnych: po znalezieniu wpisów tajnych w zasobach zalecenie jest wyzwalane na stronie Korygowanie luk w zabezpieczeniach na stronie Zalecenia dotyczące Defender dla Chmury. Zalecenia są wyzwalane w następujący sposób:
- Przejrzyj wpisy tajne za pomocą eksploratora zabezpieczeń w chmurze. Użyj eksploratora zabezpieczeń w chmurze, aby wykonywać zapytania dotyczące wykresu zabezpieczeń w chmurze w celu uzyskania szczegółowych informacji o wpisach tajnych. Możesz tworzyć własne zapytania lub używać jednego z wbudowanych szablonów do wykonywania zapytań dotyczących wpisów tajnych maszyn wirtualnych w całym środowisku.
- Przejrzyj ścieżki ataków: Analiza ścieżki ataku skanuje wykres zabezpieczeń w chmurze w celu uwidaczniania ścieżek, które mogą być używane do ataków w celu naruszenia środowiska i uzyskiwania dostępu do zasobów o dużym wpływie. Skanowanie wpisów tajnych maszyn wirtualnych obsługuje wiele scenariuszy ścieżki ataku.
Obsługa wpisów tajnych
Defender dla Chmury obsługuje odnajdywanie typów wpisów tajnych podsumowanych w tabeli. Kolumna Przeglądanie przy użyciu wskazuje metody, których można użyć do zbadania i skorygowania zaleceń dotyczących wpisów tajnych.
| Typ wpisów tajnych | Odnajdywanie wpisów tajnych maszyn wirtualnych | Odnajdywanie wpisów tajnych wdrażania w chmurze | Przeglądanie przy użyciu |
|---|---|---|---|
| Niezabezpieczone klucze prywatne SSH Obsługuje algorytm RSA dla plików PuTTy. Standardy PKCS#8 i PKCS#1 Standard OpenSSH |
Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Usługa Azure SQL parametry połączenia w postaci zwykłego tekstu obsługuje usługę SQL PAAS. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Plaintext Azure database for PostgreSQL. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Plaintext Azure database for MySQL. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Baza danych azure w postaci zwykłego tekstu dla bazy danych MariaDB. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Usługa Azure Cosmos DB w postaci zwykłego tekstu, w tym PostgreSQL, MySQL i MariaDB. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Usługa AWS RDS w postaci zwykłego tekstu parametry połączenia obsługuje usługę SQL PAAS: Plaintext Amazon Aurora z smakami Postgres i MySQL. Niestandardowy rdS firmy Amazon w postaci zwykłego tekstu z wersjami oracle i SQL Server. |
Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Konto usługi Azure Storage w postaci zwykłego tekstu parametry połączenia | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Konto usługi Azure Storage w postaci zwykłego tekstu parametry połączenia. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Tokeny SAS konta usługi Azure Storage w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Klucze dostępu platformy AWS w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Adres URL wstępnie podpisany w postaci zwykłego tekstu AWS S3. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze, zalecenia, ścieżki ataków |
| Podpisany adres URL magazynu Google w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Wpis tajny klienta usługi Azure AD w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token dostępu usługi Azure DevOps w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token dostępu usługi GitHub w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Zwykły tekst aplikacja systemu Azure klucz dostępu konfiguracji. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz usługi Azure Cognitive Service w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Poświadczenia użytkownika usługi Azure AD w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi Azure Container Registry w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Hasło wdrożenia usługi w postaci zwykłego tekstu aplikacja systemu Azure. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token dostępu usługi Azure Databricks w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi Azure SignalR w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz subskrypcji usługi Azure API Management w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz tajny platformy Azure Bot Framework w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API usługi sieci Web usługi Azure Machine Learning w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usług Azure Communication Services w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi Azure Event Grid w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu usługi sieci Web w witrynie Amazon Marketplace (MWS) w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz subskrypcji usługi Azure Maps w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Zwykły tekst — internetowy klucz dostępu pubsub platformy Azure. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API OpenAI w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu współdzielonego usługi Azure Batch w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Token autora npm w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Certyfikat zarządzania subskrypcjami platformy Azure w postaci zwykłego tekstu. | Tak | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API GCP w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Poświadczenia usługi Redshift w postaci zwykłego tekstu AWS. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz prywatny w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Parametry połączenia ODBC w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Ogólne hasło w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Poświadczenia logowania użytkownika w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Osobisty token funkcji Travis w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Token dostępu usługi Slack w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz maszyny w postaci zwykłego tekstu ASP.NET. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Nagłówek autoryzacji HTTP w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Hasło usługi Azure Redis Cache w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu współdzielonego usługi Azure IoT w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Wpis tajny aplikacji Usługi Azure DevOps w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz interfejsu API funkcji platformy Azure w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Klucz dostępu współdzielonego platformy Azure w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Sygnatura dostępu współdzielonego aplikacji logiki platformy Azure w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Token dostępu usługi Azure Active Directory w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |
| Sygnatura dostępu współdzielonego usługi Azure Service Bus w postaci zwykłego tekstu. | Nie. | Tak | Spis, eksplorator zabezpieczeń w chmurze. |