Ochrona wpisów tajnych repozytorium kodu

Defender dla Chmury powiadamia organizacje o ujawnionych wpisach tajnych w repozytoriach kodu z usług GitHub i Azure DevOps. Wykrywanie wpisów tajnych ułatwia szybkie wykrywanie, określanie priorytetów i korygowanie ujawnionych wpisów tajnych, takich jak tokeny, hasła, klucze lub poświadczenia przechowywane w dowolnym pliku w repozytorium kodu.

Jeśli wpisy tajne zostaną wykryte, Defender dla Chmury może pomóc zespołowi ds. zabezpieczeń w określaniu priorytetów i podjęciu kroków korygowania, aby zminimalizować ryzyko przenoszenia bocznego, identyfikując zasób docelowy, do którego może uzyskać dostęp wpis tajny.

Jak działa skanowanie wpisów tajnych repozytorium kodu?

Wpisy tajne skanowane pod kątem repozytoriów kodu korzystają z usługi GitHub Advanced Security dla usług GitHub i Azure DevOps. Usługa GitHub Advanced Security skanuje całą historię usługi Git we wszystkich gałęziach znajdujących się w repozytorium pod kątem wpisów tajnych, nawet jeśli repozytorium jest zarchiwizowane.

Aby dowiedzieć się więcej, odwiedź dokumentację usługi GitHub Advanced Security dla usług GitHub i Azure DevOps.

Co jest obsługiwane?

Skanowanie wpisów tajnych repozytorium kodu jest dostępne z wymaganą licencją usługi GitHub Advanced Security. Wyświetlanie wyników w Defender dla Chmury jest udostępniane w ramach podstawowego zarządzania stanem zabezpieczeń w chmurze. Aby wykryć możliwości przenoszenia bocznego do zasobów środowiska uruchomieniowego, wymagane jest zarządzanie stanem zabezpieczeń w chmurze w usłudze Defender.

Obecnie ścieżki ataków dla uwidocznionych wpisów tajnych są dostępne tylko dla repozytoriów usługi Azure DevOps.

Jak skanowanie repozytorium kodu zmniejsza ryzyko?

Skanowanie wpisów tajnych pomaga zmniejszyć ryzyko przy użyciu następujących środków zaradczych:

• Zapobieganie ruchowi bocznemu: odnajdywanie uwidocznionych wpisów tajnych w repozytoriach kodu stanowi znaczne ryzyko nieautoryzowanego dostępu, ponieważ podmioty zagrożeń mogą wykorzystać te wpisy tajne do naruszenia krytycznych zasobów.
• Wyeliminowanie wpisów tajnych, które nie są potrzebne: wiedząc, że określone wpisy tajne nie mają dostępu do żadnych zasobów w dzierżawie, możesz bezpiecznie współpracować z deweloperami w celu usunięcia tych wpisów tajnych. Ponadto będziesz wiedzieć, kiedy wpisy tajne wygasły.
• Wzmacnianie zabezpieczeń wpisów tajnych: uzyskiwanie zaleceń dotyczących używania systemów zarządzania wpisami tajnymi, takich jak usługa Azure Key Vault.

Jak mogę identyfikowania i korygowania problemów z wpisami tajnymi?

Istnieje kilka sposobów identyfikowania i korygowania ujawnionych wpisów tajnych. Jednak nie każda metoda wymieniona poniżej jest obsługiwana dla każdego wpisu tajnego.

• Przejrzyj zalecenia dotyczące wpisów tajnych: po znalezieniu wpisów tajnych w zasobach zalecenie jest wyzwalane dla odpowiedniego repozytorium kodu na stronie zalecenia Defender dla Chmury.
• Przejrzyj wpisy tajne za pomocą eksploratora zabezpieczeń w chmurze: użyj eksploratora zabezpieczeń w chmurze, aby wykonywać zapytania dotyczące grafu zabezpieczeń w chmurze dla repozytoriów kodu zawierających wpisy tajne.
• Przejrzyj ścieżki ataków: Analiza ścieżki ataku skanuje wykres zabezpieczeń w chmurze w celu uwidaczniania ścieżek, które mogą być używane do ataków w celu naruszenia środowiska i uzyskiwania dostępu do zasobów o dużym wpływie.

Zalecenia dotyczące zabezpieczeń

Dostępne są następujące zalecenia dotyczące zabezpieczeń wpisów tajnych:

• Repozytoria usługi Azure DevOps: repozytoria usługi Azure DevOps powinny mieć rozpoznane wyniki skanowania wpisów tajnych
• Repozytoria GitHub: repozytoria GitHub powinny mieć rozpoznane wyniki skanowania wpisów tajnych

Scenariusze ścieżki ataku

Analiza ścieżki ataku to algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze w celu uwidaczniania możliwych do wykorzystania ścieżek, których osoby atakujące mogą używać do osiągnięcia zasobów o dużym wpływie. Potencjalne ścieżki ataków obejmują:

• Repozytorium usługi Azure DevOps zawiera ujawniony wpis tajny z przenoszeniem bocznym do bazy danych SQL.
• Publicznie dostępne repozytorium usługi Azure DevOps zawiera ujawniony wpis tajny z przenoszeniem bocznym na konto magazynu.

Zapytania eksploratora zabezpieczeń w chmurze

Aby zbadać ujawnione wpisy tajne i możliwości przenoszenia bocznego, można użyć następujących zapytań:

• Repozytoria kodu zawierają wpisy tajne
• Repozytoria usługi Azure DevOps zawierają wpisy tajne, które mogą uwierzytelniać się w magazynie obiektów lub zarządzanych bazach danych

Jak mogę skutecznie rozwiązywać problemy z wpisami tajnymi?

Ważne jest, aby móc ustalić priorytety wpisów tajnych i określić, które z nich wymagają natychmiastowej uwagi. Aby to zrobić, Defender dla Chmury zapewnia:

• Zaawansowane metadane dla każdego wpisu tajnego, takie jak ścieżka pliku, numer wiersza, kolumna, skrót zatwierdzenia, adres URL pliku, adres URL alertu usługi GitHub Advanced Security i wskazanie, czy zasób docelowy, do którego wpisy tajne zapewniają dostęp.
• Metadane wpisów tajnych połączone z kontekstem zasobów w chmurze. Ułatwia to rozpoczęcie pracy z elementami zawartości udostępnianymi w Internecie lub wpisami tajnymi, które mogą naruszyć inne poufne zasoby. Wpisy tajne skanujące wyniki są uwzględniane w priorytetyzacji zaleceń opartych na ryzyku.

Powiązana zawartość

Wdrożenia w chmurze wpisy tajne skanowaniawpisów tajnych maszyn wirtualnych skanującychzabezpieczenia metodyki DevOps — omówienie