Compartilhar via


Proteger segredos de VM

O Defender para Nuvem fornece verificação de segredos sem agente para máquinas virtuais. A verificação ajuda a detectar, priorizar e corrigir rapidamente os segredos expostos. A detecção de segredos pode identificar uma ampla gama de tipos de segredos, como tokens, senhas, chaves ou credenciais, armazenados em tipos diferentes de arquivo no sistema de arquivos do sistema operacional.

A verificação de segredos sem agente do Defender para Nuvem para VM (máquinas virtuais) localiza segredos de texto não criptografado que existem em seu ambiente. Se forem detectados segredos, o Defender para Nuvem pode ajudar a sua equipe de segurança a priorizar e tomar medidas de correção acionáveis para minimizar o risco de movimento lateral, tudo isso sem afetar o desempenho do computador.

Como funciona a verificação de segredos de VM?

A verificação de segredos para VMs não tem agente e usa APIs de nuvem.

  1. A verificação captura instantâneos de disco e os analisa, sem impacto no desempenho da VM.
  2. Depois que o mecanismo de verificação de segredos da Microsoft coleta metadados de segredos do disco, ele os envia para o Defender para Nuvem.
  3. O mecanismo de verificação de segredos verifica se as chaves privadas SSH podem ser usadas para movimentação lateral na rede.
    • As chaves SSH que não são verificadas com êxito são categorizadas como não verificadas na página Recomendações do Defender para Nuvem.
    • Os diretórios reconhecidos como conteúdo relacionado ao teste são excluídos da verificação.

O que tem suporte?

A verificação de segredos de VM está disponível se você estiver usando o Plano 2 do Defender para servidores ou o CSPM (gerenciamento da postura de segurança na nuvem). A verificação de segredos de VM é capaz de verificar VMs do Azure e as instâncias do AWS/GCP integradas ao Defender para Nuvem. Examine os segredos que podem ser descobertos pelo Defender para Nuvem.

Como a verificação de segredos de VM reduz o risco?

A verificação de segredos ajuda a reduz o risco com as seguintes mitigações:

  • Elimina segredos que não são necessários.
  • Aplica o princípio de privilégios mínimos.
  • Fortalece a segurança de segredos usando sistemas de gerenciamento de segredos, como o Azure Key Vault.
  • Usa segredos de curta duração, como substituir cadeias de conexão do Armazenamento do Microsoft Azure com tokens SAS que possuem períodos de validade mais curtos.

Como fazer para identificar e corrigir problemas de segredos?

Há várias maneiras. Nem todos os métodos são compatíveis com cada segredo. Examine a lista de segredos com suporte para obter mais detalhes.

  • Examinar segredos no inventário de ativos: o inventário mostra o estado de segurança dos recursos conectados ao Defender para Nuvem. No inventário, é possível exibir os segredos descobertos em um computador específico.
  • Examinar as recomendações de segredos: quando os segredos são encontrados em ativos, uma recomendação é disparada no controle de segurança Corrigir vulnerabilidades na página Recomendações do Defender para Nuvem. As recomendações são disparadas da seguinte maneira:
  • Examine segredos com o Cloud Security Explorer. Use o Cloud Security Explorer para consultar o grafo de segurança da nuvem. É possível criar suas próprias consultas ou usar um dos modelos internos para consultar segredos de VM em seu ambiente.
  • Examinar caminhos de ataque: a análise do caminho de ataque verifica o grafo de segurança da nuvem para expor caminhos exploráveis que os ataques podem usar para violar seu ambiente e alcançar ativos de alto impacto. A verificação de segredos de VM dá suporte a um número de cenários de caminho de ataque.

Recomendações de segurança

As seguintes recomendações de segurança de segredos de VM estão disponíveis:

  • Recursos do Azure: os computadores devem ter as descobertas de segredos resolvidas
  • Recursos do AWS: as instâncias EC2 devem ter as descobertas de segredos resolvidas
  • Recursos do GCP: as instâncias de VM devem ter as descobertas de segredos resolvidas

Cenários de caminho de ataque

A tabela resume os caminhos de ataque com suporte.

VM Caminhos de ataque
Azure A VM vulnerável exposta tem uma chave privada SSH inseguros que é usada para autenticação em uma VM.
A VM vulnerável exposta tem segredos inseguros que são usados para autenticação em uma conta de armazenamento.
A VM vulnerável tem segredos inseguros usados para autenticação em uma conta de armazenamento.
A VM vulnerável exposta tem segredos inseguros que são usados para autenticação em um SQL Server.
AWS A instância EC2 vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticação em uma instância EC2.
A instância EC2 vulnerável exposta tem um segredo inseguro que é usado para autenticação em uma conta de armazenamento.
A instância EC2 vulnerável exposta tem segredos inseguros que são usados para autenticação em um servidor AWS RDS.
A instância EC2 vulnerável tem segredos inseguros que são usados para autenticação em um servidor AWS RDS.
GCP A instância de VM do GCP vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticação em uma instância de VM do GCP.

Consultas predefinidas do Cloud Security Explorer

O Defender para Nuvem fornece estas consultas predefinidas para investigar problemas de segurança de segredos:

  • VM com segredo de texto não criptografado que pode se autenticar em outra VM: retorna todas as VMs do Azure, instâncias EC2 da AWS ou instâncias de VM da GCP com segredo de texto não criptografado que podem acessar outras VMs ou EC2s.
  • VM com segredo de texto não criptografado que pode se autenticar em uma conta de armazenamento: retorna todas as VMs do Azure, instâncias EC2 do AWS ou instâncias de VM do GCP com segredo de texto não criptografado que podem acessar contas de armazenamento
  • VM com segredo de texto não criptografado que pode se autenticar em um banco de dados SQL – Retorna todas as VMs do Azure, instâncias EC2 da AWS ou instâncias de VM da GCP com segredo de texto não criptografado que podem acessar bancos de dados SQL.

Como reduzir os problemas de segredos com eficiência?

É importante poder priorizar segredos e identificar quais deles precisam de atenção imediata. Para ajudá-lo a fazer isso, o Defender para Nuvem:

  • Fornece metadados avançados para cada segredo, como a hora do último acesso de um arquivo, uma data de expiração do token, uma indicação se o recurso de destino ao qual os segredos fornecem acesso existe e muito mais.
  • Combina metadados de segredos com o contexto de ativos de nuvem. Isso ajuda você a começar com ativos expostos à Internet ou a conter segredos que possam comprometer outros ativos confidenciais. As descobertas de verificação de segredos são incorporadas à priorização de recomendação baseada em risco.
  • Fornece várias exibições para ajudar na identificação dos segredos mais comumente encontrados ou ativos que contêm segredos.

Verificação de segredos de implantação de nuvem