Compartilhar via

Proteger segredos de implantação na nuvem

  • Artigo

O Microsoft Defender para Nuvem fornece verificação de segredos sem agente para implantações em nuvem.

O que é implantação em nuvem?

A implantação em nuvem refere-se ao processo de implantação e gerenciamento de recursos em provedores em nuvem, como o Azure e o AWS em escala, usando ferramentas como modelos do Azure Resource Manager e pilha CloudFormation do AWS. Em outras palavras, uma implantação em nuvem é uma instância de um modelo de IaC (infraestrutura como código).

Cada provedor em nuvem expõe uma consulta de API e, ao consultar APIs para recursos de implantação em nuvem, normalmente você recupera metadados de implantação, como modelos de implantação, parâmetros, saída e marcas.

Segurança do desenvolvimento até o runtime do software

As soluções de verificação de segredos tradicionais geralmente detectam segredos perdidos em repositórios de código, pipelines de código ou arquivos em VMs e contêineres. Os recursos de implantação em nuvem costumam ser ignorados e pode incluir segredos de texto não criptografado que podem levar a ativos críticos, como bancos de dados, armazenamento de blobs, repositórios do GitHub e serviços OpenAI do Azure. Esses segredos podem permitir que os invasores explorem superfícies de ataque ocultas em ambientes em nuvem.

A verificação de segredos de implantação em nuvem adiciona uma camada extra de segurança, abordando cenários como:

  • Maior cobertura de segurança: no Defender para Nuvem, os recursos de segurança do DevOps no Defender para Nuvem podem identificar segredos expostos em plataformas de gerenciamento de controle do código-fonte. No entanto, implantações em nuvem disparadas manualmente de uma estação de trabalho do desenvolvedor podem levar a segredos expostos que podem ser ignorados. Além disso, alguns segredos podem aparecer somente durante o runtime de implantação, como aqueles revelados em saídas de implantação ou resolvidos do Azure Key Vault. A verificação de segredos de implantação em nuvem resolve esse problema.
  • Impedir a movimentação lateral: a descoberta de segredos expostos nos recursos de implantação representa um risco significativo de acesso não autorizado.
    • Os atores de ameaça podem explorar essas vulnerabilidades para se locomover lateralmente em um ambiente, comprometendo serviços críticos
    • O uso da análise de caminho de ataque com a verificação de segredos de implantação em nuvem descobrirá automaticamente caminhos de ataque envolvendo uma implantação do Azure que pode levar a uma violação de dados confidenciais.
  • Descoberta de recursos: o impacto dos recursos de implantação configurados incorretamente pode ser extenso, levando à criação de novos recursos em uma superfície de ataque em expansão.
    • Detectar e proteger segredos nos dados do painel de controle de recursos pode ajuda a evitar possíveis violações.
    • Abordar segredos expostos durante a criação de recursos pode ser particularmente desafiador.
    • A verificação de segredos de implantação em nuvem ajuda a identificar e atenuar essas vulnerabilidades em uma fase inicial.

A verificação ajuda a detectar rapidamente segredos de texto não criptografado em implantações em nuvem. Se segredos forem detectados, o Defender para Nuvem poderá ajudar sua equipe de segurança a priorizar a ação e corrigir para minimizar o risco de movimentação lateral.

Como funciona a verificação de segredos de implantação em nuvem?

A verificação ajuda a detectar rapidamente segredos de texto não criptografado em implantações em nuvem. A verificação de segredos para recursos de implantação em nuvem não tem agente e usa a API do painel de controle em nuvem.

O mecanismo de verificação de segredos da Microsoft verifica se as chaves privadas SSH podem ser usadas para movimentação lateral na rede.

  • As chaves SSH que não são verificadas com êxito são categorizadas como não verificadas na página Recomendações do Defender para Nuvem.
  • Os diretórios reconhecidos como conteúdo relacionado ao teste são excluídos da verificação.

O que tem suporte?

A verificação de recursos de implantação em nuvem detecta segredos de texto não criptografado. A verificação está disponível quando você está usando o plano CSPM (gerenciamento da postura de segurança na nuvem) do Defender. Há suporte para a implantação em nuvem do Azure e do AWS. Examine a lista de segredos que o Defender para Nuvem pode descobrir.

Como fazer para identificar e corrigir problemas de segredos?

Há várias maneiras:

  • Examinar segredos no inventário de ativos: o inventário mostra o estado de segurança dos recursos conectados ao Defender para Nuvem. No inventário, é possível exibir os segredos descobertos em um computador específico.
  • Examinar as recomendações de segredos: quando os segredos são encontrados em ativos, uma recomendação é disparada no controle de segurança Corrigir vulnerabilidades na página Recomendações do Defender para Nuvem.

Recomendações de segurança

As seguintes recomendações de segurança de segredos de implantação em nuvem estão disponíveis:

  • Recursos do Azure: as implantações do Azure Resource Manager devem ter as descobertas de segredos resolvidas.
  • Recursos do AWS: a pilha CloudFormation do AWS deve ter as descobertas de segredos resolvidas.

Cenários de caminho de ataque

A análise do caminho de ataque é um algoritmo baseado em grafo que verifica o grafo de segurança da nuvem para expor caminhos exploráveis que os invasores podem usar para alcançar ativos de alto impacto.

Consultas predefinidas do Cloud Security Explorer

O Cloud Security Explorer permite que você identifique proativamente os possíveis riscos de segurança em seu ambiente de nuvem. Ele faz isso consultando o grafo de segurança da nuvem. Crie consultas selecionando tipos de recursos de implantação de nuvem e os tipos de segredos que você deseja encontrar.

Conteúdo relacionado

Verificação de segredos de VM.