Proteger segredos do repositório de código

O Defender para Nuvem notifica as organizações sobre segredos expostos em repositórios de código do GitHub e do Azure DevOps. A detecção de segredos ajuda você a detectar, priorizar e corrigir rapidamente segredos expostos, como tokens, senhas, chaves ou credenciais armazenadas em qualquer arquivo do repositório de código.

Se forem detectados segredos, o Defender para Nuvem poderá ajudar sua equipe de segurança a priorizar e executar etapas de correção acionáveis para minimizar o risco de movimentação lateral identificando o recurso de destino que o segredo pode acessar.

Como funciona a verificação de segredos do repositório de código?

A verificação de segredos para repositórios de código depende do GitHub Advanced Security para GitHub e do Azure DevOps. O GitHub Advanced Security verifica todo o histórico do Git em todos os branches presentes em seu repositório em busca de segredos, mesmo que o repositório esteja arquivado.

Para saber mais, visite a documentação do GitHub Advanced Security para GitHub e Azure DevOps.

O que tem suporte?

A verificação de segredos do repositório de código está disponível com a licença necessária do GitHub Advanced Security. A exibição das descobertas no Defender para Nuvem é fornecida como parte do gerenciamento da postura de segurança na nuvem básico. Para detectar possibilidades de movimentação lateral para recursos de runtime, o gerenciamento da postura de segurança na nuvem do Defender é necessário.

Neste momento, os caminhos de ataque para segredos expostos só estão disponíveis para repositórios do Azure DevOps.

Como a verificação do repositório de código reduz o risco?

A verificação de segredos ajuda a reduz o risco com as seguintes mitigações:

• Impedir a movimentação lateral: a descoberta de segredos expostos em repositórios de código representa um risco significativo de acesso não autorizado, pois os agentes de ameaças podem aproveitar esses segredos para comprometer recursos essenciais.
• Eliminar segredos que não são necessários: ao saber que segredos específicos não têm acesso a nenhum recurso em seu locatário, você pode trabalhar com segurança com os desenvolvedores para remover esses segredos. Além disso, você saberá quando os segredos expirarem.
• Reforçar a segurança de segredos: obtendo recomendações para usar sistemas de gerenciamento de segredos, como o Azure Key Vault.

Como identificar e corrigir problemas de segredos?

Há várias maneiras de identificar e corrigir segredos expostos. No entanto, nem todos os métodos listados abaixo têm suporte para cada segredo.

• Revisar as recomendações de segredos: quando os segredos são encontrados em ativos, uma recomendação é disparada para o repositório de código relevante na página Recomendações do Defender para Nuvem.
• Examinar segredos com o gerenciador de segurança de nuvem: use o Cloud Security Explorer para consultar o grafo de segurança de nuvem para repositórios de código que contêm segredos.
• Examinar caminhos de ataque: a análise do caminho de ataque verifica o grafo de segurança da nuvem para expor caminhos exploráveis que os ataques podem usar para violar seu ambiente e alcançar ativos de alto impacto.

Recomendações de segurança

As seguintes recomendações de segurança de segredos estão disponíveis:

• Repositórios do Azure DevOps: os repositórios do Azure DevOps devem ter as descobertas de verificação de segredos resolvidas
• Repositórios do GitHub: os repositórios do GitHub devem ter as descobertas de verificação de segredos resolvidas

Cenários de caminho de ataque

A análise do caminho de ataque é um algoritmo baseado em grafo que verifica o grafo de segurança da nuvem para expor caminhos exploráveis que os invasores podem usar para alcançar ativos de alto impacto. Os caminhos de ataque potenciais incluem:

• O repositório do Azure DevOps contém um segredo exposto com movimentação lateral para um banco de dados SQL.
• O repositório do Azure DevOps acessível publicamente contém um segredo exposto com movimentação lateral para uma conta de armazenamento.

Consultas do Cloud Security Explorer

Para investigar segredos expostos e possibilidades de movimento lateral, você pode usar as seguintes consultas:

• Os repositórios de código contêm segredos
• Os repositórios do Azure DevOps contêm segredos que podem ser autenticados no Armazenamento de Objetos ou em Bancos de Dados Gerenciados

Como reduzir os problemas de segredos com eficiência?

É importante poder priorizar segredos e identificar quais deles precisam de atenção imediata. Para ajudá-lo a fazer isso, o Defender para Nuvem:

• Metadados avançados para cada segredo, como o caminho do arquivo, o número da linha, a coluna, o hash do commit, a URL do arquivo, a URL de alerta do GitHub Advanced Security e uma indicação da existência do recurso de destino ao qual os segredos fornecem acesso.
• Metadados de segredos combinados com o contexto de ativos de nuvem. Isso ajuda você a começar com ativos expostos à Internet ou a conter segredos que possam comprometer outros ativos confidenciais. As descobertas de verificação de segredos são incorporadas à priorização de recomendação baseada em risco.

Conteúdo relacionado

Verificação de segredos de implantações em nuvemVerificação de segredos de VMVisão Geral de segurança do DevOps