Proteção de segredos no Defender for Cloud
O Microsoft Defender for Cloud ajuda a equipe de segurança a minimizar o risco de invasores explorarem segredos de segurança.
Depois de obter acesso inicial, os atacantes podem mover-se lateralmente através das redes, encontrar dados confidenciais e explorar vulnerabilidades para danificar sistemas de informação críticos, acedendo a implementações na nuvem, recursos e cargas de trabalho enfrentadas pela Internet. O movimento lateral geralmente envolve ameaças de credenciais que normalmente exploram dados confidenciais, como credenciais expostas e segredos, como senhas, chaves, tokens e cadeias de conexão para obter acesso a ativos adicionais. Os segredos geralmente são encontrados em arquivos, armazenados em discos de VM ou em contêineres, em implantações multicloud. Os segredos expostos acontecem por uma série de razões:
- Falta de conscientização: as organizações podem não estar cientes dos riscos e consequências da exposição a segredos em seu ambiente de nuvem. Pode não haver uma política clara sobre manipulação e proteção de segredos em arquivos de código e configuração.
- Falta de ferramentas de descoberta: as ferramentas podem não estar disponíveis para detetar e remediar vazamentos de segredos.
- Complexidade e velocidade: O desenvolvimento de software moderno é complexo e rápido, contando com várias plataformas de nuvem, software de código aberto e código de terceiros. Os desenvolvedores podem usar segredos para acessar e integrar recursos e serviços em ambientes de nuvem Eles podem armazenar segredos em repositórios de código-fonte para conveniência e reutilização. Isso pode levar à exposição acidental de segredos em repositórios públicos ou privados, ou durante a transferência ou processamento de dados.
- Compromisso entre segurança e usabilidade: as organizações podem manter segredos expostos em ambientes de nuvem para facilitar o uso, para evitar a complexidade e a latência de criptografar e descriptografar dados em repouso e em trânsito. Isso pode comprometer a segurança e a privacidade dos dados e credenciais.
O Defender for Cloud fornece verificação de segredos para máquinas virtuais e implantações na nuvem, para reduzir o risco de movimento lateral.
- Máquinas virtuais (VMs): verificação de segredos sem agente em VMs multicloud.
- Implantações na nuvem: verificação de segredos sem agente em recursos de implantação de infraestrutura como código multicloud.
- Azure DevOps: Verificação para descobrir segredos expostos no Azure DevOps.
Pré-requisitos
Funções e permissões necessárias:
Leitor de Segurança
Administrador de Segurança
Leitor
Contribuinte
- Proprietário
Implantando a verificação de segredos
A verificação de segredos é fornecida como um recurso nos planos do Defender for Cloud:
Verificação de VM: fornecida com o plano CSPM (Defender for Cloud Security Posture Management) ou com o plano 2 do Defender for Servers.
Verificação de recursos de implantação na nuvem: fornecida com o Defender CSPM.
Verificação do repositório de código: fornecido com o Defender CSPM e a Segurança Avançada para GitHub e Azure DevOps.
Revisão de descobertas secretas
Você pode revisar e investigar as descobertas de segurança para segredos de algumas maneiras:
- Analise o inventário de ativos. Na página Inventário, você pode obter uma visão completa de seus segredos.
- Rever recomendações de segredos: na página Recomendações do Defender for Cloud, pode rever e corrigir recomendações de segredos. Saiba mais sobre Investigar recomendações e alertas.
- Investigue informações de segurança: você pode usar o explorador de segurança na nuvem para consultar o gráfico de segurança na nuvem. Você pode criar suas próprias consultas ou usar modelos de consulta predefinidos.
- Usar caminhos de ataque: você pode usar caminhos de ataque para investigar e remediar o risco de segredos críticos. Mais informações.
Suporte de descoberta
O Defender for Cloud suporta a descoberta dos tipos de segredos resumidos na tabela.
Tipo de segredos | Descoberta de segredos de VM | Descoberta de segredos de implantação na nuvem | Localização da revisão |
---|---|---|---|
Chaves privadas SSH inseguras Suporta algoritmo RSA para ficheiros PuTTy. Padrões PKCS#8 e PKCS#1 Padrão OpenSSH |
Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
As cadeias de conexão SQL do Azure de texto simples dão suporte ao SQL PAAS. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Banco de dados do Azure de texto simples para PostgreSQL. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Banco de dados do Azure de texto simples para MySQL. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Banco de dados do Azure de texto sem formatação para MariaDB. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Texto simples do Azure Cosmos DB, incluindo PostgreSQL, MySQL e MariaDB. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
A cadeia de conexão de texto simples do AWS RDS oferece suporte a SQL PAAS: Amazon Aurora de texto simples com sabores Postgres e MySQL. RDS personalizado da Amazon em texto simples com os sabores Oracle e SQL Server. |
Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Cadeias de conexão de conta de armazenamento do Azure de texto sem formatação | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Cadeias de conexão de conta de armazenamento do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Tokens SAS da conta de armazenamento do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
Chaves de acesso da AWS em texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
URL pré-assinado do AWS S3 de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque |
URL assinado de armazenamento do Google em texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Segredo do Cliente do Azure AD de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Token de Acesso Pessoal do Azure DevOps de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Token de acesso pessoal do GitHub de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de acesso de configuração do aplicativo Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de Serviço Cognitivo do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Credenciais de usuário do Azure AD de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de Acesso ao Registo de Contentor do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Senha de Implantação do Serviço de Aplicativo do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Token de Acesso Pessoal do Azure Databricks de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de acesso do Azure SignalR de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de Subscrição de Gestão da API do Azure de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave secreta do Azure Bot Framework de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de API do Serviço Web do Azure Machine Learning de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de acesso dos Serviços de Comunicação do Azure em texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de acesso da grade de eventos do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de acesso de texto simples do Amazon Marketplace Web Service (MWS). | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de Subscrição do Azure Maps de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de acesso do Azure Web PubSub de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de API OpenAI de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de Acesso Compartilhado do Azure Batch de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Token de autor NPM de texto simples. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Certificado de Gerenciamento de Assinatura do Azure de texto sem formatação. | Sim | Sim | Inventário, explorador de segurança na nuvem. |
Chave de API GCP de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Credenciais de texto simples do AWS Redshift. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Chave privada de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Cadeia de conexão ODBC de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Texto simples Palavra-passe geral. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Credenciais de login de usuário de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Token pessoal Travis de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Token de acesso do Slack de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Texto simples ASP.NET Chave da máquina. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Cabeçalho de autorização HTTP de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Senha de texto simples do Cache Redis do Azure. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Chave de Acesso Compartilhado do Azure IoT de texto sem formatação. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Segredo do aplicativo Azure DevOps de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Chave da API de Função do Azure de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Chave de Acesso Compartilhado do Azure de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Assinatura de Acesso Compartilhado do Aplicativo Lógico do Azure de texto sem formatação. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Token de acesso do Azure Ative Directory de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |
Assinatura de Acesso Compartilhado do Barramento de Serviço do Azure de texto simples. | Não | Sim | Inventário, explorador de segurança na nuvem. |