Partilhar via


Proteção de segredos no Defender for Cloud

O Microsoft Defender for Cloud ajuda a equipe de segurança a minimizar o risco de invasores explorarem segredos de segurança.

Depois de obter acesso inicial, os atacantes podem mover-se lateralmente através das redes, encontrar dados confidenciais e explorar vulnerabilidades para danificar sistemas de informação críticos, acedendo a implementações na nuvem, recursos e cargas de trabalho enfrentadas pela Internet. O movimento lateral geralmente envolve ameaças de credenciais que normalmente exploram dados confidenciais, como credenciais expostas e segredos, como senhas, chaves, tokens e cadeias de conexão para obter acesso a ativos adicionais. Os segredos geralmente são encontrados em arquivos, armazenados em discos de VM ou em contêineres, em implantações multicloud. Os segredos expostos acontecem por uma série de razões:

  • Falta de conscientização: as organizações podem não estar cientes dos riscos e consequências da exposição a segredos em seu ambiente de nuvem. Pode não haver uma política clara sobre manipulação e proteção de segredos em arquivos de código e configuração.
  • Falta de ferramentas de descoberta: as ferramentas podem não estar disponíveis para detetar e remediar vazamentos de segredos.
  • Complexidade e velocidade: O desenvolvimento de software moderno é complexo e rápido, contando com várias plataformas de nuvem, software de código aberto e código de terceiros. Os desenvolvedores podem usar segredos para acessar e integrar recursos e serviços em ambientes de nuvem Eles podem armazenar segredos em repositórios de código-fonte para conveniência e reutilização. Isso pode levar à exposição acidental de segredos em repositórios públicos ou privados, ou durante a transferência ou processamento de dados.
  • Compromisso entre segurança e usabilidade: as organizações podem manter segredos expostos em ambientes de nuvem para facilitar o uso, para evitar a complexidade e a latência de criptografar e descriptografar dados em repouso e em trânsito. Isso pode comprometer a segurança e a privacidade dos dados e credenciais.

O Defender for Cloud fornece verificação de segredos para máquinas virtuais e implantações na nuvem, para reduzir o risco de movimento lateral.

Pré-requisitos

Funções e permissões necessárias:

  • Leitor de Segurança

    • Administrador de Segurança

      • Leitor

        • Contribuinte

          • Proprietário

Implantando a verificação de segredos

A verificação de segredos é fornecida como um recurso nos planos do Defender for Cloud:

  • Verificação de VM: fornecida com o plano CSPM (Defender for Cloud Security Posture Management) ou com o plano 2 do Defender for Servers.

  • Verificação de recursos de implantação na nuvem: fornecida com o Defender CSPM.

  • Verificação do repositório de código: fornecido com o Defender CSPM e a Segurança Avançada para GitHub e Azure DevOps.

Revisão de descobertas secretas

Você pode revisar e investigar as descobertas de segurança para segredos de algumas maneiras:

  • Analise o inventário de ativos. Na página Inventário, você pode obter uma visão completa de seus segredos.
  • Rever recomendações de segredos: na página Recomendações do Defender for Cloud, pode rever e corrigir recomendações de segredos. Saiba mais sobre Investigar recomendações e alertas.
  • Investigue informações de segurança: você pode usar o explorador de segurança na nuvem para consultar o gráfico de segurança na nuvem. Você pode criar suas próprias consultas ou usar modelos de consulta predefinidos.
  • Usar caminhos de ataque: você pode usar caminhos de ataque para investigar e remediar o risco de segredos críticos. Mais informações.

Suporte de descoberta

O Defender for Cloud suporta a descoberta dos tipos de segredos resumidos na tabela.

Tipo de segredos Descoberta de segredos de VM Descoberta de segredos de implantação na nuvem Localização da revisão
Chaves privadas SSH inseguras
Suporta algoritmo RSA para ficheiros PuTTy.
Padrões PKCS#8 e PKCS#1
Padrão OpenSSH
Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
As cadeias de conexão SQL do Azure de texto simples dão suporte ao SQL PAAS. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Banco de dados do Azure de texto simples para PostgreSQL. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Banco de dados do Azure de texto simples para MySQL. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Banco de dados do Azure de texto sem formatação para MariaDB. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Texto simples do Azure Cosmos DB, incluindo PostgreSQL, MySQL e MariaDB. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
A cadeia de conexão de texto simples do AWS RDS oferece suporte a SQL PAAS:
Amazon Aurora de texto simples com sabores Postgres e MySQL.
RDS personalizado da Amazon em texto simples com os sabores Oracle e SQL Server.
Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Cadeias de conexão de conta de armazenamento do Azure de texto sem formatação Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Cadeias de conexão de conta de armazenamento do Azure de texto sem formatação. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Tokens SAS da conta de armazenamento do Azure de texto simples. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
Chaves de acesso da AWS em texto simples. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
URL pré-assinado do AWS S3 de texto simples. Sim Sim Inventário, explorador de segurança na nuvem, recomendações, caminhos de ataque
URL assinado de armazenamento do Google em texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Segredo do Cliente do Azure AD de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Token de Acesso Pessoal do Azure DevOps de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Token de acesso pessoal do GitHub de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de acesso de configuração do aplicativo Azure de texto sem formatação. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de Serviço Cognitivo do Azure de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Credenciais de usuário do Azure AD de texto sem formatação. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de Acesso ao Registo de Contentor do Azure de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Senha de Implantação do Serviço de Aplicativo do Azure de texto sem formatação. Sim Sim Inventário, explorador de segurança na nuvem.
Token de Acesso Pessoal do Azure Databricks de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de acesso do Azure SignalR de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de Subscrição de Gestão da API do Azure de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave secreta do Azure Bot Framework de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de API do Serviço Web do Azure Machine Learning de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de acesso dos Serviços de Comunicação do Azure em texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de acesso da grade de eventos do Azure de texto sem formatação. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de acesso de texto simples do Amazon Marketplace Web Service (MWS). Sim Sim Inventário, explorador de segurança na nuvem.
Chave de Subscrição do Azure Maps de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de acesso do Azure Web PubSub de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de API OpenAI de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de Acesso Compartilhado do Azure Batch de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Token de autor NPM de texto simples. Sim Sim Inventário, explorador de segurança na nuvem.
Certificado de Gerenciamento de Assinatura do Azure de texto sem formatação. Sim Sim Inventário, explorador de segurança na nuvem.
Chave de API GCP de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Credenciais de texto simples do AWS Redshift. Não Sim Inventário, explorador de segurança na nuvem.
Chave privada de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Cadeia de conexão ODBC de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Texto simples Palavra-passe geral. Não Sim Inventário, explorador de segurança na nuvem.
Credenciais de login de usuário de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Token pessoal Travis de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Token de acesso do Slack de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Texto simples ASP.NET Chave da máquina. Não Sim Inventário, explorador de segurança na nuvem.
Cabeçalho de autorização HTTP de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Senha de texto simples do Cache Redis do Azure. Não Sim Inventário, explorador de segurança na nuvem.
Chave de Acesso Compartilhado do Azure IoT de texto sem formatação. Não Sim Inventário, explorador de segurança na nuvem.
Segredo do aplicativo Azure DevOps de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Chave da API de Função do Azure de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Chave de Acesso Compartilhado do Azure de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Assinatura de Acesso Compartilhado do Aplicativo Lógico do Azure de texto sem formatação. Não Sim Inventário, explorador de segurança na nuvem.
Token de acesso do Azure Ative Directory de texto simples. Não Sim Inventário, explorador de segurança na nuvem.
Assinatura de Acesso Compartilhado do Barramento de Serviço do Azure de texto simples. Não Sim Inventário, explorador de segurança na nuvem.