Поделиться через


Защита секретов в Defender для облака

Microsoft Defender для облака помогает группе безопасности свести к минимуму риск использования секретов безопасности злоумышленниками.

После получения первоначального доступа злоумышленники могут перемещаться по сетям, находить конфиденциальные данные и использовать уязвимости для повреждения критически важных информационных систем путем доступа к облачным развертываниям, ресурсам и рабочим нагрузкам, подключенным к Интернету. Боковое перемещение часто включает угрозы учетных данных, которые обычно используют конфиденциальные данные, такие как предоставленные учетные данные и секреты, такие как пароли, ключи, маркеры и строка подключения для получения доступа к дополнительным ресурсам. Секреты часто находятся в файлах, хранятся на дисках виртуальных машин или в контейнерах в многооблачных развертываниях. Открытые секреты происходят по ряду причин:

  • Отсутствие осведомленности: организации могут не знать о рисках и последствиях воздействия секретов в облачной среде. Возможно, не существует четкой политики обработки и защиты секретов в файлах кода и конфигурации.
  • Отсутствие средств обнаружения: средства могут не находить и устранять утечки секретов.
  • Сложность и скорость: современная разработка программного обеспечения является сложной и быстрой, опираясь на несколько облачных платформ, программного обеспечения с открытым исходным кодом и сторонний код. Разработчики могут использовать секреты для доступа к ресурсам и службам в облачных средах, которые могут хранить секреты в репозиториях исходного кода для удобства и повторного использования. Это может привести к случайному раскрытию секретов в общедоступных или частных репозиториях или во время передачи или обработки данных.
  • Компромисс между безопасностью и удобством использования. Организации могут хранить секреты в облачных средах для удобства использования, чтобы избежать сложности и задержки шифрования и расшифровки данных в неактивных и передаваемых данных. Это может скомпрометирует безопасность и конфиденциальность данных и учетных данных.

Defender для облака предоставляет проверку секретов для виртуальных машин и для облачных развертываний, чтобы снизить риск бокового перемещения.

  • Виртуальные машины (виртуальные машины): сканирование секретов без агента на многооблачных виртуальных машинах.
  • Облачные развертывания: сканирование секретов без агента в ресурсах развертывания в виде кода в мультиоблачной инфраструктуре.
  • Azure DevOps: сканирование для обнаружения открытых секретов в Azure DevOps.

Необходимые компоненты

Требуемые роли и разрешения

  • Читатель сведений о безопасности

    • администратор безопасности;

      • Читатель

        • Участник

          • Владелец

Развертывание сканирования секретов

Сканирование секретов предоставляется как функция в планах Defender для облака:

  • Проверка виртуальных машин: предоставлен план управления Defender для облака безопасностью (CSPM) или с помощью плана Defender для серверов 2.

  • Проверка ресурсов облачного развертывания: предоставлено с помощью CSPM Defender.

  • Сканирование репозитория кода: предоставлено с помощью CSPM Defender и Расширенной безопасности для GitHub и Azure DevOps.

Просмотр выводов секретов

Вы можете просматривать и исследовать результаты безопасности для секретов несколькими способами:

  • Просмотрите инвентаризацию активов. На странице инвентаризации вы можете получить все представление секретов.
  • Просмотрите рекомендации по секретам: на странице рекомендаций Defender для облака можно просмотреть и исправить рекомендации по секретам. Дополнительные сведения об анализе рекомендаций и оповещений.
  • Изучение аналитических сведений о безопасности. Вы можете использовать cloud security explorer для запроса графа облачной безопасности. Вы можете создавать собственные запросы или использовать стандартные шаблоны запросов.
  • Используйте пути атаки: вы можете использовать пути атаки для исследования и устранения критически важных рисков секретов. Подробнее.

Поддержка обнаружения

Defender для облака поддерживает обнаружение типов секретов, приведенных в таблице.

Тип секретов Обнаружение секретов виртуальных машин Обнаружение секретов облачного развертывания Просмотр расположения
Небезопасные закрытые ключи SSH
Поддерживает алгоритм RSA для файлов PuTTy.
Стандарты PKCS#8 и PKCS#1
Стандарт OpenSSH
Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Строка подключения SQL с открытым текстом поддерживают SQL PAAS. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
База данных Azure с открытым текстом для PostgreSQL. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
База данных Azure с открытым текстом для MySQL. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
База данных Azure с открытым текстом для MariaDB. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Обычный текст Azure Cosmos DB, включая PostgreSQL, MySQL и MariaDB. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Строка подключения azure RDS с открытым текстом поддерживает SQL PAAS:
Обычный текст Amazon Aurora с ароматами Postgres и MySQL.
Пользовательский RDS в Виде обычного текста Amazon с ароматами Oracle и SQL Server.
Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Строка подключения учетной записи хранения Azure в Формате Обычного текста Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Строка подключения учетной записи хранения Azure в виде обычного текста. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Маркеры SAS учетной записи хранения Обычного текста Azure. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Ключи доступа К AWS с открытым текстом. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
СТАНДАРТНЫЙ URL-адрес AWS S3 с открытым текстом. Да Да Инвентаризация, обозреватель облачной безопасности, рекомендации, пути атаки
Подписанный URL-адрес хранилища Plaintext Google. Да Да Инвентаризация, обозреватель облачной безопасности.
Секрет клиента Azure AD с открытым текстом. Да Да Инвентаризация, обозреватель облачной безопасности.
Маркер личного доступа Azure DevOps в Формате Обычного текста. Да Да Инвентаризация, обозреватель облачной безопасности.
Токен личного доступа GitHub с открытым текстом. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ доступа с открытым текстом Конфигурация приложений Azure. Да Да Инвентаризация, обозреватель облачной безопасности.
Открытый текст Azure Cognitive Service Key. Да Да Инвентаризация, обозреватель облачной безопасности.
Учетные данные пользователя Azure AD в Формате Обычного текста. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ доступа с открытым текстом Реестр контейнеров Azure. Да Да Инвентаризация, обозреватель облачной безопасности.
Пароль развертывания службы с открытым текстом приложение Azure. Да Да Инвентаризация, обозреватель облачной безопасности.
Маркер личного доступа Azure Databricks в формате Plaintext. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ доступа Azure SignalR с открытым текстом. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ подписки в Виде обычного текста Azure Управление API. Да Да Инвентаризация, обозреватель облачной безопасности.
Секретный ключ Azure Bot Framework с открытым текстом. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ API веб-службы с открытым текстом Машинное обучение Azure. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ доступа в виде обычного текста Службы коммуникации Azure. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ доступа с открытым текстом Сетка событий Azure. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ доступа к веб-службе Amazon Marketplace (MWS). Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ подписки в Виде обычного текста Azure Maps. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ доступа в Виде обычного текста в Azure Web PubSub. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ API OpenAI с открытым текстом. Да Да Инвентаризация, обозреватель облачной безопасности.
Открытый текст пакетная служба Azure общий ключ доступа. Да Да Инвентаризация, обозреватель облачной безопасности.
Маркер авторов NPM в виде обычного текста. Да Да Инвентаризация, обозреватель облачной безопасности.
Сертификат управления подписками в Формате Обычного текста Azure. Да Да Инвентаризация, обозреватель облачной безопасности.
Ключ API GCP обычного текста. No Да Инвентаризация, обозреватель облачной безопасности.
Учетные данные Redshift для Обычного текста AWS. No Да Инвентаризация, обозреватель облачной безопасности.
Закрытый ключ обычного текста. No Да Инвентаризация, обозреватель облачной безопасности.
Строка подключения ODBC с открытым текстом. No Да Инвентаризация, обозреватель облачной безопасности.
Общий пароль обычного текста. No Да Инвентаризация, обозреватель облачной безопасности.
Учетные данные для входа пользователя в Формате Обычного текста. No Да Инвентаризация, обозреватель облачной безопасности.
Персональный токен Plaintext Travis. No Да Инвентаризация, обозреватель облачной безопасности.
Маркер доступа Plaintext Slack. No Да Инвентаризация, обозреватель облачной безопасности.
Открытый текст ASP.NET ключ компьютера. No Да Инвентаризация, обозреватель облачной безопасности.
Заголовок авторизации HTTP в формате обычного текста. No Да Инвентаризация, обозреватель облачной безопасности.
Пароль кэша Redis для Обычного текста Azure. No Да Инвентаризация, обозреватель облачной безопасности.
Общий ключ доступа к Azure IoT в Формате Обычного текста. No Да Инвентаризация, обозреватель облачной безопасности.
Секрет приложения Plaintext Azure DevOps. No Да Инвентаризация, обозреватель облачной безопасности.
Ключ API функции Обычного текста Azure. No Да Инвентаризация, обозреватель облачной безопасности.
Общий ключ доступа к Azure в формате Plaintext. No Да Инвентаризация, обозреватель облачной безопасности.
Подписанный URL-адрес приложения логики Для Обычного текста Azure. No Да Инвентаризация, обозреватель облачной безопасности.
Маркер доступа к Azure Active Directory в формате Plaintext. No Да Инвентаризация, обозреватель облачной безопасности.
Сигнатура обычного текста Служебная шина Azure подписанного URL-адреса. No Да Инвентаризация, обозреватель облачной безопасности.