Поделиться через


Защита секретов облачного развертывания

Microsoft Defender для облака предоставляет проверку секретов без агента для облачных развертываний.

Что такое облачное развертывание?

Облачное развертывание относится к процессу развертывания ресурсов и управления ими в облачных поставщиках, таких как Azure и AWS в масштабе, с помощью таких средств, как шаблоны Azure Resource Manager и стек CloudFormation AWS. Другими словами, облачное развертывание — это экземпляр шаблона "инфраструктура как код" (IaC).

Каждое облако предоставляет запрос API и при запросе API для ресурсов облачного развертывания обычно извлекаются метаданные развертывания, такие как шаблоны развертывания, параметры, выходные данные и теги.

Безопасность от разработки программного обеспечения до среды выполнения

Традиционные решения для сканирования секретов часто обнаруживают неуместные секреты в репозиториях кода, конвейерах кода или файлах в виртуальных машинах и контейнерах. Ресурсы облачного развертывания, как правило, не учитывается и могут включать секреты открытого текста, которые могут привести к критически важным ресурсам, таким как базы данных, хранилище BLOB-объектов, репозитории GitHub и службы Azure OpenAI. Эти секреты могут позволить злоумышленникам использовать скрытые поверхности атак в облачных средах.

Сканирование секретов облачного развертывания добавляет дополнительный уровень безопасности, например следующие сценарии:

  • Повышение уровня безопасности. В Defender для облака возможности безопасности DevOps в Defender для облака могут определять открытые секреты на платформах управления версиями. Однако при запуске облачных развертываний вручную с рабочей станции разработчика могут возникнуть открытые секреты, которые могут быть пропущены. Кроме того, некоторые секреты могут отображаться только во время выполнения развертывания, например те, которые отображаются в выходных данных развертывания или разрешены из Azure Key Vault. Сканирование секретов облачного развертывания мостит этот разрыв.
  • Предотвращение бокового перемещения: обнаружение открытых секретов в ресурсах развертывания представляет значительный риск несанкционированного доступа.
    • Субъекты угроз могут использовать эти уязвимости для бокового обхода по всей среде, в конечном итоге компрометируя критически важные службы.
    • Использование анализа путей атаки с сканированием секретов облачного развертывания автоматически обнаруживает пути атаки, связанные с развертыванием Azure, что может привести к нарушению конфиденциальных данных.
  • Обнаружение ресурсов. Влияние неправильно настроенных ресурсов развертывания может быть обширным, что приводит к созданию новых ресурсов на расширяющейся области атак.
    • Обнаружение и защита секретов в данных уровня управления ресурсами может помочь предотвратить потенциальные нарушения.
    • Решение открытых секретов во время создания ресурсов может быть особенно сложным.
    • Сканирование секретов облачного развертывания помогает выявлять и устранять эти уязвимости на ранней стадии.

Сканирование помогает быстро обнаруживать секреты обычного текста в облачных развертываниях. Если секреты обнаружены Defender для облака могут помочь вашей команде безопасности определить приоритеты действий и исправить, чтобы свести к минимуму риск бокового перемещения.

Как работает сканирование секретов развертывания в облаке?

Сканирование помогает быстро обнаруживать секреты обычного текста в облачных развертываниях. Проверка секретов для ресурсов облачного развертывания не является агентом и использует API уровня управления облаком.

Модуль сканирования секретов Майкрософт проверяет, можно ли использовать закрытые ключи SSH для бокового перемещения в сети.

  • Ключи SSH, которые не проверены, классифицируются как непроверенные на странице рекомендаций Defender для облака.
  • Каталоги, распознанные как содержащие содержимое, связанное с тестом, исключаются из сканирования.

Что поддерживается?

Сканирование ресурсов облачного развертывания обнаруживает секреты открытого текста. Сканирование доступно при использовании плана Управления posture Defender Cloud Security (CSPM). Поддерживаются облачные развертывания Azure и AWS. Просмотрите список секретов, которые Defender для облака могут обнаруживать.

Разделы справки удостоверений и исправление проблем с секретами?

Существует несколько способов:

  • Просмотрите секреты в инвентаризации активов: инвентаризация показывает состояние безопасности ресурсов, подключенных к Defender для облака. Из инвентаризации можно просмотреть секреты, обнаруженные на определенном компьютере.
  • Ознакомьтесь с рекомендациями по секретам: когда секреты находятся в ресурсах, рекомендация активируется в разделе управления безопасностью исправлений уязвимостей на странице рекомендаций Defender для облака.

Рекомендации по обеспечению безопасности

Доступны следующие рекомендации по безопасности секретов облачного развертывания:

  • Ресурсы Azure: развертывания Azure Resource Manager должны разрешать результаты секретов.
  • Ресурсы AWS: AWS CloudFormation Stack должны иметь результаты секретов, разрешенные.

Сценарии пути атаки

Анализ пути атаки — это алгоритм на основе графа, который сканирует граф облачной безопасности для предоставления эксплойтируемых путей, которые злоумышленники могут использовать для достижения ресурсов с высоким уровнем влияния.

Предопределенные запросы облачного обозревателя безопасности

Обозреватель облачной безопасности позволяет заранее определить потенциальные риски безопасности в облачной среде. Это делается путем запроса графа облачной безопасности. Создайте запросы, выбрав типы ресурсов облачного развертывания и типы секретов, которые нужно найти.

Сканирование секретов виртуальной машины.