你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Defender for Cloud 中保护机密
Microsoft Defender for Cloud 可帮助安全团队最大程度降低攻击者利用安全机密的风险。
获得初始访问权限后,攻击者会尝试跨网络横向移动,访问资源以利用漏洞并损坏关键信息系统。横向移动通常涉及凭据风险,其中通常涉及利用公开的凭据和机密(如密码、密钥、令牌和连接字符串)来访问更多资产。
通常可在文件、VM 磁盘或容器中的多云部署中找到机密。 机密可能会由于以下多种原因而被公开:
- 缺乏认知:组织可能不知道机密公开的风险和后果。
- 缺少策略:可能未制定明确的公司策略来处理和保护代码和配置文件中的机密。
- 缺少发现工具:可能不具备用于检测和修复机密泄漏问题的工具。
- 复杂性和速度:可能是包含多个云平台、开源软件和第三方代码的复杂环境。 开发人员可能会使用机密访问和集成资源与服务,为了方便和重复使用,还可能会将机密存储在源代码存储库中。 这可能会导致在公共或专用存储库中或者在数据传输或处理期间意外泄露机密。
- 安全与可用性之间的权衡:组织可能会为了方便使用在云环境中公开机密,以避免加密和解密静态数据和传输中的数据所带来的复杂性和延迟。 这可能会危及数据和凭据的安全性和隐私性。
扫描类型和计划
Defender for Cloud 提供不同类型的机密扫描。
扫描权限
要使用机密扫描,需要以下权限:
安全读取者
安全管理员
读取器
参与者
- 所有者
查看机密结果
有多种方法可用于识别和缓解机密问题。 并非每个机密都支持每个方法。
- 查看资产清单中的机密:清单会显示连接到 Defender for Cloud 的资源的安全状态。 通过清单,可以查看在特定计算机上发现的密钥。
- 查看机密建议:在资产上找到机密后,将在 Defender for Cloud“建议”页上的“修复漏洞安全控制”下触发建议。 建议的触发过程如下所示:
- 使用云安全资源管理器查看机密。 使用云安全资源管理器查询云安全图以获取机密见解。 可以生成自己的查询,或使用其中一个内置模板在整个环境中查询 VM 机密。
- 查看攻击路径:攻击路径分析会扫描云安全图,以公开攻击可能用来破坏环境并到达高影响力资产的可攻击路径。 VM 机密扫描支持多种攻击路径方案。
机密支持
Defender for Cloud 支持发现表中汇总的机密类型。 “审阅方式”列指示可用于调查和修正机密建议的方法。
| 机密类型 | VM 机密发现 | 云部署机密发现 | 审阅方式 |
|---|---|---|---|
| 不安全的 SSH 私钥 支持 PuTTy 文件的 RSA 算法。 PKCS#8 和 PKCS#1 标准 OpenSSH 标准 |
是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 Azure SQL 连接字符串支持 SQL PAAS。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 适用于 PostgreSQL 的纯文本 Azure 数据库。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 适用于 MySQL 的纯文本 Azure 数据库。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 适用于 MariaDB 的纯文本 Azure 数据库。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 Azure Cosmos DB,包括 PostgreSQL、MySQL 和 MariaDB。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 AWS RDS 连接字符串支持 SQL PAAS: 纯文本 Amazon Aurora,具有 Postgres 和 MySQL 风格。 纯文本 Amazon 自定义 RDS,具有 Oracle 和 SQL Server 风格。 |
是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 Azure 存储帐户连接字符串 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 Azure 存储帐户连接字符串。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 Azure 存储帐户 SAS 令牌。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 AWS 访问密钥。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 AWS S3 预签名 URL。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
| 纯文本 Google 存储签名 URL。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure AD 客户端密码。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure DevOps 个人访问令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 GitHub 个人访问令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 应用程序配置访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 认知服务密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure AD 用户凭据。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 容器注册表访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 应用服务部署密码。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure Databricks 个人访问令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure SignalR 访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure API 管理订阅密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure Bot Framework 密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 机器学习 Web 服务 API 密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 通信服务访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 事件网格访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Amazon Marketplace Web Service (MWS) 访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure Maps 订阅密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure Web PubSub 访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 OpenAI API 密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure Batch 共享访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 NPM 作者令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 订阅管理证书。 | 是 | 是 | 清单,云安全资源管理器。 |
| 纯文本 GCP API 密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 AWS Redshift 凭据。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本私钥。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 ODBC 连接字符串。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本常规密码。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本用户登录凭据。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Travis 个人令牌。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Slack 访问令牌。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 ASP.NET 计算机密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 HTTP 授权标头。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure Redis 缓存密码。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure IoT 共享访问密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure DevOps 应用机密。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 函数 API 密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 共享访问密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 逻辑应用共享访问签名。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure Active Directory 访问令牌。 | 否 | 是 | 清单,云安全资源管理器。 |
| 纯文本 Azure 服务总线共享访问签名。 | 否 | 是 | 清单,云安全资源管理器。 |