你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
保护代码存储库机密
Defender for Cloud 通知组织 GitHub 和 Azure DevOps 的代码存储库中公开的机密。 机密检测可帮助你快速检测、确定优先级并修正公开的机密,例如存储在代码存储库中的任何文件中的令牌、密码、密钥或凭据。
如果检测到此类密钥,Microsoft Defender for Cloud 会协助安全团队确定优先级并采取切实可行的修正步骤,通过识别目标资源最大限度降低横向移动的风险。
代码存储库机密扫描的工作原理是什么?
代码存储库的机密扫描依赖于 GitHub 和 Azure DevOps 的 GitHub Advanced Security。 即使存储库已存档,GitHub Advanced Security 也会扫描存储库中存在的所有分支上的整个 Git 历史记录,以查找机密。
若要了解详细信息,请访问 GitHub 和 Azure DevOps 的 GitHub Advanced Security。
支持的功能有哪些?
代码存储库机密扫描需要必要的 GitHub Advanced Security 许可证。 基础云安全态势管理包含在 Defender for Cloud 中查看发现结果的功能。 若要检测运行时资源的横向移动可能性,需要 Defender 云安全态势管理。
目前,公开的机密的攻击路径仅适用于 Azure DevOps 存储库。
代码存储库扫描如何缓解风险?
机密扫描可通过以下缓解措施降低风险:
- 防止横向移动: 发现代码存储库中公开的机密会带来重大的未经授权的访问风险,因为威胁参与者可以利用这些机密来破坏重要资源。
- 消除不需要的机密:如果知道特定机密无权访问租户中的任何资源,可以安全地与开发人员协作删除这些机密。 此外,你将知道机密何时过期。
- 加强机密安全: 获取使用 Azure Key Vault 等机密管理系统的建议。
如何识别和修复机密问题?
可通过多种方式识别和修正公开的机密。 并非每个机密都支持以下列出的每个方法。
- 查看机密建议: 在资产上找到机密后,将在 Defender for Cloud“建议”页上触发针对相关代码存储库的建议。
- 使用云安全资源管理器查看机密:使用云安全资源管理器查询包含机密的代码存储库的云安全图。
- 查看攻击路径:攻击路径分析会扫描云安全图,以公开攻击可能用来破坏环境并到达高影响力资产的可攻击路径。
安全建议
可使用以下机密安全建议:
- Azure DevOps 存储库: Azure DevOps 存储库应处理机密扫描结果
- GitHub 存储库: GitHub 存储库应处理机密扫描结果
攻击路径方案
攻击路径分析是一种基于图形的算法,可扫描云安全图,以公开攻击者可能用于访问高影响资产的可利用路径。 潜在的攻击路径包括:
- Azure DevOps 存储库包含一个公开的机密,该机密可横向移动到 SQL 数据库。
- 可公开访问的 Azure DevOps 存储库包含一个公开的机密,该机密可横向移动到存储帐户。
云安全资源管理器查询
要调查公开的机密和横向移动的可能性,可以使用以下查询:
如何有效地缓解机密问题?
务必能够确定机密的优先级并识别哪些机密需要立即引起注意。 为帮助你执行此操作,Defender for Cloud 提供:
- 每个机密的丰富元数据,例如文件路径、行号、列、提交哈希、文件 URL、GitHub Advanced Security 警报 URL 以及机密提供访问权限的目标资源是否存在的指示。
- 将机密元数据与云资产上下文相结合。 这有助于你从在 Internet 上公开的资产开始,或者从包含可能损害其他敏感资产的机密开始。 机密扫描结果将合并到基于风险的建议优先顺序中。