通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

保护 VM 机密

  • 项目

Defender for Cloud 提供了对虚拟机的无代理机密扫描。 扫描可帮助你快速检测、确定优先级并修复公开的机密。 机密检测可以识别存储在 OS 文件系统上不同类型的文件中的各种机密类型,例如令牌、密码、密钥或凭据。

Defender for Cloud 面向虚拟机 (VM) 的无代理机密扫描功能会查找环境中存在的纯文本机密。 如果检测到此类密钥,Microsoft Defender for Cloud 会协助安全团队确定优先级并采取切实可行的修正步骤,最大限度降低横向移动的风险,整个过程完全不会影响到计算机的性能。

VM 机密扫描的工作原理是什么?

对 VM 进行机密扫描是无代理的,并使用云 API。

  1. 扫描会捕获磁盘快照并对其进行分析,不会影响 VM 性能。
  2. Microsoft 机密扫描引擎从磁盘收集机密元数据后,将其发送到 Defender for Cloud。
  3. 无代理扫描引擎会验证 SSH 私钥是否可用于在网络中横向移动。
    • 未成功验证的 SSH 密钥会在 Defender for Cloud“建议”页上归类为“未验证”。
    • 识别为包含测试相关内容的目录将从扫描中排除。

支持的功能有哪些?

如果正在使用 Defender for Servers 计划 2 或 Defender 云安全态势管理 (CSPM),则可以使用 VM 机密扫描。 VM 机密扫描能够扫描 Azure VM 以及加入 Defender for Cloud 的 AWS/GCP 实例。 查看 Defender for Cloud 可以发现的机密。

VM 机密扫描如何缓解风险?

机密扫描可通过以下缓解措施降低风险:

  • 消除不需要的机密。
  • 适用最低特权原则。
  • 使用 Azure Key Vault 等机密管理系统加强机密安全性。
  • 使用生存期较短的机密,例如将 Azure 存储连接字符串替换为具有较短有效期的 SAS 令牌。

如何识别和修复机密问题?

有许多方式。 并非每个机密都支持每个方法。 有关更多详细信息,请查看支持的机密列表。

  • 查看资产清单中的机密:清单会显示连接到 Defender for Cloud 的资源的安全状态。 通过清单,可以查看在特定计算机上发现的密钥。
  • 查看机密建议:在资产上找到机密后,将在 Defender for Cloud“建议”页上的“修复漏洞安全控制”下触发建议。 建议的触发过程如下所示:
  • 使用云安全资源管理器查看机密。 使用云安全资源管理器查询云安全图。 可以生成自己的查询,或使用其中一个内置模板在整个环境中查询 VM 机密。
  • 查看攻击路径:攻击路径分析会扫描云安全图,以公开攻击可能用来破坏环境并到达高影响力资产的可攻击路径。 VM 机密扫描支持多种攻击路径方案。

安全建议

可使用以下 VM 机密安全建议:

  • Azure 资源:计算机应已解决机密结果
  • AWS 资源:EC2 实例应已解决机密结果
  • GCP 资源:VM 实例应已解决机密结果

攻击路径方案

该表汇总了支持的攻击路径。

VM 攻击路径
Azure 公开的易受攻击的 VM 具有不安全的 SSH 私钥,用于向 VM 进行身份验证。
公开的易受攻击的 VM 具有不安全的机密,用于向存储帐户进行身份验证。
易受攻击的 VM 具有不安全的机密,用于向存储帐户进行身份验证。
公开的易受攻击的 VM 具有不安全的机密,用于向 SQL 服务器进行身份验证。
AWS 公开的易受攻击的 EC2 实例具有不安全的 SSH 私钥,用于向 EC2 实例进行身份验证。
公开的易受攻击的 EC2 实例具有不安全的机密,用于向存储帐户进行身份验证。
公开的易受攻击的 EC2 实例具有不安全的机密,用于向 AWS RDS 服务器进行身份验证。
易受攻击的 EC2 实例具有不安全的机密,用于向 AWS RDS 服务器进行身份验证。
GCP 公开的易受攻击的 GCP VM 实例具有不安全的 SSH 私钥,用于向 GCP VM 实例进行身份验证。

预定义的云安全资源管理器查询

Defender for Cloud 提供了以下预定义查询,用于调查机密安全问题:

  • 包含可验证另一个虚拟机身份的纯文本密钥的虚拟机 - 返回所有包含可访问其他虚拟机或 EC2 的纯文本密钥的 Azure VM、AWS EC2 实例或 GCP VM 实例。
  • 包含可验证另一个存储帐户身份的纯文本密钥的 VM - 返回所有包含可访问其他存储帐户的纯文本密钥的 Azure VM、AWS EC2 实例或 GCP VM 实例
  • 包含可验证 SQL 数据库的纯文本机密的虚拟机 - 返回所有包含可访问 SQL 数据库的纯文本机密的 Azure VM、AWS EC2 实例或 GCP VM 实例。

如何有效地缓解机密问题?

务必能够确定机密的优先级并识别哪些机密需要立即引起注意。 为帮助你执行此操作,Defender for Cloud 提供:

  • 为每个机密提供丰富的元数据,例如文件的上次访问时间、令牌到期日期、关于机密提供访问权限的目标资源是否存在的指示等。
  • 将机密元数据与云资产上下文相结合。 这有助于你从向 Internet 公开的资产开始,或者从包含可能损害其他敏感资产的机密开始。 机密扫描结果将合并到基于风险的建议优先顺序中。
  • 提供多个视图,可帮助你查明最常见的机密或包含机密的资产。

相关内容

云部署机密扫描