你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
计算机机密扫描
Microsoft Defender for Cloud 可为许多方案提供机密扫描,包括计算机机密扫描。
计算机机密扫描是 Defender for Cloud 的无代理扫描功能之一,用于改善计算机的安全状况。 无代理扫描无需安装任何代理或建立网络连接,也不会影响计算机的性能。
- 无代理计算机机密扫描有助于快速检测环境中公开的明文机密、确定优先级并进行相应修正。
- 如果检测到机密,所发现的内容将有助于安全团队确定采取相关措施的优先级并进行修正,最大程度地降低横向移动的风险。
- 启用 Defender for Servers 计划 2 或 Defender 云安全态势管理 (CSPM) 计划后,即可扫描计算机中受支持的机密。
- 计算机机密扫描可以扫描 Azure VM 以及连接到 Defender for Cloud 的 AWS/GCP 实例。
降低安全风险
机密扫描提供以下优势,有助于降低风险:
- 消除不需要的机密。
- 适用最低特权原则。
- 使用 Azure Key Vault 等机密管理系统加强机密安全性。
- 使用生存期较短的机密,例如将 Azure 存储连接字符串替换为具有较短有效期的 SAS 令牌。
计算机机密扫描的工作原理
对 VM 进行机密扫描是无代理的,并使用云 API。 以下是其工作原理:
- 机密扫描会捕获磁盘快照并对其进行分析,而不会影响 VM 性能。
- Microsoft 机密扫描引擎从磁盘收集机密元数据后,将其发送到 Defender for Cloud。
- 无代理扫描引擎会验证 SSH 私钥是否可用于在网络中横向移动。
- 未通过验证的 SSH 密钥会列于 Defender for Cloud“建议”页的“未验证”类别中。
- 识别为包含测试相关内容的目录将从扫描中排除。
计算机机密建议
计算机机密扫描可提供以下机密安全建议:
- Azure 资源:计算机应已解决机密结果
- AWS 资源:EC2 实例应已解决机密结果
- GCP 资源:VM 实例应已解决机密结果
计算机机密攻击路径
该表汇总了支持的攻击路径。
| VM | 攻击路径 |
|---|---|
| Azure | 公开的易受攻击的 VM 具有不安全的 SSH 私钥,用于向 VM 进行身份验证。 公开的易受攻击的 VM 具有不安全的机密,用于向存储帐户进行身份验证。 易受攻击的 VM 具有不安全的机密,用于向存储帐户进行身份验证。 公开的易受攻击的 VM 具有不安全的机密,用于向 SQL 服务器进行身份验证。 |
| AWS | 公开的易受攻击的 EC2 实例具有不安全的 SSH 私钥,用于向 EC2 实例进行身份验证。 公开的易受攻击的 EC2 实例具有不安全的机密,用于向存储帐户进行身份验证。 公开的易受攻击的 EC2 实例具有不安全的机密,用于向 AWS RDS 服务器进行身份验证。 易受攻击的 EC2 实例具有不安全的机密,用于向 AWS RDS 服务器进行身份验证。 |
| GCP | 公开的易受攻击的 GCP VM 实例具有不安全的 SSH 私钥,用于向 GCP VM 实例进行身份验证。 |
预定义的云安全资源管理器查询
Defender for Cloud 提供了以下预定义查询,用于调查机密安全问题:
- 包含可验证另一个虚拟机身份的纯文本密钥的虚拟机 - 返回所有包含可访问其他虚拟机或 EC2 的纯文本密钥的 Azure VM、AWS EC2 实例或 GCP VM 实例。
- 包含可验证另一个存储帐户身份的纯文本密钥的 VM - 返回所有包含可访问其他存储帐户的纯文本密钥的 Azure VM、AWS EC2 实例或 GCP VM 实例
- 包含可验证 SQL 数据库的纯文本机密的虚拟机 - 返回所有包含可访问 SQL 数据库的纯文本机密的 Azure VM、AWS EC2 实例或 GCP VM 实例。
调查和修正计算机机密
你可以使用多种方法调查 Defender for Cloud 中发现的计算机机密。 并非所有方法都适用于所有机密。 查看适用于不同机密类型的支持的方法。