Protección de secretos en Defender for Cloud
Microsoft Defender for Cloud ayuda al los equipos de seguridad a minimizar el riesgo de que los atacantes aprovechen los secretos de seguridad.
Después de obtener acceso inicial, los atacantes intentan moverse lateralmente entre redes, accediendo a los recursos para aprovechar vulnerabilidades y dañar los sistemas de información críticos. El movimiento lateral suele implicar amenazas de credenciales que suelen aprovechar datos confidenciales, como credenciales expuestas y secretos, como contraseñas, claves, tokens y cadenas de conexión para obtener acceso a recursos adicionales.
Los secretos a menudo se encuentran en implementaciones multinube en archivos, en discos de máquina virtual o en contenedores. Los secretos expuestos se producen por varias razones:
- Falta de conocimiento: es posible que las organizaciones no conozcan los riesgos y consecuencias de la exposición de secretos.
- Falta de directiva: es posible que no haya una directiva de la compañía clara sobre el control y la protección de secretos en archivos de código y configuración.
- Falta de herramientas de detección: es posible que las herramientas no estén en vigor para detectar y corregir fugas de secretos.
- Complejidad y velocidad: entornos complejos que pueden incluir varias plataformas en la nube, software de código abierto y código de terceros. Los desarrolladores pueden usar secretos para acceder e integrar recursos y servicios y almacenar secretos en repositorios de código fuente para mayor comodidad y reutilización. Esto puede provocar la exposición accidental de secretos en repositorios públicos o privados, o durante la transferencia o el procesamiento de datos.
- Equilibrio entre la seguridad y la facilidad de uso: las organizaciones pueden mantener los secretos expuestos en entornos en la nube para facilitar el uso, para evitar la complejidad y la latencia del cifrado, así como el descifrado de datos en reposo y en tránsito. Esto puede poner en peligro la seguridad y la privacidad de los datos y las credenciales.
Examen de tipos y planes
Defender for Cloud proporciona diferentes tipos de análisis de secretos.
| Tipo de examen | Detalles | Planeamiento de soporte técnico |
|---|---|---|
| Examen de máquinas | Análisis de secretos sin agente en máquinas virtuales multinube. | Plan de Administración de la posición de seguridad en la nube (CSPM) de Defender o plan 2 de Defender para servidores. |
| Análisis de recursos de implementación en la nube | Análisis de secretos sin agente en recursos de implementación de infraestructura como código multinube. | Plan de Defender CSPM |
| Análisis del repositorio de código | Análisis para detectar secretos expuestos en Azure DevOps. | Plan de Defender CSPM |
Permisos de análisis
Para usar el análisis de secretos, se necesitan los siguientes permisos:
Lector de seguridad
Administrador de seguridad
Lector
Colaborador
- Propietario
Revisión de los resultados de secretos
Hay varios métodos disponibles para identificar y mitigar los problemas de secretos. No todos los métodos son compatibles con todos los secretos.
- Revisión de secretos en el inventario de recursos: el inventario muestra el estado de seguridad de los recursos conectados a Defender for Cloud. Desde el inventario, puede ver los secretos detectados en una máquina específica.
- Revisar las recomendaciones de secretos: cuando se encuentran secretos en recursos, se desencadena una recomendación en el control de seguridad Corregir vulnerabilidades en la página Recomendaciones de Defender for Cloud. Las recomendaciones se desencadenan de la siguiente manera:
- Revise los secretos con Cloud Security Explorer. Use Cloud Security Explorer para consultar el gráfico de seguridad en la nube para obtener información sobre secretos. Puede crear sus propias consultas o usar una de las plantillas integradas para consultar secretos de máquina virtual en todo el entorno.
- Revisar las rutas de acceso de ataques: el análisis de rutas de acceso de ataques examina el gráfico de seguridad en la nube para exponer rutas de acceso aprovechables que los ataques pueden usar para infringir el entorno y llegar a recursos de alto impacto. El examen de secretos de máquina virtual admite una serie de escenarios de ruta de acceso de ataques.
Compatibilidad con secretos
Defender for Cloud admite la detección de los tipos de secretos que se resumen en la tabla. La columna de Revisar mediante indica los métodos que puede usar para investigar y corregir recomendaciones de secretos.
| Tipo de secretos | Detección de secretos de máquina virtual | Detección de secretos de implementación en la nube | Revisión mediante |
|---|---|---|---|
| Claves privadas SSH no seguras Admite algoritmo RSA para archivos PuTTy. Estándares PKCS#8 y PKCS#1 Estándar OpenSSH |
Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Cadenas de conexión de Azure SQL de texto no cifrado, admite PAAS de SQL. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Base de datos de Azure de texto no cifrado para PostgreSQL. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Base de datos de Azure de texto no cifrado para MySQL. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Base de datos de Azure de texto no cifrado para MariaDB. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Texto no cifrado de Azure Cosmos DB, incluidos PostgreSQL, MySQL y MariaDB. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| La cadena de conexión de AWS RDS de texto no cifrado admite PAAS de SQL: Texto no cifrado Amazon Aurora con tipos Postgres y MySQL. RDS personalizado de Amazon de texto no cifrado con tipos de Oracle y SQL Server. |
Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Cadena de conexión de texto no cifrado a una cuenta de almacenamiento de Azure | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Cadena de conexión de texto no cifrado a una cuenta de almacenamiento de Azure. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Tokens de SAS de texto no cifrado de la cuenta de almacenamiento de Azure. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Claves de acceso de AWS de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| URL prefirmada de AWS S3 de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer, recomendaciones, rutas de acceso a ataques |
| Dirección URL firmada de Google Storage de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Secreto de cliente de Azure AD de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de acceso personal de Azure DevOps de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de acceso personal de GitHub de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure App Configuration de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de Azure Cognitive Service de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Credenciales de usuario de Azure AD de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Container Registry de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Contraseña de implementación de Azure App Service de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de acceso personal de Azure Databricks de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure SignalR de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de suscripción de Azure API Management de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave secreta de Azure Bot Framework de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de API del servicio web de Azure Machine Learning de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Communication Services de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Event Grid de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Amazon Marketplace Web Service (MWS) de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de suscripción de Azure Maps de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso de Azure Web PubSub de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de API de OpenAI de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso compartido de Azure Batch de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Token de autor de NPM de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Certificado de administración de suscripciones de Azure de texto no cifrado. | Sí | Sí | Inventario, Cloud Security Explorer |
| Clave de API de GCP de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Credenciales de AWS Redshift de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave privada de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Cadena de conexión ODBC de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Contraseña general de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Credenciales de inicio de sesión de usuario de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Token personal de Travis de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Token de acceso de Slack de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de máquina de ASP.NET de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Encabezado de autorización HTTP de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Contraseña de Azure Redis Cache de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso compartido de Azure IoT de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Secreto de aplicación de Azure DevOps de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de API de Azure Function de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Clave de acceso compartido de Azure de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Firma de acceso compartido de Azure Logic Apps de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Token de acceso de Azure Active Directory de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |
| Firma de acceso compartido de Azure Service Bus de texto no cifrado. | No | Sí | Inventario, Cloud Security Explorer |