Protezione dei segreti in Defender per il cloud
Microsoft Defender per il cloud aiuta i team di sicurezza a ridurre al minimo il rischio di attacchi che sfruttano i segreti di sicurezza.
Dopo aver ottenuto l'accesso iniziale, gli utenti malintenzionati tentano di spostarsi successivamente tra reti, accedendo alle risorse per sfruttare le vulnerabilità e danneggiare i sistemi informativi critici. Lo spostamento laterale comporta spesso minacce per le credenziali che in genere sfruttano dati sensibili, ad esempio credenziali esposte e segreti, ad esempio password, chiavi, token e stringa di connessione per ottenere l'accesso ad asset aggiuntivi.
I segreti vengono spesso trovati nelle distribuzioni multicloud nei file, nei dischi delle macchine virtuali o nei contenitori. I segreti esposti si verificano per diversi motivi:
- Mancanza di consapevolezza: le organizzazioni potrebbero non essere consapevoli del rischio e delle conseguenze dell'esposizione dei segreti.
- Mancanza di criteri: potrebbe non esserci un chiaro criterio aziendale sulla gestione e la protezione dei segreti nei file di codice e configurazione.
- Mancanza di strumenti di individuazione: gli strumenti potrebbero non essere disponibili per rilevare e correggere le perdite di segreti.
- Complessità e velocità: ambienti complessi che possono includere più piattaforme cloud, software open source e codice di terze parti. Gli sviluppatori possono usare segreti per accedere e integrare risorse e servizi e archiviare i segreti nei repository di codice sorgente per praticità e riutilizzo. Ciò può causare un'esposizione accidentale dei segreti nei repository pubblici o privati o durante il trasferimento o l'elaborazione dei dati.
- Compromesso tra sicurezza e usabilità: le organizzazioni potrebbero mantenere i segreti esposti in ambienti cloud per semplificare l'uso, per evitare la complessità e la latenza della crittografia e della decrittografia dei dati inattivi e in transito. Ciò può compromettere la sicurezza e la privacy dei dati e delle credenziali.
Tipi e piani di analisi
Defender per il cloud offre diversi tipi di analisi dei segreti.
| Tipo di analisi | Dettagli | Pianificare il supporto |
|---|---|---|
| Analisi del computer | Analisi dei segreti senza agente in macchine virtuali multicloud. | Defender per il cloud piano di gestione del comportamento di sicurezza (CSPM) o Defender per server piano 2. |
| Analisi delle risorse di distribuzione cloud | Analisi dei segreti senza agente tra risorse di distribuzione multicloud come codice. | Piano CSPM di Defender. |
| Analisi del repository di codice | Analisi per individuare i segreti esposti in Azure DevOps. | Piano CSPM di Defender. |
Autorizzazioni di analisi
Per usare l'analisi dei segreti, sono necessarie le autorizzazioni seguenti:
Ruolo con autorizzazioni di lettura per la sicurezza
Amministrazione della protezione
Lettore
Collaboratore
- Proprietario
Revisione dei risultati dei segreti
Sono disponibili diversi metodi per identificare e attenuare i problemi relativi ai segreti. Non tutti i metodi sono supportati per ogni segreto.
- Esaminare i segreti nell'inventario degli asset: l'inventario mostra lo stato di sicurezza delle risorse connesse a Defender per il cloud. Dall'inventario è possibile visualizzare i segreti individuati in un computer specifico.
- Esaminare le raccomandazioni sui segreti: quando i segreti vengono trovati negli asset, viene attivata una raccomandazione nel controllo di sicurezza Correggere le vulnerabilità nella pagina Raccomandazioni Defender per il cloud. Le raccomandazioni vengono attivate nel modo seguente:
- Esaminare i segreti con Cloud Security Explorer. Usare Cloud Security Explorer per eseguire query sul grafo della sicurezza cloud per ottenere informazioni dettagliate sui segreti. È possibile creare query personalizzate o usare uno dei modelli predefiniti per eseguire query sui segreti delle macchine virtuali nell'ambiente in uso.
- Esaminare i percorsi di attacco: l'analisi del percorso di attacco analizza il grafico della sicurezza cloud per esporre percorsi sfruttabili che possono essere usati dagli attacchi per violare l'ambiente e raggiungere asset ad alto impatto. L'analisi dei segreti delle macchine virtuali supporta diversi scenari di percorso di attacco.
Supporto dei segreti
Defender per il cloud supporta l'individuazione dei tipi di segreti riepilogati nella tabella. La colonna Review using indica i metodi che è possibile usare per analizzare e correggere le raccomandazioni sui segreti.
| Tipo di segreti | Individuazione dei segreti della VM | Individuazione dei segreti della distribuzione cloud | Esaminare l'uso |
|---|---|---|---|
| Chiavi private SSH non sicure Supporta l'algoritmo RSA per i file PuTTy. Standard PKCS#8 e PKCS#1 Standard OpenSSH |
Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Le stringhe di connessione Azure SQL in testo non crittografato supportano PaaS SQL. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Database di Azure per PostgreSQL in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Database di Azure per MySQL in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Database di Azure per MariaDB in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Azure Cosmos DB in testo non crittografato, inclusi PostgreSQL, MySQL e MariaDB. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| La stringa di connessione AWS RDS in testo non crittografato supporta PaaS SQL: Amazon Aurora in testo non crittografato con versioni Postgres e MySQL. RDS personalizzato di Amazon in testo non crittografato con versioni per Oracle e SQL Server. |
Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Stringhe di connessione dell'account di archiviazione di Azure in testo non crittografato | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Stringhe di connessione dell'account di archiviazione di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Token SAS dell'account di archiviazione di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| Chiavi di accesso AWS in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| URL prefirmato di AWS S3 in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer, elementi consigliati, percorsi di attacco |
| URL firmato di archiviazione Google in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Segreto client di Azure AD in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale di Azure DevOps in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale GitHub in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Configurazione app di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave del Servizio cognitivo di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Credenziali utente di Azure AD in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiavi di accesso al Registro Azure Container in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Password di distribuzione del Servizio app di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso personale di Azure Databricks in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Azure SignalR in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di sottoscrizione di Gestione API di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave privata di Azure Bot Framework in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API del servizio Web di Azure Machine Learning in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Servizi di comunicazione di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Griglia di eventi di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Amazon Marketplace Web Service (MWS) in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di sottoscrizione di Mappe di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso di Azure Web PubSub in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API di OpenAI in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure Batch in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Token di creazione NPM in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Certificato di gestione delle sottoscrizioni di Azure in testo non crittografato. | Sì | Sì | Inventario, Cloud Security Explorer. |
| Chiave API GCP in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Credenziali di AWS Redshift in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave privata in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Stringa di connessione di ODBC in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Password generale in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Credenziali di accesso utente in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token personale Travis in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso Slack in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave computer ASP.NET in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Intestazione dell'autorizzazione HTTP in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Password di Cache di Azure per Redis in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure IoT in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Segreto dell'app Azure DevOps in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave API di Funzioni di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Chiave di accesso condiviso di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Firma di accesso condiviso di App per la logica di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Token di accesso di Azure Active Directory in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |
| Firma di accesso condiviso di Bus di servizio di Azure in testo non crittografato. | No | Sì | Inventario, Cloud Security Explorer. |