클라우드용 Defender에서 비밀 보호
클라우드용 Microsoft Defender 보안 팀이 보안 비밀을 악용하는 공격자의 위험을 최소화하는 데 도움이 됩니다.
초기 액세스 권한을 얻은 후 공격자는 네트워크 간에 횡적으로 이동하여 리소스에 액세스하여 취약성을 악용하고 중요한 정보 시스템을 손상시키려고 합니다. 횡적 이동에는 일반적으로 노출된 자격 증명과 암호, 키, 토큰 및 연결 문자열 같은 비밀과 같은 중요한 데이터를 악용하여 추가 자산에 액세스하는 자격 증명 위협이 포함됩니다.
비밀은 파일, VM 디스크 또는 컨테이너의 다중 클라우드 배포에서 종종 발견됩니다. 노출된 비밀은 다음과 같은 여러 가지 이유로 발생합니다.
- 인식 부족: 조직은 비밀 노출의 위험과 결과를 인식하지 못할 수 있습니다.
- 정책 부족: 코드 및 구성 파일에서 비밀을 처리하고 보호하는 명확한 회사 정책이 없을 수 있습니다.
- 검색 도구 부족: 비밀 누출을 감지하고 수정하기 위한 도구가 마련되어 있지 않을 수 있습니다.
- 복잡성 및 속도: 여러 클라우드 플랫폼, 오픈 소스 소프트웨어 및 타사 코드를 포함할 수 있는 복잡한 환경입니다. 개발자는 비밀을 사용하여 리소스 및 서비스에 액세스 및 통합하고, 편리하고 재사용하기 위해 소스 코드 리포지토리에 비밀을 저장할 수 있습니다. 이로 인해 퍼블릭 또는 프라이빗 리포지토리 또는 데이터 전송 또는 처리 중에 비밀이 실수로 노출됩니다.
- 보안과 유용성 간의 절충: 조직은 미사용 및 전송 중인 데이터를 암호화 및 암호 해독하는 복잡성과 대기 시간을 방지하기 위해 클라우드 환경에 비밀을 노출하도록 유지할 수 있습니다. 이렇게 하면 데이터 및 자격 증명의 보안 및 개인 정보를 손상시킬 수 있습니다.
유형 및 계획 검사
클라우드용 Defender 다양한 유형의 비밀 검사를 제공합니다.
| 검사 유형 | 세부 정보 | 지원 계획 |
|---|---|---|
| 컴퓨터 검사 | 다중 클라우드 VM에서 에이전트 없는 비밀 검색 | 클라우드용 Defender CSPM(보안 상태 관리) 계획 또는 서버용 Defender 계획 2입니다. |
| 클라우드 배포 리소스 검사 | 다중 클라우드 인프라-코드 배포 리소스에서 에이전트 없는 비밀 검색 | Defender CSPM 계획. |
| 코드 리포지토리 검사 | Azure DevOps에서 노출된 비밀을 검색하는 검사입니다. | Defender CSPM 계획. |
사용 권한 검사
비밀 검색을 사용하려면 다음 권한이 필요합니다.
보안 읽기 권한자
보안 관리자
판독기
기여자
- 담당자
비밀 조사 결과 검토
비밀 문제를 식별하고 완화하는 데 사용할 수 있는 여러 가지 방법이 있습니다. 모든 비밀에 대해 모든 방법이 지원되는 것은 아닙니다.
- 자산 인벤토리의 비밀 검토: 인벤토리에는 클라우드용 Defender 연결된 리소스의 보안 상태가 표시됩니다. 인벤토리를 통해 특정 컴퓨터에서 발견된 비밀을 볼 수 있습니다.
- 비밀 권장 사항 검토: 자산에서 비밀이 발견되면 클라우드용 Defender 권장 사항 페이지의 취약성 해결 보안 제어에서 권장 사항이 트리거됩니다. 권장 사항은 다음과 같이 트리거됩니다.
- 클라우드 보안 탐색기를 사용하여 비밀을 검토합니다. 클라우드 보안 탐색기를 사용하여 비밀 인사이트에 대한 클라우드 보안 그래프를 쿼리합니다. 자체 쿼리를 빌드하거나 기본 제공 템플릿 중 하나를 사용하여 환경 전체에서 VM 비밀을 쿼리할 수 있습니다.
- 공격 경로 검토: 공격 경로 분석은 클라우드 보안 그래프를 검사하여 공격이 환경을 침해하고 영향력이 큰 자산에 도달하는 데 사용할 수 있는 악용 가능한 경로를 노출합니다. VM 비밀 검사는 다양한 공격 경로 시나리오를 지원합니다.
비밀 지원
클라우드용 Defender는 테이블에 요약된 비밀 유형 검색을 지원합니다. 열을 사용한 검토는 비밀 권장 사항을 조사하고 수정하는 데 사용할 수 있는 방법을 나타냅니다.
| 비밀 유형 | VM 비밀 검색 | 클라우드 배포 비밀 검색 | 다음을 사용하여 검토 |
|---|---|---|---|
| 안전하지 않은 SSH 프라이빗 키 PuTTy 파일에 대한 RSA 알고리즘을 지원합니다. PKCS#8 및 PKCS#1 표준 OpenSSH 표준 |
예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 Azure SQL 연결 문자열은 SQL PAAS를 지원합니다. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| PostgreSQL용 일반 텍스트 Azure 데이터베이스. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| Azure Database for MySQL 일반 텍스트. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| MariaDB용 일반 텍스트 Azure 데이터베이스. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| PostgreSQL, MySQL 및 MariaDB를 포함한 일반 텍스트 Azure Cosmos DB. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 AWS RDS 연결 문자열은 SQL PAAS를 지원합니다. Postgres 및 MySQL 버전을 갖춘 일반 텍스트 Amazon Aurora. Oracle 및 SQL Server 버전을 갖춘 일반 텍스트 Amazon 사용자 지정 RDS. |
예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 Azure 스토리지 계정 연결 문자열 | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 Azure Storage 계정 연결 문자열. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 Azure Storage 계정 SAS 토큰. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 AWS 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 AWS S3 사전 서명된 URL. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기, 권장 사항, 공격 경로 |
| 일반 텍스트 Google 스토리지 서명 URL. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure AD 클라이언트 암호. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure DevOps 개인용 액세스 토큰. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 GitHub 개인용 액세스 토큰. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure App Configuration 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Cognitive Service 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure AD 사용자 자격 증명. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Container Registry 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure App Service 배포 암호. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Databricks 개인용 액세스 토큰. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure SignalR 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure API Management 구독 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Bot Framework 비밀 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Machine Learning 웹 서비스 API 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Communication Services 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Event Grid 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Amazon MWS(Marketplace 웹 서비스) 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Maps 구독 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure 웹 PubSub 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 OpenAI API 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Batch 공유 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 NPM 작성자 토큰. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure 구독 관리 인증서. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 GCP API 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 AWS Redshift 자격 증명. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 프라이빗 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 ODBC 연결 문자열. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 일반 암호입니다. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 사용자 로그인 자격 증명. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Travis 개인 토큰. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Slack 액세스 토큰. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 ASP.NET 컴퓨터 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 HTTP 권한 부여 헤더. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Redis Cache 암호. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure IoT 공유 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure DevOps 앱 비밀. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Function API 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure 공유 액세스 키. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure 논리 앱 공유 액세스 서명 | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Active Directory 액세스 토큰 가져오기. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |
| 일반 텍스트 Azure Service Bus 공유 액세스 서명. | 예 | 예 | 인벤토리, 클라우드 보안 탐색기. |