클라우드 배포 비밀 보호
클라우드용 Microsoft Defender는 클라우드 배포를 위한 에이전트 없는 비밀 검사를 제공합니다.
클라우드 배포란?
클라우드 배포는 Azure Resource Manager 템플릿 및 AWS CloudFormation 스택과 같은 도구를 사용하여 Azure 및 AWS와 같은 클라우드 공급자에 리소스를 대규모로 배포하고 관리하는 프로세스를 의미합니다. 즉, 클라우드 배포는 IaC(Infrastructure as Code) 템플릿의 인스턴스입니다.
각 클라우드 제공은 API 쿼리를 노출하며, 클라우드 배포 리소스에 대한 API를 쿼리할 때 일반적으로 배포 템플릿, 매개 변수, 출력 및 태그와 같은 배포 메타데이터를 쿼리합니다.
소프트웨어 개발부터 런타임까지 보안
기존 비밀 검사 솔루션은 코드 리포지토리, 코드 파이프라인 또는 VM 및 컨테이너 내의 파일에서 잘못 배치된 비밀을 검색하는 경우가 많습니다. 클라우드 배포 리소스는 간과되는 경향이 있으며 데이터베이스, Blob Storage, GitHub 리포지토리 및 Azure OpenAI 서비스와 같은 중요한 자산으로 이어질 수 있는 일반 텍스트 비밀을 잠재적으로 포함할 수 있습니다. 이러한 비밀을 통해 공격자는 클라우드 환경 내에 숨겨진 공격 표면을 악용할 수 있습니다.
클라우드 배포 비밀을 검사하면 추가 보안 계층이 추가되어 다음과 같은 시나리오를 처리합니다.
- 보안 적용 범위 증가: 클라우드용 Defender에서 클라우드용 Defender의 DevOps 보안 기능은 소스 제어 관리 플랫폼 내에서 노출된 비밀을 식별할 수 있습니다. 그러나 개발자의 워크스테이션에서 수동으로 트리거된 클라우드 배포로 인해 간과될 수 있는 비밀이 노출될 수 있습니다. 또한 일부 비밀은 배포 출력에 공개되거나 Azure Key Vault에서 확인되는 것과 같이 배포 런타임 중에만 표시될 수 있습니다. 클라우드 배포 비밀을 검사하면 이러한 간격이 해소됩니다.
- 수평 이동 방지: 배포 리소스 내에서 노출된 비밀이 발견되면 무단 액세스가 발생할 수 있는 심각한 위험이 있습니다.
- 위협 작업자는 이러한 취약성을 악용하여 환경 전반에 걸쳐 측면을 트래버스하여 궁극적으로 중요한 서비스를 손상시킬 수 있습니다.
- 클라우드 배포 비밀 검사와 함께 공격 경로 분석을 사용하면 중요한 데이터 침해로 이어질 수 있는 Azure 배포와 관련된 공격 경로를 자동으로 발견합니다.
- 리소스 검색: 잘못 구성된 배포 리소스의 영향은 광범위할 수 있으며, 이로 인해 확장되는 공격 표면에서 새로운 리소스가 만들어질 수 있습니다.
- 리소스 컨트롤 플레인 데이터 내에서 비밀을 검색하고 보호하면 잠재적인 위반을 방지하는 데 도움이 될 수 있습니다.
- 리소스를 만드는 동안 노출된 비밀을 해결하는 것은 특히 어려울 수 있습니다.
- 클라우드 배포 비밀 검사는 초기 단계에서 이러한 취약성을 식별하고 완화하는 데 도움이 됩니다.
검사를 통해 클라우드 배포에서 일반 텍스트 비밀을 빠르게 검색할 수 있습니다. 비밀이 검색되면 클라우드용 Defender는 보안 팀이 작업의 우선 순위를 정하고 수평 이동의 위험을 최소화하도록 수정하는 데 도움을 줄 수 있습니다.
클라우드 배포 비밀 검사는 어떻게 작동하나요?
검사를 통해 클라우드 배포에서 일반 텍스트 비밀을 빠르게 검색할 수 있습니다. 클라우드 배포 리소스에 대한 비밀 검사는 에이전트 없이 이루어지며 클라우드 컨트롤 플레인 API를 사용합니다.
Microsoft 비밀 검사 엔진은 SSH 프라이빗 키를 사용하여 네트워크에서 측면 이동이 가능한지 여부를 확인합니다.
- 성공적으로 확인되지 않은 SSH 키는 클라우드용 Defender 권장 사항 페이지에서 확인되지 않은 것으로 분류됩니다.
- 테스트 관련 콘텐츠가 포함된 것으로 인식된 디렉터리는 검사에서 제외됩니다.
무엇이 지원되나요?
클라우드 배포 리소스를 검사하면 일반 텍스트 비밀이 검색됩니다. Defender CSPM(클라우드 보안 태세 관리) 계획을 사용하는 경우 검사를 사용할 수 있습니다. Azure 및 AWS 클라우드 배포가 지원됩니다. 클라우드용 Defender가 발견할 수 있는 비밀 목록을 검토합니다.
비밀 문제를 식별하고 수정하려면 어떻게 해야 하나요?
여러 가지 방법이 있습니다.
- 자산 인벤토리에서 비밀 검토: 인벤토리에는 클라우드용 Defender에 연결된 리소스의 보안 상태가 표시됩니다. 인벤토리를 통해 특정 컴퓨터에서 발견된 비밀을 볼 수 있습니다.
- 비밀 권장 사항 검토: 자산에서 비밀이 발견되면 클라우드용 Defender 권장 사항 페이지의 취약성 수정 보안 제어에서 권장 사항이 트리거됩니다.
보안 권장 사항
다음과 같은 클라우드 배포 비밀 보안 권장 사항을 사용할 수 있습니다.
- Azure 리소스: Azure Resource Manager 배포에는 비밀 결과가 해결되어야 합니다.
- AWS 리소스: AWS CloudFormation 스택에는 비밀 결과가 해결되어 있어야 합니다.
공격 경로 시나리오
공격 경로 분석은 클라우드 보안 그래프를 검사하여 공격자가 영향력이 큰 자산에 접근하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출하는 그래프 기반 알고리즘입니다.
미리 정의된 클라우드 보안 탐색기 쿼리
클라우드 보안 탐색기를 사용하면 클라우드 환경 내에서 잠재적인 보안 위험을 적극적으로 식별할 수 있습니다. 이는 클라우드 보안 그래프를 쿼리하여 수행됩니다. 클라우드 배포 리소스 종류와 찾으려는 비밀 형식을 선택하여 쿼리를 만듭니다.