코드 리포지토리 비밀 보호

클라우드용 Defender GitHub 및 Azure DevOps의 코드 리포지토리에 노출된 비밀에 대해 조직에 알깁니다. 비밀 검색을 사용하면 코드 리포지토리 내의 파일에 저장된 토큰, 암호, 키 또는 자격 증명과 같은 노출된 비밀을 신속하게 검색, 우선 순위 지정 및 수정할 수 있습니다.

비밀이 검색되면 클라우드용 Defender 보안 팀의 우선 순위를 지정하고 실행 가능한 수정 단계를 수행하여 비밀이 액세스할 수 있는 대상 리소스를 식별하여 횡적 이동의 위험을 최소화할 수 있습니다.

코드 리포지토리 비밀 검색은 어떻게 작동하나요?

코드 리포지토리에 대한 비밀 검색은 GitHub 및 Azure DevOps용 GitHub 고급 보안에 의존합니다. GitHub Advanced Security는 리포지토리가 보관된 경우에도 리포지토리에 있는 모든 분기에서 전체 Git 기록을 검사하여 비밀을 검색합니다.

자세한 내용은 GitHub 및 Azure DevOps에 대한 GitHub 고급 보안 설명서를 참조하세요.

무엇이 지원되나요?

코드 리포지토리 비밀 검색은 필요한 GitHub Advanced Security 라이선스와 함께 사용할 수 있습니다. 클라우드용 Defender 결과 보기는 Foundational Cloud Security Posture Management의 일부로 제공됩니다. 런타임 리소스에 대한 횡적 이동 가능성을 감지하려면 Defender Cloud Security Posture Management가 필요합니다.

현재 노출된 비밀에 대한 공격 경로는 Azure DevOps 리포지토리에만 사용할 수 있습니다.

코드 리포지토리 검색은 위험을 어떻게 완화하나요?

비밀 검사는 다음 완화를 통해 위험을 줄이는 데 도움이 됩니다.

• 횡적 이동 방지: 코드 리포지토리 내에서 노출된 비밀을 검색하면 위협 행위자가 이러한 비밀을 활용하여 중요한 리소스를 손상시킬 수 있으므로 무단 액세스의 심각한 위험이 발생합니다.
• 필요하지 않은 비밀 제거: 특정 비밀이 테넌트의 리소스에 액세스할 수 없다는 것을 알고 있으면 개발자와 안전하게 협력하여 이러한 비밀을 제거할 수 있습니다. 또한 비밀이 만료되는 시점을 알 수 있습니다.
• 비밀 보안 강화: Azure Key Vault와 같은 비밀 관리 시스템을 사용하기 위한 권장 사항 가져오기

비밀 문제를 식별하고 수정할 어떻게 할까요? 있나요?

노출된 비밀을 식별하고 수정하는 방법에는 여러 가지가 있습니다. 그러나 아래에 나열된 모든 메서드가 모든 비밀에 대해 지원되는 것은 아닙니다.

• 비밀 권장 사항 검토: 자산에서 비밀이 발견되면 클라우드용 Defender 권장 사항 페이지의 관련 코드 리포지토리에 대한 권장 사항이 트리거됩니다.
• 클라우드 보안 탐색기를 사용하여 비밀 검토: 클라우드 보안 탐색기를 사용하여 비밀이 포함된 코드 리포지토리에 대한 클라우드 보안 그래프를 쿼리합니다.
• 공격 경로 검토: 공격 경로 분석은 클라우드 보안 그래프를 검사하여 익스플로잇이 환경을 위반하고 영향력이 큰 자산에 도달하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다.

보안 권장 사항

다음 비밀 보안 권장 사항을 사용할 수 있습니다.

• Azure DevOps 리포지토리: Azure DevOps 리포지토리에 비밀 검사 결과가 확인되어야 합니다.
• GitHub 리포지토리: GitHub 리포지토리에 비밀 검사 결과가 확인되어야 합니다.

공격 경로 시나리오

공격 경로 분석은 클라우드 보안 그래프를 검사하여 공격자가 영향력이 큰 자산에 접근하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출하는 그래프 기반 알고리즘입니다. 잠재적인 공격 경로는 다음과 같습니다.

• Azure DevOps 리포지토리에는 SQL 데이터베이스에 대한 횡적 이동이 포함된 노출된 비밀이 포함되어 있습니다.
• 공개적으로 액세스할 수 있는 Azure DevOps 리포지토리에는 스토리지 계정으로의 횡적 이동과 함께 노출된 비밀이 포함되어 있습니다.

클라우드 보안 탐색기 쿼리

노출된 비밀 및 횡적 이동 가능성을 조사하려면 다음 쿼리를 사용할 수 있습니다.

• 코드 리포지토리에 비밀 포함
• Azure DevOps 리포지토리에는 개체 스토리지 또는 관리되는 데이터베이스에 인증할 수 있는 비밀이 포함되어 있습니다.

비밀 문제를 효과적으로 완화하려면 어떻게 해야 하나요?

비밀의 우선 순위를 지정하고 어떤 비밀에 즉각적인 주의가 필요한지 식별해야 합니다. 이를 지원하기 위해 클라우드용 Defender는 다음을 제공합니다.

• 파일 경로, 줄 번호, 열, 커밋 해시, 파일 URL, GitHub 고급 보안 경고 URL 및 비밀에 대한 액세스를 제공하는 대상 리소스가 존재하는지 여부를 나타내는 등 모든 비밀에 대한 풍부한 메타데이터입니다.
• 클라우드 자산 컨텍스트와 결합된 비밀 메타데이터입니다. 이렇게 하면 인터넷에 노출되거나 다른 중요한 자산을 손상시킬 수 있는 비밀을 포함하는 자산으로 시작하는 데 도움이 됩니다. 비밀 검사 결과는 위험 기반 권장 사항 우선 순위 지정에 통합됩니다.

관련 콘텐츠

DevOps 보안 개요를 검사하는VM 비밀을 검사하는클라우드 배포 비밀