Protezione dei segreti delle macchine virtuali

  • Articolo

Defender per il cloud fornisce l'analisi dei segreti senza agente per le macchine virtuali. L'analisi consente di rilevare, classificare in ordine di priorità e correggere rapidamente i segreti esposti. Il rilevamento dei segreti può identificare un'ampia gamma di tipi di segreti, ad esempio token, password, chiavi o credenziali, archiviati in diversi tipi di file nel file system del sistema operativo.

Defender per il cloud'analisi dei segreti senza agente per Macchine virtuali (VM) individua i segreti di testo non crittografato presenti nell'ambiente in uso. Se vengono rilevati segreti, Defender per il cloud può aiutare il team di sicurezza a classificare in ordine di priorità e intraprendere passaggi di correzione attuabili per ridurre al minimo il rischio di spostamento laterale, senza influire sulle prestazioni del computer.

Come funziona l'analisi dei segreti delle macchine virtuali?

L'analisi dei segreti per le macchine virtuali è senza agente e usa le API cloud.

  1. L'analisi acquisisce gli snapshot del disco e li analizza senza alcun impatto sulle prestazioni delle macchine virtuali.
  2. Dopo che il motore di analisi dei segreti Microsoft raccoglie i metadati dei segreti dal disco, li invia a Defender per il cloud.
  3. Il motore di analisi dei segreti verifica se le chiavi private SSH possono essere usate per spostarsi successivamente nella rete.
    • Le chiavi SSH non verificate correttamente vengono classificate come non verificate nella pagina Defender per il cloud Consigli.
    • Le directory riconosciute come contenenti contenuto correlato al test vengono escluse dall'analisi.

Che cos'è supportato?

L'analisi dei segreti delle macchine virtuali è disponibile quando si usa Defender per server piano 2 o Defender Cloud Security Posture Management (CSPM). L'analisi dei segreti delle macchine virtuali è in grado di analizzare le macchine virtuali di Azure e le istanze AWS/GCP caricate in Defender per il cloud. Esaminare i segreti che possono essere individuati da Defender per il cloud.

In che modo l'analisi dei segreti delle macchine virtuali riduce i rischi?

L'analisi dei segreti consente di ridurre i rischi con le mitigazioni seguenti:

  • Eliminazione dei segreti non necessari.
  • Applicazione del principio dei privilegi minimi.
  • Rafforzare la sicurezza dei segreti usando sistemi di gestione dei segreti come Azure Key Vault.
  • Uso di segreti di breve durata, ad esempio la sostituzione di Archiviazione di Azure stringa di connessione con token di firma di accesso condiviso che possiedono periodi di validità più brevi.

Ricerca per categorie l'identità e correggere i problemi relativi ai segreti?

Esistono diversi modi. Non tutti i metodi sono supportati per ogni segreto. Per altri dettagli, vedere l'elenco dei segreti supportati.

  • Esaminare i segreti nell'inventario degli asset: l'inventario mostra lo stato di sicurezza delle risorse connesse a Defender per il cloud. Dall'inventario è possibile visualizzare i segreti individuati in un computer specifico.
  • Esaminare le raccomandazioni sui segreti: quando i segreti vengono trovati negli asset, viene attivata una raccomandazione nel controllo di sicurezza Correggere le vulnerabilità nella pagina Defender per il cloud Consigli. Consigli vengono attivati come segue:
  • Esaminare i segreti con Cloud Security Explorer. Usare Cloud Security Explorer per eseguire query sul grafico della sicurezza cloud. È possibile creare query personalizzate o usare uno dei modelli predefiniti per eseguire query sui segreti delle macchine virtuali nell'ambiente in uso.
  • Esaminare i percorsi di attacco: l'analisi del percorso di attacco analizza il grafico della sicurezza cloud per esporre percorsi sfruttabili che possono essere usati dagli attacchi per violare l'ambiente e raggiungere asset ad alto impatto. L'analisi dei segreti delle macchine virtuali supporta diversi scenari di percorso di attacco.

Suggerimenti per la sicurezza

Sono disponibili le raccomandazioni per la sicurezza dei segreti delle macchine virtuali seguenti:

  • Risorse di Azure: i computer devono avere i risultati dei segreti risolti
  • Risorse AWS: le istanze EC2 devono avere i risultati dei segreti risolti
  • Risorse GCP: le istanze di macchine virtuali devono avere i risultati dei segreti risolti

Scenari di percorsi di attacco

La tabella riepiloga i percorsi di attacco supportati.

VM Percorsi di attacco
Azure La macchina virtuale vulnerabile esposta ha una chiave privata SSH non sicura usata per l'autenticazione in una macchina virtuale.
La macchina virtuale vulnerabile esposta ha segreti non sicuri usati per l'autenticazione in un account di archiviazione.
La macchina virtuale vulnerabile ha segreti non sicuri usati per l'autenticazione in un account di archiviazione.
La macchina virtuale vulnerabile esposta include segreti non sicuri usati per l'autenticazione in un server SQL.
AWS L'istanza EC2 vulnerabile esposta ha una chiave privata SSH non sicura usata per l'autenticazione in un'istanza EC2.
L'istanza di EC2 vulnerabile esposta ha un segreto non sicuro usato per l'autenticazione in un account di archiviazione.
L'istanza EC2 vulnerabile esposta include segreti non sicuri usati per l'autenticazione in un server AWS RDS.
L'istanza EC2 vulnerabile include segreti non sicuri usati per l'autenticazione in un server AWS RDS.
GCP L'istanza di macchina virtuale GCP vulnerabile esposta ha una chiave privata SSH non sicura usata per l'autenticazione in un'istanza di macchina virtuale GCP.

Query predefinite di Cloud Security Explorer

Defender per il cloud fornisce queste query predefinite per analizzare i problemi di sicurezza dei segreti:

  • VM con segreto di testo non crittografato che può eseguire l'autenticazione in un'altra macchina virtuale: restituisce tutte le macchine virtuali di Azure, le istanze EC2 di AWS o le istanze di VM GCP con segreto di testo non crittografato che può accedere ad altre macchine virtuali o EC2.
  • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione in un account di archiviazione: restituisce tutte le macchine virtuali di Azure, le istanze EC2 di AWS o le istanze di VM GCP con segreto di testo non crittografato che può accedere agli account di archiviazione
  • VM con segreto di testo non crittografato in grado di eseguire l'autenticazione in un database SQL: restituisce tutte le macchine virtuali di Azure, le istanze EC2 di AWS o le istanze di VM GCP con segreto di testo non crittografato in grado di accedere ai database SQL.

Ricerca per categorie attenuare efficacemente i problemi relativi ai segreti?

È importante essere in grado di classificare in ordine di priorità i segreti e identificare quelli che necessitano di attenzione immediata. Per eseguire questa operazione, Defender per il cloud fornisce:

  • Fornire metadati avanzati per ogni segreto, ad esempio l'ora dell'ultimo accesso per un file, una data di scadenza del token, un'indicazione se la risorsa di destinazione che i segreti forniscono l'accesso a esiste e altro ancora.
  • Combinazione dei metadati dei segreti con il contesto degli asset cloud. Ciò consente di iniziare con gli asset esposti a Internet o di contenere segreti che potrebbero compromettere altri asset sensibili. I risultati dell'analisi dei segreti vengono incorporati nella definizione delle priorità delle raccomandazioni basate sul rischio.
  • Fornire più visualizzazioni per individuare i segreti più comuni o gli asset contenenti segreti.

Contenuto correlato

Analisi dei segreti di distribuzione cloud