VM 비밀 보호

  • 아티클

클라우드용 Defender는 가상 머신에 대한 에이전트 없는 비밀 검사를 제공합니다. 검사를 통해 노출된 비밀을 신속하게 검색하고 우선 순위를 지정하며 수정할 수 있습니다. 비밀 검색은 OS 파일 시스템의 다양한 형식의 파일에 저장된 토큰, 비밀, 키 또는 자격 증명과 같은 광범위한 비밀 형식을 식별할 수 있습니다.

VM(Virtual Machines)에 대한 클라우드용 Defender의 에이전트 없는 비밀 검사는 사용자 환경에 존재하는 일반 텍스트 비밀을 찾습니다. 비밀이 검색되면 클라우드용 Defender는 보안 팀이 컴퓨터 성능에 영향을 주지 않고 측면 이동 위험을 최소화하기 위해 우선 순위를 지정하고 실행 가능한 수정 단계를 수행하도록 지원할 수 있습니다.

VM 비밀 검사는 어떻게 작동하나요?

VM에 대한 비밀 검사는 에이전트가 없으며 클라우드 API를 사용합니다.

  1. 검사는 VM 성능에 영향을 주지 않고 디스크 스냅샷을 캡처하고 분석합니다.
  2. Microsoft 비밀 검사 엔진은 디스크에서 비밀 메타데이터를 수집한 후 이를 클라우드용 Defender로 보냅니다.
  3. 비밀 검사 엔진은 SSH 프라이빗 키를 사용하여 네트워크에서 측면 이동이 가능한지 확인합니다.
    • 성공적으로 확인되지 않은 SSH 키는 클라우드용 Defender 권장 사항 페이지에서 확인되지 않은 것으로 분류됩니다.
    • 테스트 관련 콘텐츠가 포함된 것으로 인식된 디렉터리는 검사에서 제외됩니다.

무엇이 지원되나요?

VM 비밀 검사는 서버용 Defender 계획 2 또는 Defender CSPM(클라우드 보안 태세 관리)을 사용하는 경우 사용할 수 있습니다. VM 비밀 검사는 Azure VM 및 클라우드용 Defender에 온보딩된 AWS/GCP 인스턴스를 검사할 수 있습니다. 클라우드용 Defender에서 발견할 수 있는 비밀을 검토합니다.

VM 비밀 검사는 어떻게 위험을 완화하나요?

비밀 검사는 다음 완화를 통해 위험을 줄이는 데 도움이 됩니다.

  • 필요하지 않은 비밀을 제거합니다.
  • 최소 권한 원칙을 적용합니다.
  • Azure Key Vault와 같은 비밀 관리 시스템을 사용하여 비밀 보안을 강화합니다.
  • Azure Storage 연결 문자열을 더 짧은 유효 기간을 갖는 SAS 토큰으로 대체하는 등 단기 비밀을 사용합니다.

비밀 문제를 식별하고 수정하려면 어떻게 해야 하나요?

여러 가지 방법이 있습니다. 모든 비밀에 대해 모든 방법이 지원되는 것은 아닙니다. 자세한 내용은 지원되는 비밀 목록을 검토합니다.

  • 자산 인벤토리에서 비밀 검토: 인벤토리에는 클라우드용 Defender에 연결된 리소스의 보안 상태가 표시됩니다. 인벤토리를 통해 특정 컴퓨터에서 발견된 비밀을 볼 수 있습니다.
  • 비밀 권장 사항 검토: 자산에서 비밀이 발견되면 클라우드용 Defender 권장 사항 페이지의 취약성 수정 보안 제어에서 권장 사항이 트리거됩니다. 권장 사항은 다음과 같이 트리거됩니다.
  • 클라우드 보안 탐색기로 비밀을 검토합니다. 클라우드 보안 탐색기를 사용하여 클라우드 보안 그래프를 쿼리합니다. 자체 쿼리를 빌드하거나 기본 제공 템플릿 중 하나를 사용하여 환경 전체에서 VM 비밀을 쿼리할 수 있습니다.
  • 공격 경로 검토: 공격 경로 분석은 클라우드 보안 그래프를 검사하여 익스플로잇이 환경을 위반하고 영향력이 큰 자산에 도달하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. VM 비밀 검사는 다양한 공격 경로 시나리오를 지원합니다.

보안 권장 사항

다음과 같은 VM 비밀 보안 권장 사항을 사용할 수 있습니다.

  • Azure 리소스: 컴퓨터에는 해결된 비밀 결과가 있어야 합니다.
  • AWS 리소스: EC2 인스턴스에는 비밀 결과가 해결되어야 합니다.
  • GCP 리소스: VM 인스턴스에는 비밀 결과가 해결되어야 합니다.

공격 경로 시나리오

표에는 지원되는 공격 경로가 요약되어 있습니다.

VM 공격 경로
Azure 노출된 취약한 VM에는 VM을 인증하는 데 사용되는 안전하지 않은 SSH 프라이빗 키가 있습니다.
노출된 취약한 VM에는 스토리지 계정을 인증하는 데 사용되는 안전하지 않은 비밀이 있습니다.
취약한 VM에는 스토리지 계정을 인증하는 데 사용되는 안전하지 않은 비밀이 있습니다.
노출된 취약한 VM에는 SQL 서버에 인증하는 데 사용되는 안전하지 않은 비밀이 있습니다.
AWS 노출된 취약한 EC2 인스턴스에는 EC2 인스턴스를 인증하는 데 사용되는 안전하지 않은 SSH 프라이빗 키가 있습니다.
노출된 취약한 EC2 인스턴스에는 스토리지 계정을 인증하는 데 사용되는 안전하지 않은 비밀이 있습니다.
노출된 취약한 EC2 인스턴스에는 AWS RDS 서버를 인증하는 데 사용되는 안전하지 않은 비밀이 있습니다.
취약한 EC2 인스턴스에는 AWS RDS 서버를 인증하는 데 사용되는 안전하지 않은 비밀이 있습니다.
GCP 노출된 취약한 GCP VM 인스턴스에는 GCP VM 인스턴스를 인증하는 데 사용되는 안전하지 않은 SSH 프라이빗 키가 있습니다.

미리 정의된 클라우드 보안 탐색기 쿼리

클라우드용 Defender는 비밀 보안 문제를 조사하기 위해 다음과 같은 미리 정의된 쿼리를 제공합니다.

  • 다른 VM에 인증할 수 있는 일반 텍스트 비밀이 포함된 VM - 다른 VM 또는 EC2에 액세스할 수 있는 일반 텍스트 비밀이 포함된 모든 Azure VM, AWS EC2 인스턴스 또는 GCP VM 인스턴스를 반환합니다.
  • 스토리지 계정에 인증할 수 있는 일반 텍스트 비밀이 포함된 VM - 스토리지 계정에 액세스할 수 있는 일반 텍스트 비밀이 포함된 모든 Azure VM, AWS EC2 인스턴스 또는 GCP VM 인스턴스를 반환합니다.
  • SQL 데이터베이스에 인증할 수 있는 일반 텍스트 비밀이 포함된 VM - SQL 데이터베이스에 액세스할 수 있는 일반 텍스트 비밀이 포함된 모든 Azure VM, AWS EC2 인스턴스 또는 GCP VM 인스턴스를 반환합니다.

비밀 문제를 효과적으로 완화하려면 어떻게 해야 하나요?

비밀의 우선 순위를 지정하고 어떤 비밀에 즉각적인 주의가 필요한지 식별해야 합니다. 이를 지원하기 위해 클라우드용 Defender는 다음을 제공합니다.

  • 파일의 마지막 액세스 시간, 토큰 만료 날짜, 비밀이 액세스를 제공하는 대상 리소스가 존재하는지 여부 표시 등과 같은 모든 비밀에 대한 풍부한 메타데이터를 제공합니다.
  • 비밀 메타데이터를 클라우드 자산 컨텍스트와 결합합니다. 이는 인터넷에 노출되거나 다른 중요한 자산을 손상시킬 수 있는 비밀을 포함하는 자산으로 시작하는 데 도움이 됩니다. 비밀 검사 결과는 위험 기반 권장 사항 우선 순위 지정에 통합됩니다.
  • 가장 일반적으로 발견되는 비밀 또는 비밀이 포함된 자산을 정확히 찾아내는 데 도움이 되는 여러 보기를 제공합니다.

관련 콘텐츠

클라우드 배포 비밀 검사