你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Defender for Cloud 中保护机密
Microsoft Defender for Cloud 可帮助安全团队最大程度地降低攻击者利用安全机密的风险。
获得初始访问权限后,攻击者可在各个网络之间横向移动,寻找敏感数据,并通过访问云部署、资源和面向 Internet 的工作负载,利用漏洞对关键信息系统造成损害。 横向移动通常涉及凭据威胁,这些威胁通常利用公开的凭据和机密(如密码、密钥、令牌和连接字符串)来访问其他资产。 机密通常存在于文件中、VM 磁盘上、容器上或多云部署中。 机密可能会由于以下多种原因而被公开:
- 缺乏认知:组织可能不知道机密在其云环境中公开的风险和后果。 可能没有针对在代码和配置文件中处理和保护机密的明确策略。
- 缺少发现工具:可能不具备用于检测和修复机密泄漏问题的工具。
- 复杂性和速度:新式软件开发复杂且快速,依赖于多个云平台、开源软件和第三方代码。 开发人员可能会使用机密在云环境中访问和集成资源与服务,为了方便和重复使用,他们还可能会将机密存储在源代码存储库中。 这可能会导致在公共或专用存储库中或者在数据传输或处理期间意外泄露机密。
- 安全与可用性之间的权衡:组织可能会为了方便使用在云环境中公开机密,以避免加密和解密静态数据和传输中的数据所带来的复杂性和延迟。 这可能会危及数据和凭据的安全性和隐私性。
Defender for Cloud 会对虚拟机和云部署进行机密扫描,以减少横向移动风险。
- 虚拟机 (VM):在多云 VM 上进行无代理机密扫描。
- 云部署:跨多云基础结构即代码部署资源进行无代理机密扫描。
- Azure DevOps:扫描以发现 Azure DevOps 中公开的机密。
部署机密扫描
机密扫描作为 Defender for Cloud 计划中的功能提供:
- VM 扫描:随 Defender 云安全态势管理 (CSPM) 计划或 Defender for Servers 计划 2 一起提供。
- 云部署资源扫描:随 Defender CSPM 一起提供。
- DevOps 扫描:随 Defender CSPM 一起提供。
查看机密结果
可以通过以下几种方式查看和调查机密的安全结果:
- 查看资产清单。 在“清单”页中,可以获得机密的全面视图。
- 查看机密建议:在 Defender for Cloud“建议”页中,可以查看和修正机密建议。 详细了解“调查建议和警报”。
- 调查安全见解:可以使用云安全资源管理器来查询云安全图。 可以生成自己的查询,或使用预定义的查询模板。
- 使用攻击路径:可以使用攻击路径调查和修正关键机密风险。 了解详细信息。
发现支持
Defender for Cloud 支持发现表中汇总的机密类型。
机密类型 | VM 机密发现 | 云部署机密发现 | 查看位置 |
---|---|---|---|
不安全的 SSH 私钥 支持 PuTTy 文件的 RSA 算法。 PKCS#8 和 PKCS#1 标准 OpenSSH 标准 |
是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 Azure SQL 连接字符串支持 SQL PAAS。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
适用于 PostgreSQL 的纯文本 Azure 数据库。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
适用于 MySQL 的纯文本 Azure 数据库。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
适用于 MariaDB 的纯文本 Azure 数据库。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 Azure Cosmos DB,包括 PostgreSQL、MySQL 和 MariaDB。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 AWS RDS 连接字符串支持 SQL PAAS: 纯文本 Amazon Aurora,具有 Postgres 和 MySQL 风格。 纯文本 Amazon 自定义 RDS,具有 Oracle 和 SQL Server 风格。 |
是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 Azure 存储帐户连接字符串 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 Azure 存储帐户连接字符串。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 Azure 存储帐户 SAS 令牌。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 AWS 访问密钥。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 AWS S3 预签名 URL。 | 是 | 是 | 清单,云安全资源管理器,建议,攻击路径 |
纯文本 Google 存储签名 URL。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure AD 客户端密码。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure DevOps 个人访问令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 GitHub 个人访问令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 应用程序配置访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 认知服务密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure AD 用户凭据。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 容器注册表访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 应用服务部署密码。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure Databricks 个人访问令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure SignalR 访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure API 管理订阅密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure Bot Framework 密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 机器学习 Web 服务 API 密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 通信服务访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 事件网格访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Amazon Marketplace Web Service (MWS) 访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure Maps 订阅密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure Web PubSub 访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 OpenAI API 密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure Batch 共享访问密钥。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 NPM 作者令牌。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 订阅管理证书。 | 是 | 是 | 清单,云安全资源管理器。 |
纯文本 GCP API 密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 AWS Redshift 凭据。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本私钥。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 ODBC 连接字符串。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本常规密码。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本用户登录凭据。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Travis 个人令牌。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Slack 访问令牌。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 ASP.NET 计算机密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 HTTP 授权标头。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure Redis 缓存密码。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure IoT 共享访问密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure DevOps 应用机密。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 函数 API 密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 共享访问密钥。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 逻辑应用共享访问签名。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure Active Directory 访问令牌。 | 否 | 是 | 清单,云安全资源管理器。 |
纯文本 Azure 服务总线共享访问签名。 | 否 | 是 | 清单,云安全资源管理器。 |