Schützen von VM-Geheimnissen

Defender for Cloud bietet eine Geheimnisüberprüfung ohne Agent für virtuelle Computer. Die Überprüfung hilft Ihnen dabei, offengelegte Geheimnisse schnell zu erkennen, zu priorisieren und zu behandeln. Die Erkennung von Geheimnissen kann verschiedenste Geheimnistypen wie Token, Kennwörter, Schlüssel oder Anmeldeinformationen identifizieren, die in verschiedenen Arten von Dateien im Dateisystem des Betriebssystems gespeichert sind.

Die agentlose Geheimnisüberprüfung von Defender for Cloud für VMs (virtuelle Computer) sucht in Ihrer Umgebung nach Geheimnissen in Klartext. Wenn Geheimnisse erkannt werden, kann Defender for Cloud Ihr Sicherheitsteam bei der Priorisierung und Durchführung umsetzbarer Schritte zur Problembehandlung unterstützen, um das Risiko von Seitwärtsbewegungen (Lateral Movement) zu minimieren, ohne die Leistung Ihres Computers zu beeinträchtigen.

Wie funktioniert die Überprüfung auf VM-Geheimnisse?

Die Überprüfung auf Geheimnisse für VMs funktioniert ohne Agent und verwendet Cloud-APIs.

  1. Die Überprüfung erfasst Momentaufnahmen von Datenträgern und analysiert sie. Dies hat keine Auswirkungen auf die VM-Leistung.
  2. Nachdem die Geheimnisüberprüfungs-Engine von Microsoft Geheimnismetadaten vom Datenträger erfasst hat, sendet sie sie an Defender for Cloud.
  3. Die Geheimnisüberprüfungs-Engine überprüft, ob private SSH-Schlüssel dazu verwendet werden können, sich seitwärts durch Ihr Netzwerk zu bewegen.
    • SSH-Schlüssel, die nicht erfolgreich verifiziert wurden, werden auf der Seite mit den Empfehlungen von Defender for Cloud als nicht verifiziert kategorisiert.
    • Verzeichnisse mit testbezogenen Inhalten werden von der Überprüfung ausgeschlossen.

Was wird unterstützt?

Die Überprüfung auf VM-Geheimnisse steht bei Verwendung des Defender for Servers-Plans 2 als auch bei Verwendung von Defender for CSPM (Cloud Security Posture Management) zur Verfügung. Die Überprüfung auf VM-Geheimnisse kann virtuelle Azure-Computer und AWS- bzw. GCP-Instanzen überprüfen, die in Defender for Cloud integriert wurden. Machen Sie sich mit den Geheimnissen vertraut, die von Defender for Cloud ermittelt werden können.

Wie mindert die Überprüfung auf VM-Geheimnisse das Risiko?

Die Überprüfung auf Geheimnisse trägt wie folgt zur Minderung des Risikos bei:

  • Entfernung nicht benötigter Geheimnisse
  • Anwendung des Prinzips der geringsten Rechte
  • Verbesserung der Sicherheit von Geheimnissen durch Verwendung von Geheimnisverwaltungssystemen wie Azure Key Vault
  • Verwendung kurzlebiger Geheimnisse (z. B. Ersetzen von Azure Storage-Verbindungszeichenfolgen durch SAS-Token mit kürzerer Gültigkeit)

Wie kann ich geheimnisbezogene Probleme identifizieren und behandeln?

Dafür gibt es mehrere Möglichkeiten. Nicht jede Methode wird für jedes Geheimnis unterstützt. Ausführlichere Informationen finden Sie in der Liste mit den unterstützten Geheimnissen.

  • Überprüfen der Geheimnisse im Ressourcenbestand: Im Bestand wird der Sicherheitsstatus von Ressourcen angezeigt, die mit Defender for Cloud verbunden sind. Über den Bestand können Sie die Geheimnisse anzeigen, die auf einem bestimmten Computer gefunden wurden.
  • Überprüfen der Empfehlungen im Zusammenhang mit Geheimnissen: Wenn Geheimnisse in Ressourcen gefunden werden, wird auf der Seite „Defender für Cloud – Empfehlungen“ unter der Sicherheitskontrolle „Sicherheitsrisiken entschärfen“ eine Empfehlung ausgelöst. Empfehlungen werden wie folgt ausgelöst:
  • Überprüfen der Geheimnisse mit dem Cloudsicherheits-Explorer: Verwenden Sie den Cloudsicherheits-Explorer, um den Cloudsicherheitsgraphen abzufragen. Sie können eigene Abfragen erstellen oder eine der integrierten Vorlagen verwenden, um VM-Geheimnisse in Ihrer Umgebung abzufragen.
  • Überprüfen von Angriffspfaden: Die Angriffspfadanalyse überprüft den Cloudsicherheitsgraphen, um Pfade aufzudecken, die von Angreifern verwendet werden können, um in Ihre Umgebung einzudringen und zu wichtigen Ressourcen zu gelangen. Die Überprüfung auf VM-Geheimnisse unterstützt eine Reihe von Angriffspfadszenarien.

Sicherheitsempfehlungen

Folgenden Sicherheitsempfehlungen für VM-Geheimnisse sind verfügbar:

  • Azure-Ressourcen: Geheimnisfunde für Computer müssen behoben werden.
  • AWS-Ressourcen: Geheimnisfunde für EC2-Instanzen müssen behoben werden.
  • GCP-Ressourcen: Geheimnisfunde für VM-Instanzen müssen behoben werden.

Angriffspfadszenarien

In der folgenden Tabelle werden die unterstützten Angriffspfade zusammengefasst:

VM Angriffspfade
Azure Die verfügbar gemachte anfällige VM verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer VM verwendet wird.
Die verfügbar gemachte anfällige VM verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem Speicherkonto verwendet werden.
Die anfällige VM verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem Speicherkonto verwendet werden.
Die verfügbar gemachte anfällige VM verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem SQL-Server verwendet werden.
AWS Die verfügbar gemachte anfällige EC2-Instanz verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer EC2-Instanz verwendet wird.
Die verfügbar gemachte anfällige EC2-Instanz verfügt über ein unsicheres Geheimnis, das für die Authentifizierung bei einem Speicherkonto verwendet wird.
Die verfügbar gemachte anfällige EC2-Instanz verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem AWS RDS-Server verwendet werden.
Die anfällige EC2-Instanz verfügt über unsichere Geheimnisse, die für die Authentifizierung bei einem AWS RDS-Server verwendet werden.
GCP Die verfügbar gemachte anfällige GCP-VM-Instanz verfügt über einen unsicheren privaten SSH-Schlüssel, der für die Authentifizierung bei einer GCP-VM-Instanz verwendet wird.

Vordefinierte Abfragen des Cloudsicherheits-Explorers

Defender for Cloud bietet folgende vordefinierte Abfragen zur Untersuchung von Sicherheitsproblemen im Zusammenhang mit Geheimnissen:

  • VM mit Klartextgeheimnis, die sich bei einer anderen VM authentifizieren kann: Gibt alle Azure-VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Klartextgeheimnis zurück, die auf andere VM- oder EC2-Instanzen zugreifen können.
  • VM mit Klartextgeheimnis, die sich bei einem Speicherkonto authentifizieren kann: Gibt alle Azure-VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Klartextgeheimnis zurück, die auf Speicherkonten zugreifen können.
  • VM mit Klartextgeheimnis, die sich bei einer SQL-Datenbank authentifizieren kann: gibt alle Azure-VMs, AWS EC2-Instanzen oder GCP-VM-Instanzen mit Klartextgeheimnissen zurück, die Zugriff auf SQL-Datenbanken haben.

Wie entschärfe ich Probleme mit Geheimnissen effektiv?

Es ist wichtig, Geheimnisse priorisieren und erkennen zu können, für welche Schlüssel sofort Maßnahmen erforderlich sind. Um Sie dabei zu unterstützen, bietet Defender for Cloud Folgendes:

  • Umfangreiche Metadaten für jedes Geheimnis. Hierzu zählen unter anderem der Zeitpunkt des letzten Zugriffs für eine Datei, ein Tokenablaufdatum sowie die Angabe, ob die Zielressource vorhanden ist, auf die die Geheimnisse Zugriff gewähren.
  • Kombination von Geheimnismetadaten mit Cloudressourcenkontext. Dadurch können Sie mit Ressourcen beginnen, die über das Internet verfügbar sind oder Geheimnisse enthalten, die ggf. weitere vertrauliche Ressourcen gefährden. Die Ergebnisse der Geheimnisüberprüfung fließen in die risikobasierte Empfehlungspriorisierung ein.
  • Mehrere Ansichten, um Ihnen dabei zu helfen, die am häufigsten gefundenen Geheimnisse oder Ressourcen mit Geheimnissen zu lokalisieren.

Schützen von Cloudbereitstellungsgeheimnissen