Protegendo segredos de VM

O Defender for Cloud fornece verificação de segredos sem agente para máquinas virtuais. A análise ajuda-o a detetar, priorizar e corrigir rapidamente os segredos expostos. A deteção de segredos pode identificar uma ampla gama de tipos de segredos, como tokens, senhas, chaves ou credenciais, armazenados em diferentes tipos de arquivos no sistema de arquivos do sistema operacional.

A verificação de segredos sem agente do Defender for Cloud para Máquinas Virtuais (VM) localiza segredos de texto sem formatação que existem em seu ambiente. Se forem detetados segredos, o Defender for Cloud pode ajudar a sua equipa de segurança a priorizar e tomar medidas de correção acionáveis para minimizar o risco de movimentos laterais, tudo sem afetar o desempenho da sua máquina.

Como funciona a verificação de segredos de VM?

A verificação de segredos para VMs é sem agente e usa APIs na nuvem.

  1. A verificação captura instantâneos de disco e os analisa, sem impacto no desempenho da VM.
  2. Depois que o mecanismo de verificação de segredos da Microsoft coleta metadados de segredos do disco, ele os envia para o Defender for Cloud.
  3. O mecanismo de varredura de segredos verifica se as chaves privadas SSH podem ser usadas para se mover lateralmente em sua rede.
    • As chaves SSH que não são verificadas com êxito são categorizadas como não verificadas na página Recomendações do Defender for Cloud.
    • Os diretórios reconhecidos como contendo conteúdo relacionado ao teste são excluídos da verificação.

O que é suportado?

A verificação de segredos de VM está disponível quando você usa o Defender for Servers Plan 2 ou o Defender Cloud Security Posture Management (CSPM). A verificação de segredos de VM é capaz de verificar VMs do Azure e instâncias AWS/GCP integradas ao Defender for Cloud. Reveja os segredos que podem ser descobertos pelo Defender for Cloud.

Como a verificação de segredos de VM reduz o risco?

A verificação de segredos ajuda a reduzir o risco com as seguintes atenuações:

  • Eliminar segredos que não são necessários.
  • Aplicação do princípio do menor privilégio.
  • Reforçar a segurança de segredos utilizando sistemas de gestão de segredos como o Azure Key Vault.
  • Usando segredos de curta duração, como substituir cadeias de conexão do Armazenamento do Azure por tokens SAS que possuem períodos de validade mais curtos.

Como faço para identificar e corrigir problemas de segredos?

Existem várias maneiras. Nem todos os métodos são suportados para todos os segredos. Reveja a lista de segredos suportados para obter mais detalhes.

  • Revise segredos no inventário de ativos: o inventário mostra o estado de segurança dos recursos conectados ao Defender for Cloud. A partir do inventário, você pode visualizar os segredos descobertos em uma máquina específica.
  • Recomendações de segredos de revisão: quando segredos são encontrados em ativos, uma recomendação é acionada sob o controle de segurança Remediar vulnerabilidades na página Recomendações do Defender for Cloud. As recomendações são desencadeadas da seguinte forma:
  • Analise segredos com o explorador de segurança na nuvem. Use o explorador de segurança na nuvem para consultar o gráfico de segurança na nuvem. Você pode criar suas próprias consultas ou usar um dos modelos internos para consultar segredos de VM em seu ambiente.
  • Rever caminhos de ataque: a análise de caminhos de ataque analisa o gráfico de segurança na nuvem para expor caminhos exploráveis que os ataques podem utilizar para violar o seu ambiente e alcançar ativos de alto impacto. A verificação de segredos de VM oferece suporte a vários cenários de caminho de ataque.

Recomendações de segurança

As seguintes recomendações de segurança de segredos de VM estão disponíveis:

  • Recursos do Azure: as máquinas devem ter descobertas de segredos resolvidas
  • Recursos da AWS: instâncias do EC2 devem ter descobertas de segredos resolvidas
  • Recursos do GCP: as instâncias de VM devem ter descobertas de segredos resolvidas

Cenários de caminho de ataque

A tabela resume os caminhos de ataque suportados.

VM Caminhos de ataque
Azure VM vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticar em uma VM.
A VM vulnerável exposta tem segredos inseguros que são usados para autenticar em uma conta de armazenamento.
A VM vulnerável tem segredos inseguros que são usados para autenticar em uma conta de armazenamento.
A VM vulnerável exposta tem segredos inseguros que são usados para autenticar em um servidor SQL.
AWS A instância do EC2 vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticar em uma instância do EC2.
A instância vulnerável exposta do EC2 tem um segredo inseguro que é usado para autenticar em uma conta de armazenamento.
A instância vulnerável exposta do EC2 tem segredos inseguros que são usados para autenticar em um servidor do AWS RDS.
A instância vulnerável do EC2 tem segredos inseguros que são usados para autenticar em um servidor do AWS RDS.
GCP A instância de VM GCP vulnerável exposta tem uma chave privada SSH insegura que é usada para autenticar em uma instância de VM GCP.

Consultas predefinidas do explorador de segurança na nuvem

O Defender for Cloud fornece estas consultas predefinidas para investigar problemas de segurança de segredos:

  • VM com segredo de texto simples que pode se autenticar em outra VM - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo de texto sem formatação que podem acessar outras VMs ou EC2s.
  • VM com segredo de texto sem formatação que pode ser autenticado em uma conta de armazenamento - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo de texto sem formatação que podem acessar contas de armazenamento
  • VM com segredo de texto simples que pode se autenticar em um banco de dados SQL - Retorna todas as VMs do Azure, instâncias do AWS EC2 ou instâncias de VM do GCP com segredo de texto sem formatação que podem acessar bancos de dados SQL.

Como posso mitigar os problemas de segredos de forma eficaz?

É importante ser capaz de priorizar segredos e identificar quais precisam de atenção imediata. Para ajudá-lo a fazer isso, o Defender for Cloud fornece:

  • Fornecer metadados avançados para cada segredo, como a hora do último acesso para um arquivo, uma data de expiração do token, uma indicação se o recurso de destino ao qual os segredos fornecem acesso existe e muito mais.
  • Combinação de metadados secretos com contexto de ativos na nuvem. Isso ajuda você a começar com ativos que estão expostos à Internet ou contêm segredos que podem comprometer outros ativos confidenciais. Os resultados da varredura de segredos são incorporados à priorização de recomendações com base no risco.
  • Fornecer várias visualizações para ajudá-lo a identificar os segredos mais comumente encontrados ou ativos que contêm segredos.

Análise de segredos de implementação na nuvem