Protegendo segredos de implantação na nuvem

  • Artigo

O Microsoft Defender for Cloud fornece verificação de segredos sem agente para implantações na nuvem.

O que é a implantação na nuvem?

A implantação de nuvem refere-se ao processo de implantação e gerenciamento de recursos em provedores de nuvem, como Azure e AWS, em escala, usando ferramentas como modelos do Azure Resource Manager e pilha do AWS CloudFormation. Em outras palavras, uma implantação de nuvem é uma instância de um modelo de infraestrutura como código (IaC).

Cada fornecimento de nuvem expõe uma consulta de API e, ao consultar APIs para recursos de implantação de nuvem, você normalmente recupera metadados de implantação, como modelos de implantação, parâmetros, saída e tags.

Segurança desde o desenvolvimento de software até ao tempo de execução

As soluções tradicionais de verificação de segredos geralmente detetam segredos extraviados em repositórios de código, pipelines de código ou arquivos em VMs e contêineres. Os recursos de implantação na nuvem tendem a ser negligenciados e podem potencialmente incluir segredos de texto sem formatação que podem levar a ativos críticos, como bancos de dados, armazenamento de blobs, repositórios GitHub e serviços do Azure OpenAI. Esses segredos podem permitir que os invasores explorem superfícies de ataque ocultas em ambientes de nuvem.

A verificação de segredos de implantação na nuvem adiciona uma camada extra de segurança, abordando cenários como:

  • Maior cobertura de segurança: no Defender for Cloud, os recursos de segurança de DevOps no Defender for Cloud podem identificar segredos expostos em plataformas de gerenciamento de controle de origem. No entanto, implantações na nuvem acionadas manualmente a partir da estação de trabalho de um desenvolvedor podem levar a segredos expostos que podem ser ignorados. Além disso, alguns segredos só podem surgir durante o tempo de execução da implantação, como aqueles revelados nas saídas de implantação ou resolvidos no Cofre da Chave do Azure. A verificação de segredos de implantação na nuvem preenche essa lacuna.
  • Impedindo movimentos laterais: a descoberta de segredos expostos nos recursos de implantação representa um risco significativo de acesso não autorizado.
    • Os agentes de ameaças podem explorar essas vulnerabilidades para atravessar lateralmente um ambiente, comprometendo serviços críticos
    • Usando a análise de caminho de ataque com a verificação de segredos de implantação na nuvem, a verificação descobrirá automaticamente caminhos de ataque envolvendo uma implantação do Azure que podem levar a uma violação de dados confidenciais.
  • Descoberta de recursos: o impacto de recursos de implantação mal configurados pode ser extenso, levando à criação de novos recursos em uma superfície de ataque em expansão.
    • Detetar e proteger segredos nos dados do plano de controle de recursos pode ajudar a evitar possíveis violações.
    • Abordar segredos expostos durante a criação de recursos pode ser particularmente desafiador.
    • A verificação de segredos de implantação na nuvem ajuda a identificar e mitigar essas vulnerabilidades em um estágio inicial.

A verificação ajuda você a detetar rapidamente segredos de texto sem formatação em implantações na nuvem. Se forem detetados segredos, o Defender for Cloud pode ajudar a sua equipa de segurança a priorizar a ação e a corrigir para minimizar o risco de movimentos laterais.

Como funciona a verificação de segredos de implantação na nuvem?

A verificação ajuda você a detetar rapidamente segredos de texto sem formatação em implantações na nuvem. A verificação de segredos para recursos de implantação na nuvem é sem agente e usa a API do plano de controle de nuvem.

O mecanismo de verificação de segredos da Microsoft verifica se as chaves privadas SSH podem ser usadas para se mover lateralmente em sua rede.

  • As chaves SSH que não são verificadas com êxito são categorizadas como não verificadas na página Recomendações do Defender for Cloud.
  • Os diretórios reconhecidos como contendo conteúdo relacionado ao teste são excluídos da verificação.

O que é suportado?

A verificação de recursos de implantação na nuvem deteta segredos de texto sem formatação. A verificação está disponível quando você estiver usando o plano Defender Cloud Security Posture Management (CSPM). A implantação na nuvem do Azure e da AWS é suportada. Reveja a lista de segredos que o Defender for Cloud pode descobrir.

Como faço para identificar e corrigir problemas de segredos?

Existem várias formas:

  • Revise segredos no inventário de ativos: o inventário mostra o estado de segurança dos recursos conectados ao Defender for Cloud. A partir do inventário, você pode visualizar os segredos descobertos em uma máquina específica.
  • Recomendações de segredos de revisão: quando segredos são encontrados em ativos, uma recomendação é acionada sob o controle de segurança Remediar vulnerabilidades na página Recomendações do Defender for Cloud.

Recomendações de segurança

Estão disponíveis as seguintes recomendações de segurança de segredos de implementação na nuvem:

  • Recursos do Azure: as implantações do Azure Resource Manager devem ter descobertas secretas resolvidas.
  • Recursos da AWS: o AWS CloudFormation Stack deve ter descobertas de segredos resolvidas.

Cenários de caminho de ataque

A análise de caminho de ataque é um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem para expor caminhos exploráveis que os invasores podem usar para alcançar ativos de alto impacto.

Consultas predefinidas do explorador de segurança na nuvem

O explorador de segurança na nuvem permite-lhe identificar proativamente potenciais riscos de segurança no seu ambiente de nuvem. Ele faz isso consultando o gráfico de segurança na nuvem. Crie consultas selecionando os tipos de recursos de implantação na nuvem e os tipos de segredos que você deseja localizar.

Conteúdos relacionados

Verificação de segredos de VM.