Podpora a požadavky: Zabezpečení DevOps

Tento článek shrnuje informace o podpoře funkcí zabezpečení DevOps v programu Microsoft Defender for Cloud.

Zabezpečení DevOps poskytuje přehled o vašich prostředích DevOps a pomáhá týmům zabezpečení zjišťovat chybné konfigurace, vystavené tajné kódy a ohrožení zabezpečení kódu napříč úložišti a kanály CI/CD v Azure DevOps, GitHubu a GitLabu.

Podpora cloudu a oblastí

Zabezpečení DevOps je dostupné v komerčním cloudu Azure v těchto oblastech:

• Asie (Východní Asie)
• Austrálie (Austrálie – východ)
• Kanada (Střední Kanada)
• Evropa (Západní Evropa, Severní Evropa, Švédsko – střed)
• Velká Británie (Velká Británie – jih)
• USA (USA – východ, USA – střed)

Podpora platformy DevOps

Zabezpečení DevOps v současné době podporuje následující platformy DevOps:

• Služby Azure DevOps
• GitHub Enterprise Cloud
• GitLab SaaS

Poznámka:

Defender for DevOps v současné době nepodporuje cloudové instance GitHubu Enterprise nakonfigurované s rezidencí dat.

Požadovaná oprávnění

Zabezpečení DevOps vyžaduje následující oprávnění:

Vlastnost	Povolení
Připojení prostředí DevOps k Defenderu pro cloud	Azure: Přispěvatel předplatného nebo správce zabezpečení Azure DevOps: Správce kolekce projektů v cílové organizaci GitHub: Vlastník organizace GitLab: Vlastník skupiny pro cílovou skupinu
Přehodnocení přehledů zabezpečení a nálezů	Čtenář bezpečnostních informací
Konfigurovat poznámky pull requestů	Přispěvatel předplatného nebo vlastník
Instalace rozšíření Microsoft Security DevOps v Azure DevOps	Správce kolekce projektů Azure DevOps
Instalace akce Microsoft Security DevOps na GitHubu	Zápis na GitHubu

Poznámka:

Pokud se chcete vyhnout nastavení příliš vysokých oprávnění pro čtení přehledů a nálezů zabezpečení DevOps, aplikujte roli Čtenář zabezpečení v oboru skupiny prostředků nebo konektoru.

Dostupnost funkcí

Možnosti zabezpečení DevOps, jako je kontextualizace kódu do cloudu, průzkumník zabezpečení, analýza cest útoku a poznámky k žádostem o přijetí změn pro zjištění zabezpečení infrastruktury jako kódu, jsou k dispozici, když povolíte placený plán Správy stavu cloudového zabezpečení Defender (Defender CSPM).

Následující tabulky shrnují dostupnost a požadavky pro každou funkci v podporovaných platformách DevOps:

Azure DevOps

Vlastnost	Základní CSPM	Ochránce CSPM	Požadavky
Připojení úložišť Azure DevOps	Ano	Ano	Podívejte se na požadavky na onboarding Azure DevOps.
Inventář prostředků Azure DevOps	Ano	Ano	Konektor Azure DevOps
Doporučení zabezpečení k opravě chybných konfigurací prostředí DevOps	Ano	Ano	Konektor Azure DevOps
Doporučení zabezpečení k opravě ohrožení zabezpečení kódu	Ano	Ano	Kontrola kódu bez agentů (Preview) pro kontroly bez agentů nebo rozšíření Microsoft Security DevOps pro kontroly v kanálech nebo GitHub Advanced Security pro kontroly CodeQL v Azure DevOps
Doporučení zabezpečení k opravě chybných konfigurací infrastruktury jako kódu (IaC)	Ano	Ano	Skenování kódu bez agenta (Preview) pro kontroly bez agenta nebo rozšíření Microsoft Security DevOps pro prohledávání v kanálu
Doporučení pro zabezpečení týkající se odhalení vystavených tajemství	Ano	Ano	Pokročilé zabezpečení GitHubu pro Azure DevOps
Doporučení zabezpečení k opravě open source zranitelností	Ano	Ano	Pokročilé zabezpečení GitHubu pro Azure DevOps
Poznámky k požadavku na začlenění změn	Ne	Ano	Podmínky pro komentáře k pull requestům
Mapování kódu do cloudu pro kontejnery	Ne	Ano	Rozšíření Microsoft Security DevOps
Mapování kódu do cloudu pro šablony infrastruktury jako kódu (IaC)	Ne	Ano	Rozšíření Microsoft Security DevOps
Analýza cesty útoku	Ne	Ano	Povolte CSPM v programu Defender na předplatném Azure, konektoru AWS nebo konektoru GCP ve stejném tenantovi jako konektor DevOps.
Průzkumník zabezpečení cloudu	Ne	Ano	Povolte Defender CSPM v předplatném Azure, konektoru AWS nebo konektoru GCP ve stejném tenantovi jako konektor DevOps.

GitHub

Vlastnost	Základní CSPM	Ochránce CSPM	Požadavky
Připojení úložišť GitHub	Ano	Ano	Prohlédněte si požadavky na onboarding GitHubu.
Inventář prostředků GitHub DevOps	Ano	Ano	Konektor GitHubu
Doporučení zabezpečení k opravě chybných konfigurací prostředí DevOps	Ano	Ano	Konektor GitHubu
Doporučení zabezpečení k opravě ohrožení zabezpečení kódu	Ano	Ano	Kontrola kódu bez agentů (Preview) pro skenování bez agentů, akce Microsoft Security DevOps pro skenování v rámci kanálu, nebo GitHub Advanced Security pro skenování CodeQL
Doporučení zabezpečení k opravě chybných konfigurací infrastruktury jako kódu (IaC)	Ano	Ano	Bezagencní skenování kódu (náhled) pro bezagencní skenování, nebo akce Microsoft Security DevOps pro skenování v pipeline.
Doporučení zabezpečení jak objevit vystavená tajemství	Ano	Ano	Pokročilé zabezpečení GitHubu
Doporučení pro zabezpečení k opravě zranitelností open source	Ano	Ano	Pokročilé zabezpečení GitHubu
Mapování kódu do cloudu pro kontejnery	Ne	Ano	Akce Microsoft Security DevOps
Analýza cesty útoku	Ne	Ano	Povolte Defender CSPM v předplatném Azure, konektoru AWS nebo konektoru GCP ve stejném tenantovi jako konektor DevOps.
Průzkumník zabezpečení cloudu	Ne	Ano	Povolte Defender CSPM v předplatném Azure, konektoru AWS nebo konektoru GCP ve stejném tenantovi jako konektor DevOps.

GitLab

Vlastnost	Základní CSPM	Ochránce CSPM	Požadavky
Připojení projektů GitLab	Ano	Ano	Viz požadavky pro zahájení práce s GitLabem
Doporučení zabezpečení k opravě ohrožení zabezpečení kódu	Ano	Ano	GitLab Ultimate
Bezpečnostní doporučení k opravě chybných konfigurací infrastruktury jako kódu (IaC)	Ano	Ano	GitLab Ultimate
Doporučení k zabezpečení pro odhalování odhalených tajemství	Ano	Ano	GitLab Ultimate
Doporučení zabezpečení k opravě zranitelností open source	Ano	Ano	GitLab Ultimate
Průzkumník zabezpečení cloudu	Ne	Ano	Povolte Defender CSPM v předplatném Azure, konektoru AWS nebo konektoru GCP ve stejném tenantovi jako konektor DevOps.