Einführung

  • 3 Minuten

Das DevOps-Team von Contoso stellt 15 Speicherkonten in einer einzelnen Bicep Bereitstellung bereit. Keiner von ihnen hat HTTPS-only-Übertragung oder sichere Transferanforderungen aktiviert. Defender for Cloud kennzeichnet alle 15 innerhalb weniger Minuten nach Bereitstellung als nicht-konform - aber zu diesem Zeitpunkt sind sie bereits in der Produktion. Die Korrektur erfordert drei Stunden Arbeit für die Behebung einer zweizeiligen Bicep-Änderung.

Das Problem ist nicht, dass das Team nachlässig war. Das Problem besteht darin, dass niemand die Vorlagen vor der Bereitstellung überprüft hat. Der günstigste Zeitpunkt, um eine falsche Sicherheitskonfiguration zu beheben, ist vor dem Committen der Vorlage und nicht erst, wenn 15 Ressourcen in Produktion sind. Defender for Cloud erkennt Verstöße nach der Bereitstellung, kann sie jedoch nicht in der Pipeline abfangen, bevor die Bereitstellung beginnt.

Hier erfahren Sie, wie Sie Microsoft Security DevOps (MSDO) einsetzen, um Infrastruktur-als-Code (IaC)-Vorlagen in der CI/CD-Pipeline zu scannen, bevor sie bereitgestellt werden, um Fehlkonfigurationen zu erkennen und abzufangen, solange sie sich noch in der Versionskontrolle befinden. Außerdem erfahren Sie, wie Sie Azure Policy verwenden, um compliance als Backstop auf Plattformebene zu erzwingen – auch für Bereitstellungen, die die Pipeline vollständig umgehen. Zusammen bilden diese beiden Ebenen ein vollständiges Verteidigungstiefemodell für die Sicherheit von IaC.

Lernziele

Am Ende dieses Moduls können Sie:

  • Konfigurieren Sie Microsoft Defender for DevOps und die MSDO-Erweiterung, um Bicep- und ARM-Vorlagen in GitHub Actions und Azure Pipelines zu scannen.
  • Interpretieren von IaC-Scanergebnissen und Identifizieren von Fehlkonfigurationen, bevor Vorlagen die Produktion erreichen.
  • Konfigurieren Sie Azure Policy in einem Policy-as-Code-Workflow, um die Sicherheits-Compliance während der IaC-Bereitstellung zu erzwingen.
  • Erläutern Sie, wie Pipeline-Scans und Azure Policy als komplementäre Tiefenverteidigungsschichten für die Sicherheit von IaC (Infrastructure as Code) zusammenarbeiten.