Zusammenfassung
Erinnern Sie sich, dass das Contoso DevOps-Team Speicherkonten ohne das NUR HTTPS-Flag bereitstellt? Jetzt erreicht die fehlerhafte Konfiguration niemals die Produktion. Ein Entwickler öffnet einen Pull Request mit einem Bicep-Template, die Microsoft Security DevOps-Aktion führt Template Analyzer und Checkov aus, und der Sicherheitsbefund wird in der PR-Überprüfung als Inline-Anmerkung angezeigt. Der Entwickler behebt die Konfiguration vor dem Zusammenführen, und selbst wenn sie versucht haben, die nicht kompatible Vorlage manuell bereitzustellen, blockiert der Azure Policy Deny-Effekt sie auf der Azure Resource Manager Ebene.
Sie haben Microsoft Security DevOps so konfiguriert, dass sie die Infrastruktur als Code in Ihrer CI/CD-Pipeline scannen und Ergebnisse direkt in Pullanforderungen erkennen und Empfehlungen in Defender for Cloud einspeist. Für Repositorys ohne Pipelineintegration haben Sie die agentlose Überprüfung aktiviert, um tägliche Sicherheitsprüfungen mit null Workflowänderungen auszuführen. Sie haben Azure Policy Deny-Effekte angewendet, um eine Erzwingungsebene auf Plattformebene zu erstellen, die nicht kompatible Bereitstellungen verhindert, unabhängig davon, wie sie ausgelöst werden. Schließlich haben Sie die Unternehmensrichtlinie als Code (EPAC) zum Verwalten von Richtliniendefinitionen und Zuweisungen im Verwaltungsgruppenmaßstab durch Quellcodeverwaltung und kontinuierliche Bereitstellung untersucht.
Sie haben Ihre Implementierung der Sicherheitsgovernance und der Einhaltung gesetzlicher Vorschriften abgeschlossen. Das Contoso-Team begann mit Ressourcen, die ohne Sicherheitskonfigurationen bereitgestellt wurden. Contoso verfügte über Sicherungs-Vaults ohne Löschschutz, 37 Identitäten mit übermäßigem Zugriff und keine automatische Sicherheitsüberprüfung für Infrastructure-as-Code. In diesem Lernpfad haben Sie Richtlinienerzwingung und Ressourcensperren erstellt, Compliance-Grundlinien standardisiert, rollenbasierte Zugriffssteuerung angepasst und die Sicherungsinfrastruktur geschützt. Jetzt verhindern Sie, dass unsichere Konfigurationen überhaupt erst bereitgestellt werden.