Compartir a través de

Mapear plantillas de infraestructura como código a recursos en la nube

La asignación de plantillas de infraestructura como código (IaC) a los recursos en la nube le ayuda a garantizar el aprovisionamiento coherente, seguro y auditable de la infraestructura. Admite una respuesta rápida a las amenazas de seguridad y un enfoque de seguridad por diseño. Puede usar el mapeo para descubrir configuraciones incorrectas en los recursos en tiempo de ejecución. A continuación, corrija en el nivel de plantilla para garantizar que no haya ningún desfase y facilitar la implementación a través de la metodología de CI/CD.

Prerrequisitos

Para establecer Microsoft Defender for Cloud para asignar plantillas de IaC a recursos en la nube, necesita:

  • Una cuenta de Azure con Defender for Cloud configurado. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.

  • Un entorno de Azure DevOps configurado en Defender for Cloud.

  • Defender Cloud Security Posture Management (CSPM) activado.

  • Azure Pipelines se configura para ejecutar la extensión Azure DevOps de Microsoft Security DevOps con la herramienta IaCFileScanner en ejecución.

  • Plantillas de IaC y recursos en la nube configurados con compatibilidad con etiquetas. Puede usar herramientas de código abierto como Yor_trace para etiquetar automáticamente plantillas de IaC. Los valores de etiqueta deben ser GUID únicos.

  • Plataformas en la nube compatibles: Microsoft Azure, Amazon Web Services, Google Cloud Platform

    • Sistemas de administración de código fuente admitidos: Azure DevOps
    • Lenguajes de plantilla admitidos: Azure Resource Manager, Bicep, CloudFormation, Terraform

Nota:

Microsoft Defender for Cloud solo usa las siguientes etiquetas de las plantillas de IaC para el mapeo.

  • yor_trace
  • mapping_tag

Consulte la asignación entre la plantilla de IaC y los recursos en la nube

Para ver el mapeo entre la plantilla de IaC y sus recursos en la nube en Cloud Security Explorer:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Cloud Security Explorer.

  3. En el menú desplegable, busque y seleccione todos los recursos en la nube.

  4. Para agregar más filtros a la consulta, seleccione +.

  5. En la categoría Identidad y acceso , agregue el subfiltro Aprovisionado por.

  6. En la categoría DevOps , seleccione Repositorios de código.

  7. Después de compilar la consulta, seleccione Buscar para ejecutar la consulta.

Como alternativa, seleccione la plantilla integrada Recursos en la nube aprovisionados por plantillas de IaC con configuraciones incorrectas de alta gravedad.

Recorte de pantalla en el que se muestra la plantilla de Cloud Security Explorer de asignación de IaC.

Nota:

La relación entre tus plantillas de IaC y tus recursos en la nube podría tardar hasta 12 horas en reflejarse en Cloud Security Explorer.

(Opcional) Creación de etiquetas de asignación de IaC de ejemplo

Para crear etiquetas de asignación de IaC de ejemplo en los repositorios de código:

  1. En el repositorio, agregue una plantilla de IaC que incluya etiquetas.

    Puede empezar con una plantilla de ejemplo.

  2. Para confirmar directamente en la rama principal o crear una nueva rama para esta confirmación, seleccione Guardar.

  3. Confirme que incluyó la tarea de Microsoft Security DevOps en la canalización de Azure.

  4. Verifique que los registros de la canalización muestren un resultado que dice que se encontró una etiqueta IaC en este recurso. El hallazgo indica que Defender for Cloud detectó correctamente etiquetas.

Contenido relacionado