Asignación de plantillas de infraestructura como código a recursos en la nube

La asignación de plantillas de infraestructura como código (IaC) a los recursos en la nube garantiza el aprovisionamiento coherente, seguro y auditable de la infraestructura. Admite una respuesta rápida a las amenazas de seguridad y un enfoque de seguridad por diseño. Puede usar la asignación para detectar configuraciones incorrectas en los recursos en tiempo de ejecución. A continuación, corrija en el nivel de plantilla para garantizar que no haya ningún desfase y facilitar la implementación a través de la metodología de CI/CD.

Requisitos previos

Si quiere establecer Microsoft Defender for Cloud para asignar plantillas de IaC a recursos en la nube, necesita:

• Una cuenta de Azure con Defender for Cloud configurado. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.
• Un entorno de Azure DevOps configurado en Defender for Cloud.
• Administración de posición de seguridad en la nube de Defender (CSPM) habilitada.
• Azure Pipelines se configura para ejecutar la extensión de Azure DevOps de Microsoft Security DevOps.
• Plantillas de IaC y recursos en la nube configurados con compatibilidad con etiquetas. Puede usar herramientas de código abierto como Yor_trace para etiquetar automáticamente plantillas de IaC.
  • Plataformas en la nube compatibles: Microsoft Azure, Amazon Web Services, Google Cloud Platform
  • Sistemas de administración de código fuente admitidos: Azure DevOps
  • Lenguajes de plantilla admitidos: Azure Resource Manager, Bicep, CloudFormation y Terraform

Nota:

Microsoft Defender for Cloud solo usa las siguientes etiquetas de las plantillas de IaC para la asignación:

• yor_trace
• mapping_tag

Consulte la asignación entre la plantilla de IaC y los recursos en la nube.

Para ver la asignación entre la plantilla de IaC y los recursos en la nube en Cloud Security Explorer:

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Cloud Security Explorer.

3. En el menú desplegable, busque y seleccione todos los recursos en la nube.

4. Para agregar más filtros a la consulta, seleccione +.

5. En la categoría Identidad y acceso, agregue el subfiltro Aprovisionado por.

6. En la categoría DevOps, seleccione Repositorios de código.

7. Después de compilar la consulta, seleccione Buscar para ejecutar la consulta.

También puede seleccionar la plantilla integrada Recursos en la nube aprovisionados por plantillas de IaC con configuraciones incorrectas de gravedad alta.

Nota:

La asignación entre las plantillas de IaC y los recursos en la nube puede tardar hasta 12 horas en aparecer en Cloud Security Explorer.

(Opcional) Creación de etiquetas de asignación de IaC de ejemplo

Para crear etiquetas de asignación de IaC de ejemplo en los repositorios de código:

1. En el repositorio, agregue una plantilla de IaC que incluya etiquetas.

   Puede empezar con una plantilla de ejemplo.

2. Seleccione Guardar para confirmar directamente en la rama principal o cree una nueva rama para esta confirmación.

3. Confirme que incluyó la tarea de Microsoft Security DevOps en la canalización de Azure.

4. Compruebe que los registros de canalización muestran una búsqueda que indica Se encontraron etiquetas IaC en este recurso. La búsqueda indica que Defender for Cloud detectó correctamente etiquetas.

Contenido relacionado

• Obtenga más información sobre Seguridad de DevOps en Defender for Cloud.