Infrastruktúra leképezése kódsablonokként a felhőbeli erőforrásokhoz
Az infrastruktúra kódként (IaC)-sablonok felhőbeli erőforrásokhoz való leképezésével biztosítható a konzisztens, biztonságos és naplózható infrastruktúra kiépítése. Támogatja a biztonsági fenyegetésekre való gyors reagálást és a biztonsági megközelítés kialakítását. A leképezés használatával felderítheti a futtatókörnyezeti erőforrások helytelen konfigurációit. Ezután a sablon szintjén végezze el a szervizelést, hogy biztosítsa a sodródást, és megkönnyítse az üzembe helyezést CI/CD-módszertanon keresztül.
Előfeltételek
Az IaC-sablonok felhőbeli erőforrásokra való leképezésére Felhőhöz készült Microsoft Defender beállításához a következőkre van szükség:
- Azure-fiók Felhőhöz készült Defender konfigurálva. Ha még nem rendelkezik Azure-fiókkal, hozzon létre egyet ingyenesen.
- Egy Azure DevOps-környezet, amely a Felhőhöz készült Defender van beállítva.
- A Defender Cloud Security Posture Management (CSPM) engedélyezve van.
- Az Azure Pipelines a Microsoft Security DevOps Azure DevOps bővítmény futtatására van beállítva.
- A címkék támogatásával beállított IaC-sablonok és felhőerőforrások. Az IaC-sablonok automatikus címkézéséhez használhat nyílt forráskódú eszközöket, például Yor_trace .
- Támogatott felhőplatformok: Microsoft Azure, Amazon Web Services, Google Cloud Platform
- Támogatott forráskódkezelő rendszerek: Azure DevOps
- Támogatott sablonnyelvek: Azure Resource Manager, Bicep, CloudFormation, Terraform
Feljegyzés
Felhőhöz készült Microsoft Defender csak az alábbi címkéket használja az IaC-sablonokból a leképezéshez:
yor_trace
mapping_tag
Az IaC-sablon és a felhőbeli erőforrások közötti leképezés megtekintése
Az IaC-sablon és a felhőbeli erőforrások közötti leképezés megtekintése a Cloud Security Explorerben:
Jelentkezzen be az Azure Portalra.
Nyissa meg a Felhőhöz készült Microsoft Defender> Cloud Security Explorert.
A legördülő menüben keresse meg és válassza ki az összes felhőerőforrást.
Ha további szűrőket szeretne hozzáadni a lekérdezéshez, válassza a +lehetőséget.
Az Identitás és hozzáférés kategóriában adja hozzá a kiépített alszűrőt.
A DevOps kategóriában válassza a Kódtárak lehetőséget.
A lekérdezés létrehozása után válassza a Keresés lehetőséget a lekérdezés futtatásához.
Másik lehetőségként válassza ki az IaC-sablonok által kiépített beépített felhőerőforrásokat nagy súlyosságú helytelen konfigurációkkal.
Feljegyzés
Az IaC-sablonok és a felhőbeli erőforrások közötti leképezés akár 12 órát is igénybe vehet, amíg megjelenik a Cloud Security Explorerben.
(Nem kötelező) Minta IaC-leképezési címkék létrehozása
Minta IaC-leképezési címkék létrehozása a kódtárakban:
Az adattárban vegyen fel egy címkéket tartalmazó IaC-sablont.
Ha közvetlenül a főágra szeretne véglegesíteni, vagy új ágat szeretne létrehozni ehhez a véglegesítéshez, válassza a Mentés lehetőséget.
Ellenőrizze, hogy felvette-e a Microsoft Security DevOps-feladatot az Azure-folyamatba.
Ellenőrizze, hogy a folyamatnaplók egy olyan megállapítást mutatnak-e, amely szerint IaC-címke(ok) találhatók az erőforráson. Az eredmény azt jelzi, hogy Felhőhöz készült Defender sikeresen felderített címkéket.
Kapcsolódó tartalom
- További információ a DevOps biztonságáról Felhőhöz készült Defender.