Memetakan gambar kontainer dari kode ke runtime

Ketika kerentanan diidentifikasi dalam gambar kontainer, apakah itu disimpan dalam registri kontainer atau berjalan di kluster Kubernetes, praktisi keamanan mungkin kesulitan untuk melacaknya kembali ke alur CI/CD yang awalnya membuatnya. Tanpa konteks itu, sulit untuk mengidentifikasi pengembang yang bertanggung jawab untuk memperbaiki masalah. Microsoft Defender Cloud Security Posture Management (CSPM) menyertakan kemampuan keamanan DevOps yang memungkinkan Anda memetakan aplikasi cloud-native dari kode ke cloud. Akibatnya, Anda dapat dengan mudah memulai alur kerja remediasi pengembang dan mengurangi waktu yang diperlukan untuk memulihkan kerentanan dalam gambar kontainer Anda.

Kode untuk runtime – prasyarat teknis

Prasyarat berikut diperlukan untuk membuat kode untuk hubungan runtime.

Prasyarat umum (semua metode)

Prasyarat berikut berlaku terlepas dari metode pemetaan yang digunakan:

  • Defender CSPM (Cloud Security Posture Management) atau Defender for Containers harus diaktifkan di lingkungan cloud Anda
    • Serangkaian kemampuan pemetaan terbatas disertakan dengan Defender for Containers.
  • Gambar kontainer harus dibuat melalui alur CI/CD
    • Gambar yang dibuat dan didorong secara manual tidak didukung (dalam beberapa kasus, gambar yang dibuat/didorong secara manual mungkin masih memiliki pemetaan).
  • Gambar kontainer harus dapat ditemukan oleh Defender untuk Cloud, baik dengan:
    • Disimpan dalam registri kontainer yang didukung, atau
    • Berjalan di lingkungan Kubernetes yang didukung

Opsi 1: Sambungkan lingkungan kode Anda ke Defender for Cloud

Saat Anda menyambungkan lingkungan kode Anda ke Defender for Cloud, sekumpulan alat otomatis dipicu secara otomatis. Alat-alat ini tidak memengaruhi alur kerja DevOps yang ada dan mengaktifkan pemetaan kode-ke-runtime.

Catatan

  • Saat ini didukung untuk Azure DevOps dan GitHub
  • Gambar kontainer yang dibangun dan disebarkan sebelum terhubung mungkin memiliki dukungan terbatas.

Pelajari selengkapnya:

Opsi 2: Pemetaan berbasis label Docker

Pemetaan berbasis label Docker bergantung pada metadata yang disematkan langsung ke gambar kontainer pada waktu build. Defender for Cloud mengekstrak metadata ini dari manifes gambar OCI/Docker dan menggunakannya untuk menghubungkan gambar ke repositori sumbernya.

Pelajari selengkapnya:

Catatan

  • Metode ini tidak memerlukan konektor DevOps.
  • Pemetaan dilakukan untuk Defender CSPM atau Defender untuk lingkungan Kubernetes yang tercakup dalam Kontainer.

Opsi 3: Pemetaan berbasis pengesahan GitHub

Pemetaan berbasis pengesahan menggunakan metadata pembuktian yang dapat diverifikasi secara kriptografis yang dihasilkan selama alur kerja GitHub Actions. Pengesahan ini menautkan gambar kontainer ke repositori sumber, penerapan, dan identitas build yang tepat.

Pelajari selengkapnya:

Verifikasi pemetaan kode Anda ke runtime (portal Azure)

Setelah membangun gambar kontainer dalam alur CI/CD Azure DevOps dan mendorongnya ke registri, lihat pemetaan dengan menggunakan Cloud Security Explorer:

  1. Masuk ke portal Azure.

  2. Masuk ke Microsoft Defender for Cloud>Cloud Security Explorer. Diperlukan waktu maksimal 4 jam agar pemetaan gambar kontainer muncul di Cloud Security Explorer.

  3. Untuk melihat pemetaan dasar, pilih Gambar Kontainer>+>Didorong oleh repositori kode.

    Cuplikan layar yang memperlihatkan cara menemukan pemetaan dasar kontainer.

  4. (Opsional) Pilih + menurut Image Kontainer untuk menambahkan filter lain ke kueri Anda, seperti Memiliki kerentanan untuk memfilter hanya image kontainer yang memiliki CVE.

  5. Setelah menjalankan kueri, Anda akan melihat pemetaan antara registri kontainer dan alur. Pilih ... di samping tepi untuk melihat detail selengkapnya.

    Cuplikan layar yang memperlihatkan kueri tingkat lanjut untuk hasil pemetaan kontainer.

Langkah berikutnya

  • Last updated on