Eseguire il mapping dell'infrastruttura come modelli di codice alle risorse cloud

Il mapping dei modelli IaC (Infrastructure as Code) alle risorse cloud consente di garantire il provisioning coerente, sicuro e controllabile dell'infrastruttura. Supporta una risposta rapida alle minacce alla sicurezza e un approccio basato sulla sicurezza in base alla progettazione. È possibile usare il mapping per individuare errori di configurazione nelle risorse di runtime. Correggere quindi a livello di modello per evitare deviazioni e facilitare la distribuzione tramite metodologia CI/CD.

Prerequisiti

Per impostare Microsoft Defender per il cloud per eseguire il mapping dei modelli IaC alle risorse cloud, è necessario:

• Un account Azure con Defender per il cloud configurato. Se non si ha già un account Azure, crearne uno gratuitamente.
• Un ambiente Azure DevOps configurato in Defender per il cloud.
• Defender Cloud Security Posture Management (CSPM) abilitato.
• Azure Pipelines configurato per eseguire l'estensione Microsoft Security DevOps di Azure DevOps.
• Modelli IaC e risorse cloud configurati con il supporto dei tag. È possibile usare strumenti open source come Yor_trace per contrassegnare automaticamente i modelli IaC.
  • Piattaforme cloud supportate: Microsoft Azure, Amazon Web Services, Google Cloud Platform
  • Sistemi di gestione del codice sorgente supportati: Azure DevOps
  • Lingue dei modelli supportate: Azure Resource Manager, Bicep, CloudFormation, Terraform

Nota

Microsoft Defender per il cloud usa solo i tag seguenti dei modelli IaC per il mapping:

• yor_trace
• mapping_tag

Vedere il mapping tra il modello IaC e le risorse cloud

Per visualizzare il mapping tra il modello IaC e le risorse cloud in Cloud Security Explorer:

1. Accedere al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Cloud Security Explorer.

3. Nel menu a discesa cercare e selezionare tutte le risorse cloud.

4. Per aggiungere altri filtri alla query, selezionare +.

5. Nella categoria Identity & Access aggiungere il sottofiltro Provisioned by.

6. Nella categoria DevOps selezionare Repository di codice.

7. Dopo aver compilato la query, selezionare Cerca per eseguire la query.

In alternativa, selezionare le risorse cloud predefinite di cui è stato effettuato il provisioning dai modelli IaC con configurazioni errate con gravità elevata.

Nota

Il mapping tra i modelli IaC e le risorse cloud potrebbe richiedere fino a 12 ore per essere visualizzato in Cloud Security Explorer.

(Facoltativo) Creare tag di mapping IaC di esempio

Per creare tag di mapping IaC di esempio nei repository di codice:

1. Nel repository aggiungere un modello IaC che include tag.

   È possibile iniziare con un modello di esempio.

2. Per eseguire il commit direttamente nel ramo main o creare un nuovo ramo per questo commit, selezionare Salva.

3. Verificare di aver incluso l'attività Microsoft Security DevOps nella pipeline di Azure.

4. Verificare che i log della pipeline mostrino una ricerca che indica che sono stati trovati tag IaC in questa risorsa. La ricerca indica che Defender per il cloud tag individuati correttamente.

Contenuto correlato

• Altre informazioni sulla sicurezza di DevOps in Defender per il cloud.