Eseguire il mapping delle immagini dei contenitori dal codice al cloud

  • Articolo

Quando una vulnerabilità viene identificata in un'immagine del contenitore archiviata in un registro contenitori o in esecuzione in un cluster Kubernetes, può essere difficile per un professionista della sicurezza risalire alla pipeline CI/CD che ha creato prima l'immagine del contenitore e identificare un proprietario della correzione dello sviluppatore. Con le funzionalità di sicurezza devOps in Microsoft Defender Cloud Security Posture Management (CSPM), è possibile eseguire il mapping delle applicazioni native del cloud dal codice al cloud per avviare facilmente i flussi di lavoro di correzione degli sviluppatori e ridurre il tempo necessario per correggere le vulnerabilità nelle immagini del contenitore.

Prerequisiti

  • Un account Azure con Defender per il cloud eseguito l'onboarding. Se non si ha già un account Azure, crearne uno gratuitamente.
  • Ambiente Azure DevOps o GitHub di cui è stato eseguito l'onboarding in Microsoft Defender per il cloud.
  • Per Azure DevOps, l'estensione Microsoft Security DevOps (MSDO) installata nell'organizzazione Azure DevOps.
  • Per GitHub, Microsoft Security DevOps (MSDO) Action configurato nei repository GitHub.
  • Defender CSPM abilitato.
  • Le immagini del contenitore devono essere compilate usando Docker e il client Docker deve essere in grado di accedere al server Docker durante la compilazione.

Eseguire il mapping dell'immagine del contenitore dalle pipeline di Azure DevOps al registro contenitori

Dopo aver compilato un'immagine del contenitore in una pipeline CI/CD di Azure DevOps ed eseguirne il push in un registro, vedere il mapping usando Cloud Security Explorer:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud> Cloud Security Explorer. La visualizzazione del mapping dell'immagine del contenitore in Cloud Security Explorer può richiedere al massimo 4 ore.

  3. Per visualizzare il mapping di base, selezionare Immagini+>>del contenitore push dai repository di codice.

    Screenshot that shows how to find basic mapping of containers.

  4. (Facoltativo) Selezionare + per Immagini contenitore per aggiungere altri filtri alla query, ad esempio Presenta vulnerabilità per filtrare solo le immagini del contenitore con CVEs.

  5. Dopo aver eseguito la query, verrà visualizzato il mapping tra registro contenitori e la pipeline di Azure DevOps. Selezionare ... accanto al perimetro per visualizzare altri dettagli sulla posizione in cui è stata eseguita la pipeline di Azure DevOps.

    Screenshot that shows an advanced query for container mapping results.

Di seguito è riportato un esempio di query avanzata che usa il mapping delle immagini del contenitore. A partire da un carico di lavoro Kubernetes esposto a Internet, è possibile tracciare tutte le immagini del contenitore con CVE con gravità elevata nella pipeline di Azure DevOps in cui è stata compilata l'immagine del contenitore, consentendo a un professionista della sicurezza di avviare un flusso di lavoro di correzione degli sviluppatori.

Screenshot that shows basic container mapping results.

Nota

Se l'organizzazione di Azure DevOps aveva creato il connettore Azure DevOps prima del 15 novembre 2023, passare a Estensioni > delle impostazioni>organizzazione Condivise e installare l'elemento Decorator di mapping delle immagini del contenitore. Se l'estensione condivisa con l'organizzazione non viene visualizzata, compilare il modulo seguente.

Eseguire il mapping dell'immagine del contenitore dai flussi di lavoro di GitHub al registro contenitori

  1. Aggiungere lo strumento di mapping delle immagini del contenitore al flusso di lavoro MSDO:

          # Run analyzers
    - name: Run Microsoft Security DevOps Analysis
      uses: microsoft/security-devops-action@latest
      id: msdo
      with:
        include-tools: container-mapping

Dopo aver compilato un'immagine del contenitore in un flusso di lavoro GitHub ed eseguirne il push in un registro, vedere il mapping usando Cloud Security Explorer:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender per il cloud> Cloud Security Explorer. La visualizzazione del mapping dell'immagine del contenitore in Cloud Security Explorer può richiedere al massimo 4 ore.

  3. Per visualizzare il mapping di base, selezionare Immagini+>>del contenitore push dai repository di codice.

    Screenshot that shows basic container mapping.

  4. (Facoltativo) Selezionare + per Immagini contenitore per aggiungere altri filtri alla query, ad esempio Presenta vulnerabilità per filtrare solo le immagini del contenitore con CVEs.

  5. Dopo aver eseguito la query, verrà visualizzato il mapping tra il registro contenitori e il flusso di lavoro di GitHub. Selezionare ... accanto al bordo per visualizzare altri dettagli sulla posizione in cui è stato eseguito il flusso di lavoro di GitHub.

Di seguito è riportato un esempio di query avanzata che usa il mapping delle immagini del contenitore. A partire da un carico di lavoro Kubernetes esposto a Internet, è possibile tracciare tutte le immagini del contenitore con CVE con gravità elevata nel repository GitHub in cui è stata compilata l'immagine del contenitore, consentendo a un professionista della sicurezza di avviare un flusso di lavoro di correzione dello sviluppatore.

Screenshot that shows basic container mapping results.

Passaggi successivi