コードとしてのインフラストラクチャ (IaC) テンプレートをクラウド リソースにマッピングすることで、一貫性があり、セキュリティで保護され、監査可能なインフラストラクチャ プロビジョニングを確保できます。 セキュリティの脅威に対する迅速な対応と、設計によるセキュリティアプローチをサポートします。 マッピングを使用して、ランタイム リソース内の誤った構成を検出できます。 次に、テンプレート レベルで修復して、ドリフトを確実になくし、CI/CD 手法を使用してデプロイを容易にします。
[前提条件]
IaC テンプレートをクラウド リソースにマップするように Microsoft Defender for Cloud を設定するには、次のものが必要です。
Defender for Cloud が構成されている Azure アカウント。 Azure アカウントをまだお持ちでない場合は、 無料で作成してください。
Defender for Cloud で設定された Azure DevOps 環境。
Defender Cloud Security Posture Management (CSPM) が有効になっています。
Azure Pipelines は、IaCFileScanner ツールを実行して Microsoft Security DevOps Azure DevOps 拡張機能 を実行するように設定されています。
タグのサポートを使用して設定された IaC テンプレートとクラウド リソース。 Yor_traceなどのオープンソース ツールを使用して、IaC テンプレートに自動的にタグを付けることができます。 タグ値は一意の GUID である必要があります。
サポートされているクラウド プラットフォーム: Microsoft Azure、アマゾン ウェブ サービス、Google Cloud Platform
- サポートされているソース コード管理システム: Azure DevOps
- サポートされているテンプレート言語: Azure Resource Manager、Bicep、CloudFormation、Terraform
注
Microsoft Defender for Cloud では、マッピングに IaC テンプレートの次のタグのみが使用されます。
yor_tracemapping_tag
IaC テンプレートとクラウド リソース間のマッピングを確認する
Cloud Security Explorer で IaC テンプレートとクラウド リソース間のマッピングを確認するには:
Azure portal にサインインします。
[Microsoft Defender for Cloud]>[クラウド セキュリティ エクスプローラー] の順に移動します。
ドロップダウン メニューで、すべてのクラウド リソースを検索して選択します。
クエリにフィルターを追加するには、 +を選択します。
[ ID とアクセス ] カテゴリで、プロビジョニング元サブフィルターを追加します。
DevOps カテゴリで、[コード リポジトリ] を選択します。
クエリを作成したら、[ 検索 ] を選択してクエリを実行します。
別の方法として、重大度の高い設定ミスが含まれる IaC テンプレートによってプロビジョニングされたクラウド リソースのための組み込みテンプレートを選択します。
注
IaC テンプレートとクラウド リソース間のマッピングが Cloud Security Explorer に表示されるまでに最大 12 時間かかる場合があります。
(省略可能)サンプル IaC マッピング タグを作成する
コード リポジトリにサンプルの IaC マッピング タグを作成するには:
リポジトリに、タグを含む IaC テンプレートを追加します。
サンプル テンプレートから始めることができます。
メイン ブランチに直接コミットするか、このコミット用に新しいブランチを作成するには、[ 保存] を選択します。
Azure パイプラインに Microsoft Security DevOps タスクを 含めたことを確認します。
パイプライン ログに、 このリソースで IaC タグが見つかったことを示す結果が表示されていることを確認します。 この結果は、Defender for Cloud がタグを正常に検出したことを示しています。
関連コンテンツ
- Defender for Cloud での DevOps セキュリティの詳細をご覧ください。