ソース コード リポジトリ、CI/CD パイプライン、コンテナー レジストリ、ランタイム ワークロードを Microsoft Defender for Cloud の DevOps セキュリティに接続することで、コードからクラウドへの開発ライフサイクルをセキュリティで保護します。 これにより、セキュリティチームとエンジニアリング チームは、リスクを早期にキャッチし、運用環境で実際に悪用できる内容に焦点を当て、開発者をブロックすることなく問題を修正することができます。
コードからクラウドへの接続、スキャン、トレース
- リポジトリとパイプラインを接続します。GitHub、Azure DevOps、GitLab 環境を Defender for Cloud にオンボードして、コード リポジトリ、パイプライン、コードとしてのインフラストラクチャ (IaC) テンプレート、コンテナー イメージを 1 か所で統一して可視化します。
- 出荷前にコードとインフラストラクチャをスキャンする — エージェントレス コードと IaC スキャンを有効にして、プル要求ステージで構成と脆弱性の誤りをキャッチします。 より厳密な制御を行うために、 Defender for Cloud CLI を CI/CD パイプラインに直接追加して、すべてのビルドの一部としてスキャンを適用します。
- コードから実行中のワークロードまでの脆弱性をトレースする - コードからクラウドへのコンテキスト化を使用して、ビルド成果物、レジストリ、ランタイム環境を介して結果をマップします。 これにより、すべての発見を追跡するのではなく、運用環境で実際に到達可能な脆弱性に優先順位を付けられます。
- コンテナーサプライ チェーンをロックダウンする - ビルド時にコンテナー イメージをスキャンし、ポリシーベースのゲーティングを適用して脆弱なイメージのデプロイをブロックし、ビルド時の結果をランタイム動作と関連付けて、デプロイ後に発生する脅威をキャッチします。 詳細については、「 Defender for Containers でゲート配置を有効にする」を参照してください。
ランタイムの操作、ルーティング、保護
- DevOps の体制を監査する - CI/CD パイプライン、リポジトリ構成、およびサービス接続を確認して、セキュリティで保護されていない設定、過剰なアクセス許可、弱いアクセス制御を確認します。 DevOps ポスチャ管理の推奨事項を使用して、開発インフラストラクチャを体系的に強化します。
- 修正を適切な開発者にルーティングする - 開発者がワークフローでセキュリティの結果を直接確認できるように、pull request 注釈を有効にします。 所有権マッピングとワークフロー自動化を使用して、コードを所有するチームに修復を割り当て、既に使用しているツールと統合します。
- GitHub Advanced Security の結果を Defender に取り込む— GitHub Advanced Security を使用している場合は、それを Defender for Cloud に接続して、コード スキャン、シークレット検出、依存関係の結果をクラウドの体制とランタイム リスクと共に確認し、セキュリティ オペレーション センター (SOC) にコミットから運用環境への完全な可視性を提供します。
- 開発者マシンからのサプライ チェーン のリスクを軽減する - GitHub Codespaces または Microsoft Dev Box を使用して、事前に強化された分離されたクラウド開発環境に、スコープ付きのリポジトリ アクセス、暗号化されたシークレット管理、完全な監査ログを提供します。 開発者アカウントにエンドポイント保護と条件付きアクセス ポリシーを適用します。 詳細については、以下を参照してください。
- Kubernetes ワークロードの実行中に脅威を検出する - Microsoft Defender for Containers ランタイム保護を有効にすることで、スキャン時間の脆弱性検出を超えます。 Azure Kubernetes Service (AKS)、Amazon Elastic Kubernetes Service (EKS)、Google Kubernetes Engine (GKE)、Arc 対応クラスターなど、Kubernetes ノードにデプロイされた軽量センサーは、MITRE ATT&CK フレームワークにマップされたリアルタイム アラートを使用して、暗号通貨マイニング、横移動、ドリフト バイナリなどの悪意のあるアクティビティを監視します。 詳細については、「 Defender for Cloud でのコンテナー保護」を参照してください。
シークレットとパイプラインのセキュリティ強化
- 新しいリポジトリの自動有効化を使用して、組織レベルでシークレット スキャンとプッシュ保護を有効にします。
- GitHub の場合: GitHub シークレット保護を有効にします。 詳細については、「 シークレット スキャンについて」を参照してください。
- Azure DevOps の場合: Azure DevOps の GitHub Advanced Security でシークレット保護を有効にします。 詳細については、「 Azure DevOps の GitHub Advanced Security の構成」を参照してください。
- クラウドに対する一元管理されたテンプレート、最小特権 ID、OpenID Connect (OIDC) ベースの認証を使用して、ビルド パイプラインを強化します。
- 一元管理されたパイプライン テンプレートを使用して、必要なスキャナー、ソフトウェア部品表 (SBOM) の生成、署名、コンプライアンス ゲートをすべてのパイプラインに挿入します。 詳細については、「 再利用可能で安全なプロセスのためにパイプラインで YAML テンプレートを使用する」を参照してください。
- リリース成果物が生成される前に、2 人のレビュー担当者によるプル要求承認とコード署名を中央テンプレートで要求します。
- 有効期間の長い資格情報を、パイプラインからクラウドへの認証のワークロード ID フェデレーション (OIDC) に置き換えます。 詳細については、「 ワークロード ID フェデレーションの概念」を参照してください。
- 最小限の特権をスコープとする Defender for Cloud DevOps コネクタの専用サービス ID を使用します。 詳細については、「 Azure DevOps 環境を Defender for Cloud に接続する」を参照してください。
- セルフホステッド ビルド エージェントを強化します。 必要な Advanced Security エンドポイントと Defender エンドポイントのみに送信ネットワーク アクセスを制限し、CodeQL バンドルが存在することを確認します。 詳細については、「 Azure DevOps の GitHub Advanced Security の構成」を参照してください。
AI を利用したコード レビューと露出の相関関係
- AI を利用したコード レビュー - GITHub Copilot を PR レビュー担当者として割り当てて、AI と CodeQL の両方を使用してセキュリティの問題をキャッチできます。 GitHub Copilot は、6,000 万件を超えるレビューを完了しています。 詳細については、「 GitHub Copilot コード レビューの使用」を参照してください。
- Defender for Cloud を使用してコードの結果をクラウドの公開に関連付けて、実際に到達可能なものを最初に修正できるようにします。
- ソース管理組織を Defender for Cloud に接続し、 Defender Cloud Security Posture Management (CSPM) を有効にします。 詳細については、以下を参照してください。
- Microsoft Security Exposure Management で組織全体の脆弱性の露出を追跡します。これは、Defender 製品からのシグナルを集計して、エンドツーエンドの露出スコアと優先順位付けされた修復を生成します。 「Microsoft セキュリティ露出管理とは」を参照してください。
AI を利用したエージェントを使用して高速化する
- Microsoft Defender の 脅威ハンティング エージェント を使用すると、アナリストは自然言語クエリを使用してコード、パイプライン、ランタイム ワークロード全体の疑わしいアクティビティを調査し、それらを Kusto クエリ言語 (KQL) に変換し、手動のクエリ構成を必要とせずにコンテキスト分析情報を表示できます。 詳細については、「Microsoft Security Copilot Threat Hunting Agent による高度なハンティング」を参照してください。