IaC(Infrastructure as Code) 템플릿을 클라우드 리소스에 매핑하면 일관되고 안전하며 감사 가능한 인프라 프로비저닝을 보장할 수 있습니다. 보안 위협 및 보안별 접근 방식에 대한 신속한 대응을 지원합니다. 매핑을 사용하여 런타임 리소스에서 잘못된 구성을 검색할 수 있습니다. 그런 다음 템플릿 수준에서 수정하여 드리프트를 방지하고 CI/CD 방법론을 통해 배포가 용이하게 합니다.
필수 조건
클라우드용 Microsoft Defender를 설정하여 IaC 템플릿을 클라우드 리소스에 매핑하려면 다음이 필요합니다.
Defender for Cloud가 구성된 Azure 계정. 아직 Azure 계정이 없다면 무료로 계정을 만듭니다.
Defender for Cloud에 설정된 Azure DevOps 환경입니다.
Defender CSPM(Cloud Security Posture Management) 을 사용하도록 설정했습니다.
Azure Pipelines은 Microsoft Security DevOps Azure DevOps 확장과 IaCFileScanner 도구를 실행하도록 설정되어 있습니다.
태그 지원을 사용하여 설정된 IaC 템플릿 및 클라우드 리소스입니다. Yor_trace 같은 오픈 소스 도구를 사용하여 IaC 템플릿에 자동으로 태그를 지정할 수 있습니다. 태그 값은 고유한 GUID여야 합니다.
지원되는 클라우드 플랫폼: Microsoft Azure, Amazon Web Services, Google Cloud Platform
- 지원되는 소스 코드 관리 시스템: Azure DevOps
- 지원되는 템플릿 언어: Azure Resource Manager, Bicep, CloudFormation, Terraform
비고
클라우드용 Microsoft Defender는 매핑을 위해 IaC 템플릿의 다음 태그만 사용합니다.
yor_tracemapping_tag
IaC 템플릿과 클라우드 리소스 간의 매핑 보기
클라우드 보안 탐색기에서 IaC 템플릿과 클라우드 리소스 간의 매핑을 보려면 다음을 수행합니다.
Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender>클라우드 보안 탐색기로 이동합니다.
드롭다운 메뉴에서 모든 클라우드 리소스를 검색하고 선택합니다.
쿼리에 필터를 더 추가하려면 .를 선택합니다 +.
ID 및 액세스 범주에서 하위 필터 공급 업체를 추가합니다.
DevOps 범주에서 코드 리포지토리를 선택합니다.
쿼리를 빌드한 후 검색 을 선택하여 쿼리를 실행합니다.
또는 심각한 잘못된 구성이 있는 IaC 템플릿으로 프로비전된 기본 제공 클라우드 리소스 템플릿을 선택합니다.
비고
IaC 템플릿과 클라우드 리소스 간의 매핑은 Cloud Security Explorer에 표시되는 데 최대 12시간이 걸릴 수 있습니다.
(선택 사항) 샘플 IaC 매핑 태그 만들기
코드 리포지토리에서 샘플 IaC 매핑 태그를 만들려면 다음을 수행합니다.
리포지토리에서 태그를 포함하는 IaC 템플릿을 추가합니다.
샘플 템플릿으로 시작할 수 있습니다.
주 분기에 직접 커밋하거나 이 커밋에 대한 새 분기를 만들려면 저장을 선택합니다.
Azure 파이프라인에 Microsoft Security DevOps 작업을 포함했음을 확인합니다.
파이프라인 로그에 이 리소스에서 IaC 태그가 발견되었음을 나타내는 결과가 표시되는지 확인합니다. 검색 결과는 Defender for Cloud가 태그를 성공적으로 검색했음을 나타냅니다.
관련 콘텐츠
- 클라우드용 Defender의 DevOps 보안에 대해 자세히 알아봅니다.