다음을 통해 공유


Infrastructure as Code 템플릿을 클라우드 리소스에 매핑

IaC(Infrastructure as Code) 템플릿을 클라우드 리소스에 매핑하면 일관되고 안전하며 감사 가능한 인프라 프로비전을 보장하는 데 도움이 됩니다. 보안 위협에 대한 신속한 응답과 보안 기반 디자인 방식을 지원합니다. 매핑을 사용하여 런타임 리소스의 잘못된 구성을 발견할 수 있습니다. 그런 다음 템플릿 수준에서 수정하여 드리프트가 없는지 확인하고 CI/CD 방법론을 통해 배포를 용이하게 합니다.

필수 조건

IaC 템플릿을 클라우드 리소스에 매핑하도록 클라우드용 Microsoft Defender를 설정하려면 다음이 필요합니다.

  • 클라우드용 Defender가 구성된 Azure 계정입니다. 아직 Azure 계정이 없다면 무료로 계정을 만듭니다.
  • 클라우드용 Defender에 설정된 Azure DevOps 환경.
  • Defender CSPM(클라우드 보안 태세 관리) 사용.
  • Microsoft 보안 DevOps Azure DevOps 확장을 실행하도록 설정된 Azure Pipelines입니다.
  • 태그 지원으로 설정된 IaC 템플릿 및 클라우드 리소스. Yor_trace와 같은 오픈 소스 도구를 사용하여 IaC 템플릿에 자동으로 태그를 지정할 수 있습니다.
    • 지원되는 클라우드 플랫폼: Microsoft Azure, Amazon Web Services, Google Cloud Platform
    • 지원되는 소스 코드 관리 시스템: Azure DevOps
    • 지원되는 템플릿 언어: Azure Resource Manager, Bicep, CloudFormation, Terraform

참고 항목

클라우드용 Microsoft Defender는 매핑을 위해 IaC 템플릿의 다음 태그만 사용합니다.

  • yor_trace
  • mapping_tag

IaC 템플릿과 클라우드 리소스 간의 매핑을 확인합니다.

Cloud Security Explorer에서 IaC 템플릿과 클라우드 리소스 간의 매핑을 보려면 다음 단계를 따릅니다.

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>클라우드 보안 탐색기로 이동합니다.

  3. 드롭다운 메뉴에서 모든 클라우드 리소스를 검색하고 선택합니다.

  4. 쿼리에 더 많은 필터를 추가하려면 +을 선택합니다.

  5. ID 및 액세스 범주에서 하위 필터 공급 업체를 추가합니다.

  6. DevOps 범주에서 코드 리포지토리를 선택합니다.

  7. 쿼리를 빌드한 후 쿼리을 선택하여 쿼리를 실행합니다.

또는 네이티브 제공 템플릿인 심각도가 높은 구성 오류가 있는 IaC 템플릿으로 프로비전된 클라우드 리소스를 선택합니다.

IaC 매핑 클라우드 보안 탐색기 템플릿을 보여 주는 스크린샷.

참고 항목

IaC 템플릿과 클라우드 리소스 간의 매핑이 Cloud Security Explorer에 표시되는 데 최대 12시간이 걸릴 수 있습니다.

(선택 사항) 샘플 IaC 매핑 태그 만들기

코드 리포지토리에서 샘플 IaC 매핑 태그를 만들려면 다음 안내를 따릅니다.

  1. 리포지토리에 태그가 포함된 IaC 템플릿을 추가합니다.

    샘플 템플릿으로 시작할 수 있습니다.

  2. 기본 분기에 직접 커밋하거나 이 커밋에 대한 새 분기를 만들려면 저장을 선택합니다.

  3. Azure 파이프라인에 Microsoft 보안 DevOps 작업이 포함되었는지 확인합니다.

  4. 파이프라인 로그에 이 리소스에서 IaC 태그가 발견되었습니다.라는 결과가 표시되는지 확인합니다. 결과는 클라우드용 Defender가 태그를 성공적으로 발견했음을 나타냅니다.