빠른 시작: Azure DevOps 환경을 클라우드용 Microsoft Defender에 연결
이 빠른 시작에서는 클라우드용 Microsoft Defender의 환경 설정 페이지에서 Azure DevOps 조직을 연결하는 방법을 보여 줍니다. 이 페이지에서는 Azure DevOps 리포지토리를 자동 발견하는 간단한 온보딩 환경을 제공합니다.
Azure DevOps 조직을 클라우드용 Defender에 연결하면 클라우드용 Defender의 보안 기능을 Azure DevOps 리소스로 확장할 수 있습니다. 다음과 같은 기능이 있습니다.
기본 CSPM(클라우드 보안 태세 관리) 기능: Azure DevOps 관련 보안 권장 사항을 통해 Azure DevOps 보안 태세를 평가할 수 있습니다. 모든 DevOps 권장 사항 리소스에 대해서도 알아볼 수 있습니다.
Defender CSPM 기능: Defender CSPM 고객은 Code to Cloud 상황별 공격 경로, 위험 평가 및 인사이트를 받아 공격자가 환경을 위반하는 데 사용할 수 있는 가장 중요한 약점을 식별합니다. Azure DevOps 리포지토리를 연결하면 DevOps 보안 결과를 클라우드 워크로드와 컨텍스트화하고 적시에 수정하기 위해 원본과 개발자를 식별할 수 있습니다. 자세한 내용은 환경 전체의 위험을 식별하고 분석하는 방법을 알아봅니다.
클라우드용 Defender가 수행하는 API 호출은 Azure DevOps 전역 사용량 제한에 포함됩니다. 자세한 내용은 클라우드용 Defender의 DevOps 보안에 대한 일반적인 질문을 참조하세요.
필수 조건
이 빠른 시작을 완료하려면 다음이 필요합니다.
- 클라우드용 Defender가 온보딩된 Azure 계정. 아직 Azure 계정이 없다면 무료로 계정을 만듭니다.
가용성
| 측면 | 세부 정보 |
|---|---|
| 릴리스 상태: | 일반 공급. |
| 가격 책정: | 가격 책정은 클라우드용 Defender 가격 책정 페이지를 참조하세요. |
| 필요한 권한 | Azure Portal에 로그인할 수 있는 권한이 있는 계정 관리자입니다. Azure 구독에 대한 커넥터를 만드는 기여자입니다. Azure DevOps 조직의 프로젝트 컬렉션 관리자입니다. Azure DevOps 조직의 기본 또는 기본 + Test Plans 액세스 수준. 온보딩하려는 모든 Azure DevOps 조직에 대해 프로젝트 컬렉션 관리자 권한과 기본 액세스 수준이 모두 있는지 확인합니다. 관련자 액세스 수준이 충분하지 않습니다. OAuth를 통한 타사 애플리케이션 액세스(Azure DevOps 조직에서 On으로 설정되어야 함) OAuth 및 조직에서 OAuth를 사용하도록 설정하는 방법에 대해 자세히 알아봅니다. |
| 지역 및 가용성: | 지역 지원 및 기능 사용 가능 여부는 지원 및 필수 조건 섹션을 참조하세요. |
| 클라우드: |  상업용  국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure) |
참고 항목
DevOps 보안 태세 평가의 읽기 권한을 위해 구독 수준에서 높은 권한을 설정하지 않도록 리소스 그룹/Azure DevOps 커넥터 범위에 보안 읽기 권한자 역할을 적용할 수 있습니다.
Azure DevOps 조직 연결
참고 항목
Azure DevOps를 클라우드용 Defender에 연결하면 DevOps용 Microsoft Defender 컨테이너 매핑 확장이 자동으로 공유되어 연결된 모든 Azure DevOps 조직에 설치됩니다. 이 확장을 통해 클라우드용 Defender는 파이프라인에서 컨테이너의 다이제스트 ID 및 이름과 같은 메타데이터를 추출할 수 있습니다. 이 메타데이터는 DevOps 엔터티를 관련 클라우드 리소스와 연결하는 데 사용됩니다. 컨테이너 매핑에 대해 자세히 알아봅니다.
네이티브 커넥터를 사용하여 Azure DevOps 조직을 클라우드용 Defender에 연결하려면 다음을 수행합니다.
Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender>환경 설정으로 이동합니다.
환경 추가를 선택합니다.
Azure DevOps를 선택합니다.
이름, 구독, 리소스 그룹 및 지역을 입력합니다.
구독은 클라우드용 Microsoft Defender가 Azure DevOps 연결을 만들고 저장하는 위치입니다.
다음: 액세스 구성을 선택합니다.
권한 부여를 선택합니다. Azure DevOps의 드롭다운 메뉴를 사용하고 클라우드용 Defender에서 올바른 Azure 테넌트에 있는지 확인하여 올바른 Azure 테넌트를 권한 부여하고 있는지 확인합니다.
팝업 대화 상자에서 권한 요청 목록을 읽은 다음 수락을 선택합니다.
조직의 경우 다음 옵션 중 하나를 선택합니다.
- 현재 프로젝트 컬렉션 관리자로 있는 조직의 모든 프로젝트와 리포지토리를 자동 발견하려면 모든 기존 조직을 선택합니다.
- 사용자가 프로젝트 컬렉션 관리자로 있는 모든 현재 및 향후 조직의 모든 프로젝트와 리포지토리를 자동 발견하려면 모든 기존 및 향후 조직을 선택합니다.
참고 항목
각 Azure DevOps 조직에 대해 OAuth를 통한 타사 애플리케이션 액세스를
On으로 설정해야 합니다. OAuth 및 조직에서 OAuth를 사용하도록 설정하는 방법에 대해 자세히 알아봅니다.Azure DevOps 리포지토리는 추가 비용 없이 온보딩되므로 클라우드용 Defender가 전체 DevOps 에코시스템에서 보안 태세를 종합적으로 평가하고 보안 위협에 대응할 수 있도록 조직 전체에 자동 검색이 적용됩니다. 나중에 클라우드용 Microsoft Defender>환경 설정을 통해 조직을 수동으로 추가하고 제거할 수 있습니다.
다음: 검토 및 생성을 선택합니다.
정보를 검토한 후 만들기를 선택합니다.
참고 항목
클라우드용 Defender에서 고급 DevOps 상태 기능의 적절한 기능을 보장하기 위해 Azure DevOps 조직의 인스턴스 하나만 커넥터를 만들고 있는 Azure 테넌트에 온보딩할 수 있습니다.
성공적으로 온보딩하면 DevOps 리소스(예: 리포지토리, 빌드)가 인벤토리 및 DevOps 보안 페이지에 표시됩니다. 리소스가 표시되는 데 최대 8시간이 걸릴 수 있습니다. 보안 검사 권장 사항에는 파이프라인을 구성하기 위한 추가 단계가 필요할 수 있습니다. 보안 결과의 새로 고침 간격은 권장 사항에 따라 다르며 세부 정보는 권장 사항 페이지에서 확인할 수 있습니다.
다음 단계
- 클라우드용 Defender의 DevOps 보안에 대해 자세히 알아봅니다.
- Azure Pipelines에서 Microsoft 보안 DevOps 작업을 구성합니다.
- Azure DevOps 커넥터 문제 해결