Mapeie a infraestrutura como modelos de código para recursos de nuvem
O mapeamento de modelos de infraestrutura como código (IaC) para recursos de nuvem ajuda a garantir o provisionamento de infraestrutura consistente, seguro e auditável. Apoia uma resposta rápida a ameaças à segurança e uma abordagem de segurança desde a conceção. Você pode usar o mapeamento para descobrir configurações incorretas em recursos de tempo de execução. Em seguida, corrija no nível do modelo para ajudar a garantir que não haja desvios e facilitar a implantação por meio da metodologia CI/CD.
Pré-requisitos
Para configurar o Microsoft Defender for Cloud para mapear modelos de IaC para recursos de nuvem, você precisa:
- Uma conta do Azure com o Defender for Cloud configurado. Se ainda não tiver uma conta do Azure, crie uma gratuitamente.
- Um ambiente de DevOps do Azure configurado no Defender for Cloud.
- Defender Cloud Security Posture Management (CSPM) ativado.
- Azure Pipelines configurado para executar a extensão Microsoft Security DevOps Azure DevOps.
- Modelos IaC e recursos de nuvem configurados com suporte a tags. Você pode usar ferramentas de código aberto como Yor_trace para marcar automaticamente modelos IaC.
- Plataformas de nuvem suportadas: Microsoft Azure, Amazon Web Services, Google Cloud Platform
- Sistemas de gerenciamento de código-fonte suportados: Azure DevOps
- Idiomas de modelo suportados: Azure Resource Manager, Bicep, CloudFormation, Terraform
Nota
O Microsoft Defender for Cloud usa apenas as seguintes tags de modelos IaC para mapeamento:
yor_trace
mapping_tag
Veja o mapeamento entre seu modelo de IaC e seus recursos de nuvem
Para ver o mapeamento entre seu modelo IaC e seus recursos de nuvem no Cloud Security Explorer:
Inicie sessão no portal do Azure.
Vá para Microsoft Defender for Cloud>Security Explorer.
No menu suspenso, pesquise e selecione todos os seus recursos de nuvem.
Para adicionar mais filtros à sua consulta, selecione +.
Na categoria Identidade & Acesso, adicione o subfiltro Provisionado por.
Na categoria DevOps, selecione Repositórios de código.
Depois de criar a consulta, selecione Pesquisar para executá-la.
Como alternativa, selecione o modelo interno Recursos de nuvem provisionados por modelos IaC com configurações incorretas de alta gravidade.
Nota
O mapeamento entre seus modelos de IaC e seus recursos de nuvem pode levar até 12 horas para aparecer no Cloud Security Explorer.
(Opcional) Criar tags de mapeamento IaC de exemplo
Para criar marcas de mapeamento IaC de exemplo em seus repositórios de código:
No repositório, adicione um modelo IaC que inclua tags.
Você pode começar com um modelo de exemplo.
Para confirmar diretamente na ramificação principal ou criar uma nova ramificação para essa confirmação, selecione Salvar.
Confirme se você incluiu a tarefa Microsoft Security DevOps em seu pipeline do Azure.
Verifique se os logs de pipeline mostram uma descoberta que diz que uma tag IaC foi encontrada neste recurso. A descoberta indica que o Defender for Cloud descobriu tags com êxito.
Conteúdos relacionados
- Saiba mais sobre a segurança de DevOps no Defender for Cloud.