將 零信任 原則套用至 Amazon Web Services 中的 IaaS 應用程式
本文提供將 零信任 原則套用至 Amazon Web Services 中 IaaS 應用程式的步驟(AWS):
| 零信任原則 | 定義 | 符合者 |
|---|---|---|
| 明確驗證 | 一律根據所有可用的資料點進行驗證及授權。 | DevOps 中的安全性 (DevSecOps),使用 GitHub 進階安全性和 DevOps,掃描並保護您的基礎結構即程序代碼。 |
| 使用最低許可權存取 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則和數據保護來限制使用者存取。 |
|
| 假設缺口 | 將爆炸半徑和區段存取降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 |
|
如需如何在 Azure IaaS 環境中套用 零信任 原則的詳細資訊,請參閱將 零信任 原則套用至 Azure IaaS 概觀。
AWS 和 AWS 元件
AWS 是市場上可用的公用雲端提供者之一,以及 Microsoft Azure、Google Cloud Platform 等。 公司通常會有由多個雲端提供者組成的多重雲端架構。 在本文中,我們著重於多重雲端架構,其中:
- Azure 和 AWS 已整合以執行工作負載和 IT 商務解決方案。
- 您可以使用 Microsoft 產品保護 AWS IaaS 工作負載。
AWS 虛擬機,稱為 Amazon Elastic Compute Cloud (Amazon EC2),在 AWS 虛擬網路之上執行,稱為 Amazon Virtual Private Cloud(Amazon VIRTUAL Private Cloud (Amazon AMAZON)。 使用者和雲端系統管理員會在 AWS 環境中設定 Amazon CSV,並新增 Amazon EC2 虛擬機。
AWS CloudTrail 會在 AWS 環境中記錄 AWS 帳戶活動。 Amazon EC2、AmazonVP 和 AWS CloudTrail 在 AWS 環境中很常見。 從這些服務收集記錄對於瞭解 AWS 環境中發生的狀況以及避免或減輕攻擊所採取的動作至關重要。
Amazon GuardDuty 是威脅偵測服務,可藉由監視 AWS 環境是否有惡意活動和未經授權的行為,協助保護 AWS 工作負載。
在本文中,您將瞭解如何整合這些 AWS 資源和服務的監視與記錄,以及 Azure 的監視解決方案和 Microsoft 安全性堆疊。
參考架構
下列架構圖顯示在 AWS 環境中執行 IaaS 工作負載所需的常見服務和資源。 此圖也會顯示將記錄和數據從 AWS 環境內嵌至 Azure 以及提供威脅監視和保護所需的 Azure 服務。
此圖示範針對 AWS 環境中的下列資源和服務,將記錄擷取至 Azure:
- Amazon Elastic Compute Cloud (Amazon EC2)
- Amazon Virtual Private Cloud (Amazon IMF)
- Amazon Web Services CloudTrail (AWS CloudTrail)
- Amazon GuardDuty
若要將記錄內嵌至 Azure 中 AWS 環境中的資源和服務,您必須已定義 Amazon Simple 儲存體 Service (Amazon S3) 和 Amazon Simple Queue Service (SQS)。
記錄和數據會內嵌至 Azure 監視器中的 Log Analytics。
下列 Microsoft 產品會使用內嵌的數據來監視:
- 適用於雲端的 Microsoft Defender
- Microsoft Sentinel
- 適用於端點的 Microsoft Defender
注意
您不需要將記錄擷取到列出的所有 Microsoft 產品,即可監視 AWS 資源和服務。 不過,將所有 Microsoft 產品一起使用,可讓 AWS 記錄和數據擷取至 Azure 帶來更大的好處。
本文遵循架構圖表,並說明如何:
- 安裝及設定 Microsoft 產品,以從 AWS 資源內嵌記錄。
- 設定您想要監視之安全性數據的計量。
- 改善整體安全性狀態並保護 AWS 工作負載。
- 安全基礎結構即程序代碼。
步驟 1:安裝和連線 Microsoft 產品以內嵌記錄和數據
本節將逐步引導您瞭解如何在參考的架構中安裝和連接 Microsoft 產品,以擷取 AWS 和 Amazon 服務和資源的記錄。 若要遵守 零信任 明確驗證原則,您必須安裝 Microsoft 產品並連線到 AWS 環境,以在攻擊之前採取主動式動作。
| 步驟 | Task |
|---|---|
| A | 將 Azure 連線 Machine 代理程式安裝到您的 Amazon Elastic Compute Cloud (Amazon EC2) 虛擬機,以內嵌作業系統數據和登入 Azure。 |
| B | 將 Azure 監視器代理程式安裝在 Amazon EC2 虛擬機上,以將記錄傳送至 Log Analytics 工作區。 |
| C | 連線 AWS 帳戶以 適用於雲端的 Microsoft Defender。 |
| D | 連線 Microsoft Sentinel 至 AWS 以擷取 AWS 記錄數據。 |
| E | 使用 AWS 連接器將 AWS 服務記錄提取至 Microsoft Sentinel。 |
A. 將 Azure 連線 Machine 代理程式安裝到您的 Amazon EC2 虛擬機,以內嵌作業系統數據和登入 Azure
已啟用 Azure Arc 的伺服器 可讓您管理裝載於 Azure 外部、公司網路或其他雲端提供者上的 Windows 和 Linux 實體伺服器和虛擬機。 為了 Azure Arc 的目的,裝載於 Azure 外部的機器會被視為混合式機器。 若要將 Amazon EC2 虛擬機(也稱為混合式機器)連線至 Azure,請在每部機器上安裝 Azure 連線 機器代理程式。
如需詳細資訊,請參閱將混合式機器 連線 至 Azure。
B. 將 Azure 監視器代理程式安裝在 Amazon EC2 虛擬機上,以將記錄傳送至 Log Analytics 工作區
Azure 監視器 會針對在 Azure 和其他雲端中執行的資源和應用程式提供完整的監視,包括 AWS。 Azure 監視器會收集、分析及處理來自雲端和內部部署環境的遙測數據。 Azure 監視器中的 VM 深入解析 會使用已啟用 Azure Arc 的伺服器,在 Azure 虛擬機與 Amazon EC2 虛擬機之間提供一致的體驗。 您可以與 Azure 虛擬機一起檢視 Amazon EC2 虛擬機。 您可以使用相同的方法將 Amazon EC2 虛擬機上線。 這包括使用標準 Azure 建構,例如 Azure 原則 和套用標籤。
當您啟用機器的 VM 深入解析時, 會安裝 Azure 監視器代理程式 (AMA)。 AMA 會從 Amazon EC2 虛擬機收集監視數據,並將其傳遞給 Azure 監視器,以供功能、深入解析和其他服務使用,例如 Microsoft Sentinel 和 適用於雲端的 Microsoft Defender。
重要
Log Analytics 是 Azure 入口網站 中用來針對 Azure 監視器記錄存放區中的數據編輯和執行記錄查詢的工具。 Log Analytics 會自動安裝。
Amazon EC2 虛擬機可能已安裝舊版 Log Analytics 代理程式。 此代理程式將於 2024 年 9 月淘汰。 Microsoft 建議安裝新的 Azure 監視器代理程式。
需要 Log Analytics 代理程式或適用於 Windows 和 Linux 的 Azure 監視器代理程式,才能:
- 主動監視電腦上執行的作業系統和工作負載。
- 使用自動化 Runbook 或更新管理等解決方案來管理電腦。
- 使用其他 Azure 服務,例如 適用於雲端的 Microsoft Defender。
當您收集記錄和數據時,信息會儲存在Log Analytics工作區中。 如果您從訂用帳戶中的 Azure 資源收集數據,則需要 Log Analytics 工作區。
Azure 監視器活頁簿是 Azure 入口網站 中提供的視覺效果工具。 活頁簿將文字、記錄查詢、計量和參數合併成豐富的互動式報表。 設定活頁簿可協助您使用分析來遵守 零信任 假設違反原則。
下一篇文章將討論來自 Amazon Virtual Private Cloud(Amazon VIRTUAL PRIVATE Cloud)、AWS CloudTrail 和 Amazon GuardDuty 的 Microsoft Sentinel 記錄中的監視。
如需詳細資訊,請參閱
C. 連線 AWS 帳戶以 適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 是雲端安全性狀態管理(CSPM)和雲端工作負載保護平臺(CWPP),適用於所有 Azure、內部部署和多重雲端資源,包括 AWS。 在管理雲端和內部部署中的資源和工作負載安全性時,適用於雲端的 Defender 可滿足三個重要需求:
- 持續評估 - 瞭解您的安全性狀態。 識別和追蹤弱點。
- 安全 - 使用 Microsoft 雲端安全性效能評定 (MCSB) 和 AWS 基礎安全性最佳做法標準強化資源和服務。
- 防禦 - 偵測並解決資源與服務的威脅。
適用於伺服器的 Microsoft Defender 是 適用於雲端的 Microsoft Defender 所提供的付費方案之一。 適用於伺服器的 Defender 會將保護延伸至在 Azure、AWS、Google Cloud Platform 和內部部署中執行的 Windows 和 Linux 機器。 適用於伺服器的 Defender 會與適用於端點的 Microsoft Defender 整合,以提供端點偵測及回應 (EDR) 和其他威脅防護功能。
如需詳細資訊,請參閱
- 連線 AWS 帳戶來 適用於雲端的 Microsoft Defender 以保護 AWS 資源。
- 在 適用於雲端的 Microsoft Defender 中選取適用於伺服器的Defender方案,以比較適用於伺服器的Defender所提供的不同方案。 適用於伺服器的 Defender 會自動在連線到 適用於雲端的 Defender 的每個支援電腦上布建適用於端點的 Defender 感測器。
注意
如果您尚未在伺服器上部署 AMA,您可以在 啟用適用於伺服器的 Defender 時,在伺服器上部署 Azure 監視器代理程式 。
D. 連線 Microsoft Sentinel 至 AWS 以擷取 AWS 記錄數據
Microsoft Sentinel 是可調整的雲端原生解決方案,可提供下列服務:
- 安全性資訊及事件管理 (SIEM)
- 安全性協調流程、自動化和回應 (SOAR)
Microsoft Sentinel 在整個企業中提供安全性分析和威脅情報。 透過 Microsoft Sentinel,您可以取得用於攻擊偵測、威脅可見度、主動式搜捕和威脅回應的單一解決方案。
如需設定指示,請參閱 將 Microsoft Sentinel 上線。
E. 使用 AWS 連接器將 AWS 服務記錄提取至 Microsoft Sentinel
若要將 AWS 服務記錄提取至 Microsoft Sentinel,您必須使用 Microsoft Sentinel AWS 連接器。 連接器的運作方式是將 AWS 資源記錄的存取權授與 Microsoft Sentinel。 設定連接器會建立 AWS 與 Microsoft Sentinel 之間的信任關係。 在 AWS 上,會建立角色,以授與 Microsoft Sentinel 存取 AWS 記錄的許可權。
AWS 連接器提供兩種版本:新的 Amazon Simple 儲存體 Service (Amazon S3) 連接器,其會從 Amazon S3 貯體提取記錄,以及 CloudTrail 管理和數據記錄的舊版連接器來擷取記錄。 Amazon S3 連接器可以從 Amazon Virtual Private Cloud (Amazon DHCP)、AWS CloudTrail 和 Amazon GuardDuty 擷取記錄。 Amazon S3 連接器處於預覽狀態。 我們建議使用 Amazon S3 連接器。
若要使用 Amazon S3 連接器擷取 Amazon CSV、AWS CloudTrail 和 Amazon GuardDuty 的記錄,請參閱 microsoft Sentinel 至 AWS 連線。
注意
Microsoft 建議使用自動安裝腳本來部署 Amazon S3 連接器。 如果您想要手動執行每個步驟,請遵循 手動設定 ,將 Microsoft Sentinel 連線至 AWS。
步驟 2:設定安全性數據的計量
既然 Azure 正在從 AWS 資源擷取記錄,您可以在環境中建立威脅偵測規則並監視警示。 本文將逐步引導您完成收集記錄和數據,以及監視可疑活動的步驟。 零信任 假設入侵原則是藉由監視您的環境是否有威脅和弱點來達成。
| 步驟 | Task |
|---|---|
| A | 在 Azure 監視器中收集 Amazon Elastic Compute Cloud (Amazon EC2) 記錄。 |
| B | 檢視和管理 Amazon EC2 的安全性警示和建議 適用於雲端的 Microsoft Defender。 |
| C | 整合 適用於端點的 Microsoft Defender 與 適用於雲端的 Defender。 |
| D | 在 Microsoft Sentinel 中監視 Amazon EC2 數據。 |
| E | 從 Amazon Virtual Private Cloud 、AWS CloudTrail 和 Amazon GuardDuty 監視 Microsoft Sentinel 記錄中的監視。 |
| F | 使用 Microsoft Sentinel 內建的偵測規則,在您的環境中建立和調查威脅偵測規則。 |
A. 在 Azure 監視器中收集 Amazon Elastic Compute Cloud (Amazon EC2) 記錄
安裝在 Amazon EC2 VM 上的 Azure 連線 Machine 代理程式可讓您監視 AWS 資源,就像它們是 Azure 資源一樣。 例如,您可以使用 Azure 原則來管理和管理 Amazon EC2 VM 的更新。
安裝在 Amazon EC2 VM 上的 Azure 監視器代理程式 (AMA) 會收集監視數據,並將其傳遞給 Azure 監視器。 這些記錄會成為 Microsoft Sentinel 和 適用於雲端的 Defender 的輸入。
若要從 Amazon EC2 VM 收集記錄,請參閱 建立數據收集規則。
B. 檢視和管理 Amazon EC2 的安全性警示和建議 適用於雲端的 Microsoft Defender
適用於雲端的 Microsoft Defender 使用資源記錄來產生安全性警示和建議。 適用於雲端的 Defender 可以提供警示,警告您 Amazon EC2 VM 上可能發生的威脅。 警示會依嚴重性排定優先順序。 每個警示都會提供受影響資源、問題和補救建議的詳細數據。
有兩種方式可以在 Azure 入口網站 中檢視建議。 在 [適用於雲端的 Defender 概觀] 頁面中,您可以檢視您想要改善的環境建議。 在 [適用於雲端的 Defender 資產清查] 頁面上,會根據受影響的資源顯示建議。
若要檢視和管理 Amazon EC2 警示和建議:
- 瞭解 適用於雲端的 Defender 中可用的不同類型的警示,以及如何回應警示。
- 藉由實作來自 適用於雲端的 Defender 的建議,改善您的安全性狀態。
- 瞭解如何存取 適用於雲端的 Defender 的資產清查頁面。
注意
Microsoft 雲端安全性效能評定 (MCSB) 包含一系列高影響的安全性建議,可用來協助保護單一或多重雲端環境中的雲端服務。 Microsoft 建議使用安全性效能評定來協助您快速保護雲端部署。 深入瞭解MCSB。
C. 整合 適用於端點的 Microsoft Defender 與 適用於雲端的 Defender
使用 適用於雲端的 Defender整合式 端點偵測及回應 解決方案來保護端點,適用於端點的 Microsoft Defender。 適用於端點的 Microsoft Defender 會保護您的 Windows 和 Linux 機器,無論是裝載於 Azure、內部部署或多重雲端環境。 適用於端點的 Microsoft Defender 是全面性雲端端點安全性解決方案。 主要功能包括:
- 風險型 弱點管理 和評量
- 攻擊面縮減
- 行為型和雲端式保護
- 端點偵測和回應 (EDR)
- 自動調查和補救
- 受控搜捕服務
如需詳細資訊,請參閱啟用 適用於端點的 Microsoft Defender 整合。
D. 在 Microsoft Sentinel 中監視 Amazon EC2 數據
安裝 Azure 連線 Machine 代理程式和 AMA 之後,Amazon EC2 操作系統就會開始將記錄傳送至自動提供給 Microsoft Sentinel 的 Azure Log Analytics 數據表。
下圖示範 Amazon EC2 操作系統記錄如何由 Microsoft Sentinel 擷取。 Azure 連線 機器代理程式會讓您的 Amazon EC2 VM 成為 Azure 的一部分。 透過 AMA 資料連接器 Windows 安全性 事件會從 Amazon EC2 VM 收集數據。
注意
您不需要 Microsoft Sentinel 從 Amazon EC2 擷取記錄,但您需要先前設定的 Log Analytics 工作區。
如需逐步指引,請參閱 使用Arc和AMA的 Amazon EC2 Sentinel 擷取,這是 GitHub 中的檔。 GitHub 檔說明安裝 AMA,因為您稍早在本解決方案指南中安裝了 AMA,因此您可以略過。
E. 從 Amazon Virtual Private Cloud、AWS CloudTrail 和 Amazon GuardDuty 監視 Microsoft Sentinel 記錄中的監視
稍早您已使用 Amazon Simple 儲存體 Service (Amazon S3) 連接器,將 Microsoft Sentinel 連線到 AWS。 Amazon S3 貯體會將記錄傳送至 Log Analytics 工作區,這是用來查詢記錄的基礎工具。 下表會在工作區中建立:
- AWSCloudTrail - AWS CloudTrail 記錄會保存 AWS 帳戶的所有數據和管理事件。
- AWSGuardDuty - Amazon GuardDuty 結果代表在您的網路中偵測到的潛在安全性問題。 每當 Amazon GuardDuty 在您的 AWS 環境中偵測到非預期且潛在的惡意活動時,都會產生結果。
- AWSVPCFlow - Amazon Virtual Private Cloud (Amazon AMAZON) 流量記錄可讓您擷取來自 Amazon AMAZON TCP 網路介面的 IP 流量。
您可以在 Microsoft Sentinel 中查詢 Amazon DHCP 流量記錄、AWS CloudTrail 和 Amazon GuardDuty。 以下是 Log Analytics 中每個服務和對應資料表的查詢範例:
針對 Amazon GuardDuty 記錄:
AWSGuardDuty |其中嚴重性 > 7 | summarize count() by ActivityType
若為 Amazon 的[AMAZON][流量] 記錄:
AWSVPCFlow |where Action == “REJECT” |where Type == “Ipv4” |take 10
針對 AWS CloudTrail 記錄:
AWSCloudTrail |where EventName == “CreateUser” |summarize count() by AWSRegion
在 Microsoft Sentinel 中,您會使用 Amazon S3 活頁簿來分析更多詳細數據。
針對 AWS CloudTrail,您可以分析:
- 一段時間的數據流
- 帳戶標識碼
- 事件來源清單
針對 Amazon GuardDuty,您可以分析:
- 依地圖排序的 Amazon GuardDuty
- 依區域排序的 Amazon GuardDuty
- 依 IP 的 Amazon GuardDuty
F. 使用 Microsoft Sentinel 內建的偵測規則,在您的環境中建立和調查威脅偵測規則
既然您已將數據源連線至 Microsoft Sentinel,請使用 Microsoft Sentinels 內建偵測規則範本,協助您在環境中建立和調查威脅偵測規則。 Microsoft Sentinel 提供現成的內建範本,可協助您建立威脅偵測規則。
Microsoft 的安全性專家和分析師小組會根據已知威脅、常見的攻擊媒介和可疑的活動呈報鏈結來設計規則範本。 從這些範本建立的規則會自動在您的環境中搜尋任何看起來可疑的活動。 您可根據需求自訂許多範本來搜尋活動,或將其篩選剔除。 這些規則所產生的警示會建立您可以在環境中指派和調查的事件。
如需詳細資訊,請參閱 使用 Microsoft Sentinel 中的內建分析規則偵測威脅。
步驟 3:改善整體安全性狀態
在本節中,您將瞭解 Microsoft Entra 權限管理 如何協助您監視未使用和過度的許可權。 逐步解說如何設定、上線和檢視重要數據。 零信任 使用最低許可權存取原則是透過管理、控制及監視資源的存取權來達成。
| 步驟 | Task |
|---|---|
| A | 設定許可權管理和 Privileged Identity Management。 |
| B | 將 AWS 帳戶上線。 |
| C | 檢視索引鍵統計數據和數據。 |
設定許可權管理
許可權管理是雲端基礎結構權利管理 (CIEM) 解決方案,可偵測、自動調整大小,並持續監視多雲端基礎結構中未使用和過多的許可權。
許可權管理藉由增強使用最低許可權存取原則來加深 零信任 安全性策略,讓客戶能夠:
- 取得完整的可見度:探索身分識別正在執行的作業內容、位置和時機。
- 自動化最低許可權存取:使用存取分析來確保身分識別在正確的時間具有正確的許可權。
- 跨 IaaS 平台統一存取原則:跨雲端基礎結構實作一致的安全策略。
許可權管理提供 AWS 和 Azure 的重要統計數據和數據摘要。 數據報含與可避免風險相關的計量。 這些計量可讓許可權管理系統管理員識別與 零信任 使用最低許可權存取原則相關的風險可降低的領域。
數據可以送入 Microsoft Sentinel,以進行進一步分析和自動化。
若要實作工作,請參閱:
- A. 在您的組織中啟用許可權管理
- B. 在許可權管理上將 AWS 帳戶上架
- C. 檢視索引鍵統計數據和數據
步驟 4:保護基礎結構即程序代碼
本節涵蓋DevSecOps的重要要素、掃描和保護基礎結構即程序代碼。 針對基礎結構即程式代碼,安全性和 DevOps 小組應監視可能導致基礎結構部署弱點的錯誤設定。
藉由在 Azure Resource Manager(ARM)、Bicep 或 Terraform 範本上實作持續檢查,即可在開發初期防止缺口和惡意探索,而其修正成本較低。 您也想要在 Microsoft Entra ID 和 DevOps 工具之間,嚴格控制系統管理員和服務帳戶群組。
您可以透過下列方式實作 零信任 使用最低許可權存取原則:
- 使用最低許可權的身分識別存取和網路設定,對基礎結構組態進行健全的檢閱。
- 將使用者角色型訪問控制 (RBAC) 指派給存放庫層級、小組層級或組織層級的資源。
先決條件:
- 程序代碼存放庫位於 Azure DevOps 或 GitHub 中
- 管線裝載在 Azure DevOps 或 GitHub 中
| 步驟 | Task |
|---|---|
| A | 啟用基礎結構即程序代碼的 DevSecOps(IaC)。 |
| B | 實作 RBAC for DevOps 工具。 |
| C | 啟用 GitHub 進階安全性。 |
| D | 檢視程式代碼和秘密掃描結果。 |
A. 啟用 IaC 的 DevSecOps
適用於 DevOps 的 Defender 可讓您查看多管線環境的安全性狀態,不論您的程式代碼和管線是否位於 Azure DevOps 或 GitHub 中。 其有實作單一窗格的額外優點,其中安全性和 DevOps 小組可以在單一儀錶板中查看其所有存放庫的掃描結果,並設定提取要求程式來補救任何問題。
如需詳細資訊,請參閱
B. 實作 RBAC for DevOps 工具
您必須管理及實作小組的健全 治理 做法,例如角色型訪問控制許可權。 如果此模型未針對 DevOps 自動化進行鏡像,您的組織可能會讓安全性後門保持開啟。 請考慮開發人員無法透過ARM範本存取的範例。 開發人員可能仍有足夠許可權可變更應用程式程式代碼或基礎結構即程序代碼,並觸發自動化工作流程。 開發人員可以透過 DevOps 間接存取並對您的 ARM 範本進行破壞性變更。
當您為基礎結構部署部署雲端式解決方案時,安全性應該一律是您最重要的考慮。 Microsoft 會保護基礎雲端基礎結構的安全。 您可以在 Azure DevOps 或 GitHub 中設定安全性。
若要設定安全性:
- 在 Azure DevOps 中,您可以使用組織 / 集合、專案或物件層級的安全組、原則和設定。
- 在 GitHub 中,您可以將存放庫層級、小組層級或組織層級的角色授與使用者對資源的存取權。
C. 啟用 GitHub 進階安全性
若要主動保護環境,請務必持續監視並強化DevOps安全性。 GitHub 進階安全性會將管線中的檢查自動化,以尋找公開的秘密、相依性弱點等等。 GitHub 可讓客戶在進階安全性授權下使用額外的安全性功能。
根據預設,GitHub 進階安全性會針對公用存放庫啟用。 針對私人存放庫,您必須使用 GitHub 進階安全性授權。 啟用之後,您就可以開始使用 GitHub 進階安全性套件隨附的許多功能:
- 程式碼掃描
- 相依性掃描
- 祕密掃描
- 存取控制
- 弱點警示
- 稽核記錄
- 分支保護規則
- 提取要求檢閱
透過這些功能,您可以確保程序代碼安全且符合業界標準。 您也可以建立自動化工作流程,協助您快速偵測並解決程式代碼中的任何安全性問題。 此外,您可以使用分支保護規則來防止未經授權的程式代碼基底變更。
如需詳細資訊,請參閱 啟用 GitHub 進階安全性。
D. 檢視程式代碼和秘密掃描結果
適用於 DevOps 的 Defender 是 適用於雲端的 Defender 中可用的服務,可讓安全性小組跨多管線環境管理 DevOps 安全性。 適用於 DevOps 的 Defender 使用中央主控台,讓安全性小組能夠跨多管線環境來保護從程式碼到雲端的應用程式和資源,例如 GitHub 和 Azure DevOps。
適用於 DevOps 的 Defender 會將安全性結果公開為提取要求 (PR) 中的註釋。 安全性操作員可以在 適用於雲端的 Microsoft Defender 中啟用PR批注。 開發人員可以解決公開的問題。 此程式可以在進入生產階段之前,防止並修正潛在的安全性弱點和設定錯誤。 您可以在 Azure DevOps 中設定 PR 批注。 如果您是 GitHub 進階安全性客戶,您可以在 GitHub 中取得 PR 批注。
如需詳細資訊,請參閱
- 設定 Microsoft Security DevOps GitHub 動作
- 設定 Microsoft Security DevOps Azure DevOps 擴充功能
- 在 GitHub 和 Azure DevOps 中啟用提取要求批注
下一步
深入瞭解本文所討論的 Azure 服務:
深入瞭解本文所討論的 AWS 和 Amazon 服務和資源:
- Amazon Elastic Compute Cloud (Amazon EC2)
- AWS CloudTrail
- Amazon Virtual Private Cloud (Amazon IMF)
- Amazon GuardDuty
- Amazon Simple 儲存體 Service (Amazon S3)
- Amazon Simple Queue Service (SQS)
- AWS 身分識別與存取管理 (IAM)
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應