Sdílet prostřednictvím

Mapování infrastruktury jako šablon kódu na cloudové prostředky

  • Článek

Mapování šablon infrastruktury jako kódu (IaC) na cloudové prostředky pomáhá zajistit konzistentní, zabezpečené a auditovatelné zřizování infrastruktury. Podporuje rychlou reakci na bezpečnostní hrozby a přístup založený na zabezpečení podle návrhu. Mapování můžete použít ke zjišťování chybných konfigurací v prostředcích modulu runtime. Pak na úrovni šablony opravte, abyste zajistili žádný posun a usnadnili nasazení prostřednictvím metodologie CI/CD.

Požadavky

Pokud chcete nastavit Microsoft Defender for Cloud pro mapování šablon IaC na cloudové prostředky, potřebujete:

  • Účet Azure s nakonfigurovaným defenderem pro cloud Pokud ještě nemáte účet Azure, vytvořte si ho zdarma.
  • Prostředí Azure DevOps nastavené v defenderu pro cloud
  • Je povolená správa stavu cloudového zabezpečení v defenderu (CSPM).
  • Služba Azure Pipelines je nastavená tak, aby spouštěla rozšíření Microsoft Security DevOps Azure DevOps.
  • Šablony IaC a cloudové prostředky nastavené s podporou značek K automatickému označování šablon IaC můžete použít opensourcové nástroje, jako je Yor_trace .
    • Podporované cloudové platformy: Microsoft Azure, Amazon Web Services, Google Cloud Platform
    • Podporované systémy správy zdrojového kódu: Azure DevOps
    • Podporované jazyky šablon: Azure Resource Manager, Bicep, CloudFormation, Terraform

Poznámka:

Microsoft Defender for Cloud používá k mapování pouze následující značky ze šablon IaC:

  • yor_trace
  • mapping_tag

Zobrazení mapování mezi šablonou IaC a vašimi cloudovými prostředky

Pokud chcete zobrazit mapování mezi šablonou IaC a cloudovými prostředky v Průzkumníku zabezpečení cloudu:

  1. Přihlaste se k portálu Azure.

  2. Přejděte do Průzkumníka cloudových>zabezpečení v programu Microsoft Defender.

  3. V rozevírací nabídce vyhledejte a vyberte všechny vaše cloudové prostředky.

  4. Pokud chcete do dotazu přidat další filtry, vyberte +.

  5. V kategorii Identita a přístup přidejte podfiltr Zřízený podle.

  6. V kategorii DevOps vyberte úložiště kódu.

  7. Po sestavení dotazu vyberte Hledat a spusťte dotaz.

Alternativně vyberte předdefinované cloudové prostředky, které zřizují šablony IaC s vysokou chybnou konfigurací závažnosti.

Screenshot that shows the IaC mapping Cloud Security Explorer template.

Poznámka:

Mapování mezi šablonami IaC a vašimi cloudovými prostředky může trvat až 12 hodin, než se zobrazí v Průzkumníku zabezpečení cloudu.

(Volitelné) Vytvoření ukázkových značek mapování IaC

Vytvoření ukázkových značek mapování IaC v úložištích kódu:

  1. Do úložiště přidejte šablonu IaC, která obsahuje značky.

    Můžete začít ukázkovou šablonou.

  2. Chcete-li provést potvrzení přímo do hlavní větve nebo vytvořit novou větev pro toto potvrzení, vyberte Uložit.

  3. Ověřte, že jste do kanálu Azure zahrnuli úlohu Microsoft Security DevOps .

  4. Ověřte, že se v protokolech kanálu zobrazuje zjištění, že u tohoto prostředku byly nalezeny značky IaC. Hledání značí, že Defender for Cloud úspěšně zjistil značky.

Související obsah