Udostępnij za pośrednictwem

Mapuj infrastrukturę jako szablony kodu na zasoby w chmurze

  • Artykuł

Szablony mapowania infrastruktury jako kodu (IaC) na zasoby w chmurze pomagają zapewnić spójną, bezpieczną i inspekcję aprowizacji infrastruktury. Obsługuje szybkie reagowanie na zagrożenia bezpieczeństwa i podejście do zabezpieczeń według projektu. Mapowanie służy do odnajdywania błędów konfiguracji w zasobach środowiska uruchomieniowego. Następnie koryguj na poziomie szablonu, aby zapewnić brak dryfu i ułatwić wdrażanie za pośrednictwem metodologii ciągłej integracji/ciągłego wdrażania.

Wymagania wstępne

Aby ustawić Microsoft Defender dla Chmury mapować szablony IaC na zasoby w chmurze, potrzebne są następujące elementy:

  • Konto platformy Azure ze skonfigurowanym Defender dla Chmury. Jeśli nie masz jeszcze konta platformy Azure, utwórz je bezpłatnie.
  • Środowisko usługi Azure DevOps skonfigurowane w Defender dla Chmury.
  • Włączono zarządzanie stanem zabezpieczeń w chmurze (CSPM).
  • Usługa Azure Pipelines skonfigurowana do uruchamiania rozszerzenia Azure DevOps usługi Microsoft Security DevOps.
  • Szablony IaC i zasoby w chmurze skonfigurowane z obsługą tagów. Aby automatycznie tagować szablony IaC, można użyć narzędzi typu open source, takich jak Yor_trace .
    • Obsługiwane platformy w chmurze: Microsoft Azure, Amazon Web Services, Google Cloud Platform
    • Obsługiwane systemy zarządzania kodem źródłowym: Azure DevOps
    • Obsługiwane języki szablonów: Azure Resource Manager, Bicep, CloudFormation, Terraform

Uwaga

Microsoft Defender dla Chmury używa tylko następujących tagów z szablonów IaC do mapowania:

  • yor_trace
  • mapping_tag

Zobacz mapowanie między szablonem IaC i zasobami w chmurze

Aby wyświetlić mapowanie między szablonem IaC i zasobami w chmurze w usłudze Cloud Security Explorer:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Microsoft Defender dla Chmury> Cloud Security Explorer.

  3. W menu rozwijanym wyszukaj i wybierz wszystkie zasoby w chmurze.

  4. Aby dodać więcej filtrów do zapytania, wybierz pozycję +.

  5. W kategorii Tożsamość i dostęp dodaj filtr aprowizowany przez.

  6. W kategorii DevOps wybierz pozycję Repozytoria kodu.

  7. Po utworzeniu zapytania wybierz pozycję Wyszukaj , aby uruchomić zapytanie.

Alternatywnie wybierz wbudowany szablon Zasoby w chmurze aprowidowane przez szablony IaC z błędną konfiguracją o wysokiej ważności.

Screenshot that shows the IaC mapping Cloud Security Explorer template.

Uwaga

Mapowanie między szablonami IaC i zasobami w chmurze może potrwać do 12 godzin w Eksploratorze zabezpieczeń chmury.

(Opcjonalnie) Tworzenie przykładowych tagów mapowania IaC

Aby utworzyć przykładowe tagi mapowania IaC w repozytoriach kodu:

  1. W repozytorium dodaj szablon IaC zawierający tagi.

    Możesz zacząć od przykładowego szablonu.

  2. Aby zatwierdzić bezpośrednio w gałęzi głównej lub utworzyć nową gałąź dla tego zatwierdzenia, wybierz pozycję Zapisz.

  3. Upewnij się, że w potoku platformy Azure dołączono zadanie DevOps zabezpieczeń firmy Microsoft.

  4. Sprawdź, czy w dziennikach potoku jest wyświetlane stwierdzenie, że w tym zasobie znaleziono tagi IaC. Odkrycie wskazuje, że Defender dla Chmury pomyślnie odnalezione tagi.

Powiązana zawartość