Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Zuordnung von Infrastruktur als Codevorlagen (IaC) zu Cloudressourcen hilft Ihnen, eine konsistente, sichere und auditierbare Infrastrukturbereitstellung sicherzustellen. Sie unterstützt eine schnelle Reaktion auf Sicherheitsbedrohungen und einen Ansatz nach dem Prinzip 'Security by Design'. Sie können die Zuordnung verwenden, um Fehlkonfigurationen in Laufzeitressourcen zu ermitteln. Korrigieren Sie dann auf Vorlagenebene, um sicherzustellen, dass keine Abweichung auftritt, und um die Bereitstellung über die CI/CD-Methodik zu unterstützen.
Voraussetzungen
Um Microsoft Defender für Cloud so festzulegen, dass IaC-Vorlagen Cloudressourcen zugeordnet werden, benötigen Sie Folgendes:
Ein Azure-Konto, bei dem Defender für Cloud konfiguriert ist. Wenn Sie noch kein Azure-Konto besitzen, erstellen Sie ein kostenloses Konto.
Eine Azure DevOps-Umgebung , die in Defender für Cloud eingerichtet ist.
Defender Cloud Security Posture Management (CSPM) aktiviert.
Azure-Pipelines-Setup zum Ausführen der Microsoft Security DevOps Azure DevOps-Erweiterung mit dem IaCFileScanner-Tool, das ausgeführt wird.
IaC-Vorlagen und Cloudressourcen, die mit Etikettenunterstützung eingerichtet wurden. Sie können Open-Source-Tools wie Yor_trace verwenden, um IaC-Vorlagen automatisch zu markieren. Tagwerte müssen eindeutige GUIDs sein.
Unterstützte Cloudplattformen: Microsoft Azure, Amazon Web Services, Google Cloud Platform
- Unterstützte Quellcodeverwaltungssysteme: Azure DevOps
- Unterstützte Vorlagensprachen: Azure Resource Manager, Bicep, CloudFormation, Terraform
Hinweis
Microsoft Defender für Cloud verwendet nur die folgenden Tags aus IaC-Vorlagen für die Zuordnung:
yor_tracemapping_tag
Anzeigen der Zuordnung zwischen Ihrer IaC-Vorlage und Ihren Cloudressourcen
So zeigen Sie die Zuordnung zwischen Ihrer IaC-Vorlage und Ihren Cloudressourcen im Cloud Security Explorer an:
Melden Sie sich beim Azure-Portal an.
Navigieren Sie zu Microsoft Defender for Cloud>Cloudsicherheits-Explorer.
Suchen Sie im Dropdownmenü nach allen Cloudressourcen, und wählen Sie sie aus.
Wenn Sie Ihrer Abfrage weitere Filter hinzufügen möchten, wählen Sie +. aus.
Fügen Sie in der Kategorie "Identität und Zugriff " den unterfilter "Bereitgestellt von" hinzu.
Wählen Sie in der Kategorie "DevOps " die Option "Coderepositorys" aus.
Nachdem Sie Die Abfrage erstellt haben, wählen Sie "Suchen" aus, um die Abfrage auszuführen.
Alternativ können Sie die integrierte Vorlage Cloudressourcen bereitgestellt durch IaC-Vorlagen mit schwerwiegenden Fehlkonfigurationen auswählen.
Hinweis
Die Zuordnung zwischen Ihren IaC-Vorlagen und Ihren Cloudressourcen kann bis zu 12 Stunden dauern, bis sie im Cloud Security Explorer angezeigt werden.
(Optional) Erstellen von Beispieltags für die IaC-Zuordnung
So erstellen Sie Beispiel-IaC-Zuordnungstags in Ihren Coderepositorys:
Fügen Sie in Ihrem Repository eine IaC-Vorlage hinzu, die Tags enthält.
Sie können mit einer Beispielvorlage beginnen.
Um den Commit direkt im Mainbranch auszuführen, oder einen neuen Branch für diesen Commit zu erstellen, wählen Sie Speichern aus.
Vergewissern Sie sich, dass Sie die Microsoft Security DevOps-Aufgabe in Ihre Azure-Pipeline aufgenommen haben.
Stellen Sie sicher, dass die Pipelineprotokolle eine Feststellung anzeigen, die besagt, dass ein IaC-Tag auf dieser Ressource gefunden wurde. Das Ergebnis zeigt, dass Defender für Cloud erfolgreich Tags entdeckt hat.
Verwandte Inhalte
- Erfahren Sie mehr über DevOps-Sicherheit in Defender for Cloud.