Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le mappage des modèles d’infrastructure en tant que code (IaC) aux ressources cloud vous permet de garantir un provisionnement d’infrastructure cohérent, sécurisé et auditable. Il prend en charge la réponse rapide aux menaces de sécurité et une approche de sécurité par conception. Vous pouvez utiliser le mappage pour découvrir des configurations incorrectes dans les ressources d’exécution. Ensuite, corrigez au niveau du modèle pour vous aider à garantir aucune dérive et à faciliter le déploiement via la méthodologie CI/CD.
Conditions préalables
Pour définir Microsoft Defender pour cloud pour mapper des modèles IaC aux ressources cloud, vous avez besoin des éléments suivants :
Un compte Azure avec Defender pour Cloud configuré. Si vous n’avez pas encore de compte Azure, créez-en un gratuitement.
Un environnement Azure DevOps configuré dans Defender pour cloud.
Azure Pipelines est configuré pour exécuter l’extension Microsoft Security DevOps Azure DevOps avec l’outil IaCFileScanner en cours d’exécution.
Les modèles IaC et les ressources cloud sont configurés avec une prise en charge de balises. Vous pouvez utiliser des outils open source comme Yor_trace pour baliser automatiquement les modèles IaC. Les valeurs de balise doivent être des GUID uniques.
Plateformes cloud prises en charge : Microsoft Azure, Amazon Web Services, Google Cloud Platform
- Systèmes de gestion du code source pris en charge : Azure DevOps
- Langages de modèle pris en charge : Azure Resource Manager, Bicep, CloudFormation, Terraform
Remarque
Microsoft Defender pour Cloud utilise uniquement les balises suivantes à partir de modèles IaC pour le mappage :
yor_tracemapping_tag
Voir le mappage entre votre modèle IaC et vos ressources cloud
Pour afficher le mappage entre votre modèle IaC et vos ressources cloud dans Cloud Security Explorer :
Connectez-vous au portail Azure.
Accédez à Microsoft Defender for Cloud>Cloud Security Explorer.
Dans le menu déroulant, recherchez et sélectionnez toutes vos ressources cloud.
Pour ajouter d’autres filtres à votre requête, sélectionnez +.
Dans la catégorie Identity &Access , ajoutez le sous-filtre provisionné par.
Dans la catégorie DevOps , sélectionnez Référentiels de code.
Après avoir généré votre requête, sélectionnez Rechercher pour exécuter la requête.
Vous pouvez également sélectionner le modèle intégré Ressources cloud provisionnées par des modèles IaC avec des erreurs de configuration de gravité élevée.
Remarque
Le mappage entre vos modèles IaC et vos ressources cloud peut prendre jusqu’à 12 heures pour apparaître dans Cloud Security Explorer.
(Facultatif) Créer des exemples de balises de mappage IaC
Pour créer des exemples de balises de mappage IaC dans vos référentiels de code :
Dans votre référentiel, ajoutez un modèle IaC qui inclut des balises.
Vous pouvez commencer par un exemple de modèle.
Pour valider directement dans la branche principale ou créer une branche pour cette validation, sélectionnez Enregistrer.
Vérifiez que vous avez inclus la tâche Microsoft Security DevOps dans votre pipeline Azure.
Vérifiez que les journaux de pipeline affichent un résultat indiquant qu’une ou plusieurs balises IaC ont été trouvées sur cette ressource. La recherche indique que Defender pour Cloud a détecté les balises.
Contenu connexe
- Découvrez plus en détail la sécurité DevOps dans Defender for Cloud.