DevOps セキュリティのサポートと前提条件
クラウドとリージョンのサポート
DevOps のセキュリティは、次のリージョンの Azure 商用クラウドで利用できます:
- アジア (東アジア)
- オーストラリア (オーストラリア東部)
- カナダ (カナダ中部)
- ヨーロッパ (西ヨーロッパ、北ヨーロッパ、スウェーデン中部)
- 英国 (英国南部)
- 米国 (米国東部、米国中部)
DevOps プラットフォームのサポート
DevOps セキュリティでは現在、次の DevOps プラットフォームがサポートされています:
必要なアクセス許可
DevOps セキュリティには、次のアクセス許可が必要です:
| 特徴 | 権限 |
|---|---|
| DevOps 環境を Defender for Cloud に接続する | Azure: サブスクリプション共同作成者またはセキュリティ管理者Azure DevOps: ターゲット OrganizationGitHub のプロジェクト コレクション管理者: Organization OwnerGitLab: ターゲット グループのグループ所有者 |
| セキュリティの分析情報と結果を確認する | セキュリティリーダー |
| pull request 注釈を構成する | サブスクリプション共同作成者または所有者 |
| Azure DevOps に Microsoft Security DevOps 拡張機能をインストールする | Azure DevOps プロジェクト コレクション管理者 |
| GitHub に Microsoft Security DevOps アクションをインストールする | GitHub 書き込み |
セキュリティ閲覧者ロールをリソース グループまたはコネクタ スコープに適用して、DevOps のセキュリティ分析情報と結果の読み取りアクセスに対してサブスクリプション レベルに高い特権のアクセス許可を設定しないようにすることができます。
使用可能な機能
次の表は、サポートされている DevOps プラットフォーム内の各機能の可用性と前提条件をまとめたものです:
2024 年 3 月 7 日以降、セキュリティ エクスプローラーと攻撃パスを強化するコードからクラウドへのコンテキスト化や、コードとしてのインフラストラクチャのセキュリティ結果のプル要求注釈を含む、Premium DevOps セキュリティ機能を利用するには、テナント内の少なくとも 1 つのサブスクリプションまたはマルチクラウド コネクタで Defender CSPM を有効にする必要があります。 詳細については、以下を参照してください。
Azure DevOps
| 特徴 | 基本的な CSPM | Defender CSPM | 前提 条件 |
|---|---|---|---|
| Azure DevOps リポジトリを接続する |
![[はい] のアイコン。](../../wwl-azure/microsoft-defender-cloud-threat-protection/media/yes-icon-783bde2a-890cc500.png){kind=icon}
|
|
こちらを参照してください |
| コードの脆弱性を修正するためのセキュリティに関する推奨事項 |
|
|
CodeQL の結果に対する GitHub Advanced Security for Azure DevOps、Microsoft Security DevOps 拡張機能 |
| 公開されているシークレットを検出するためのセキュリティに関する推奨事項 |
|
|
Azure DevOps の GitHub Advanced Security |
| オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 |
|
|
Azure DevOps の GitHub Advanced Security |
| コード構成の誤りとしてインフラストラクチャを修正するためのセキュリティに関する推奨事項 |
|
|
Microsoft Security DevOps 拡張機能 |
| DevOps 環境の構成ミスを修正するためのセキュリティに関する推奨事項 |
|
|
なし |
| pull request の注釈 |
|
こちらを参照してください | |
|
コンテナーのコードからクラウドへのマッピング |
|
Microsoft Security DevOps 拡張機能 | |
| コードとしてのインフラストラクチャ テンプレートのコードからクラウドへのマッピング |
|
Microsoft Security DevOps 拡張機能 | |
| 攻撃パス分析 |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする | |
| クラウド セキュリティ エクスプローラー |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |
GitHub
| 特徴 | 基本的な CSPM | Defender CSPM | 前提 条件 |
|---|---|---|---|
| GitHub リポジトリを接続する |
|
|
こちらを参照してください |
| コードの脆弱性を修正するためのセキュリティに関する推奨事項 |
|
|
GitHub Advanced Security、 Microsoft Security DevOps アクション |
| 公開されているシークレットを検出するためのセキュリティに関する推奨事項 |
|
|
GitHub Advanced Security |
| オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 |
|
|
GitHub Advanced Security |
| コード構成の誤りとしてインフラストラクチャを修正するためのセキュリティに関する推奨事項 |
|
|
GitHub Advanced Security、 Microsoft Security DevOps アクション |
| DevOps 環境の構成ミスを修正するためのセキュリティに関する推奨事項 |
|
|
なし |
| コンテナーのコードからクラウドへのマッピング |
|
Microsoft Security DevOps アクション | |
| コードとしてのインフラストラクチャ テンプレートのコードからクラウドへのマッピング |
|
Microsoft Security DevOps アクション | |
| 攻撃パス分析 |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする | |
| クラウド セキュリティ エクスプローラー |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |
GitLab
| 特徴 | 基本的な CSPM | Defender CSPM | 前提 条件 |
|---|---|---|---|
| GitLab プロジェクトを接続する |
|
|
こちらを参照してください |
| コードの脆弱性を修正するためのセキュリティに関する推奨事項 |
|
|
GitLab Ultimate |
| 公開されているシークレットを検出するためのセキュリティに関する推奨事項 |
|
|
GitLab Ultimate |
| オープン ソースの脆弱性を修正するためのセキュリティに関する推奨事項 |
|
|
GitLab Ultimate |
| コード構成の誤りとしてインフラストラクチャを修正するためのセキュリティに関する推奨事項 |
|
|
GitLab Ultimate |
| クラウド セキュリティ エクスプローラー |
|
DevOps コネクタと同じテナント内で、Azure サブスクリプション、AWS コネクタ、または GCP コネクタ上の Defender CSPM を有効にする |