이 페이지에서는 Azure DevOps 환경을 클라우드용 Microsoft Defender에 연결하고 Azure DevOps 리포지토리를 자동으로 검색하는 단순한 온보딩 환경을 제공합니다.
Azure DevOps 환경을 클라우드용 Defender에 연결하면 클라우드용 Defender의 보안 기능을 Azure DevOps 리소스로 확장하고 보안 태세를 개선할 수 있습니다. 자세히알아보세요.
필수 조건
이 빠른 시작을 완료하려면 다음이 필요합니다.
- Defender for Cloud가 온보딩된 Azure 계정. 아직 Azure 계정이 없다면 무료로 계정을 만듭니다.
- 클라우드용 Defender가 수행하는 API 호출은 Azure DevOps 전역 사용량 제한에 포함됩니다.
- 클라우드용 Defender의 DevOps 보안에 대한 일반적인 질문을 검토합니다.
중요합니다
클라우드용 Defender는 커넥터(선택한 사용자 또는 서비스 계정)에 권한을 부여하는 ID를 사용하여 Azure DevOps에서 작업을 수행합니다. 리포지토리 읽기, 끌어오기 요청 주석 및 빌드 메타데이터 쿼리와 같은 활동은 Azure DevOps 감사 로그, 사용량 대시보드 및 PR 타임라인의 해당 ID에 따라 달라집니다. 혼동을 방지하고 연속성을 보장하려면 개인 계정 대신 필요한 최소 권한으로 전용 서비스 계정(예: MDC-DevOps-Connector)을 사용하는 것이 좋습니다.
가용도
| 측면 | 세부 정보 |
|---|---|
| 릴리스 상태: | 일반 공급. |
| 가격 책정: | 가격 책정은 클라우드용 Defender 가격 책정 페이지를 참조하세요. Defender for Cloud 비용 계산기를 사용하여 비용을 예측할 수도 있습니다. |
| 필요한 권한 |
-
Azure 구독에 대한 커넥터를 만드는 기여자입니다. - Azure DevOps 조직의 프로젝트 수집 관리자입니다. - Azure DevOps 조직의 기본 또는 기본 + 테스트 계획 액세스 수준입니다. 온보딩하려는 모든 Azure DevOps 조직에 대해 프로젝트 컬렉션 관리자 권한과 기본 액세스 수준이 모두 있는지 확인합니다. 관련자 액세스 수준이 충분하지 않습니다. OAuth를 통한 타사 애플리케이션 액세스(Azure DevOps 조직에서 On으로 설정되어야 함)
OAuth 및 조직에서 OAuth를 사용하도록 설정하는 방법에 대해 자세히 알아봅니다. |
| 지역 및 가용성: | 지역 지원 및 기능 사용 가능 여부는 지원 및 필수 조건 섹션을 참조하세요. |
| 구름: |
상업용
상업용
국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure) |
비고
DevOps 보안 태세 평가의 읽기 권한을 위해 구독 수준에서 높은 권한을 설정하지 않도록 리소스 그룹/Azure DevOps 커넥터 범위에 보안 읽기 권한자 역할을 적용할 수 있습니다.
비고
Azure DevOps 커넥터는 리소스 유형에 Microsoft.Security/securityConnectors 따라 만들어집니다.
또한 Defender for DevOps는 리소스 공급자(예: 보안 평가)에서 Microsoft.Security 추가 리소스를 사용합니다.
테넌트 수준 정책 예외를 사용하는 거버넌스 시나리오의 경우 Microsoft.Security/*으로 예외 범위를 지정하여 Defender for DevOps의 전체 기능을 보장합니다.
Azure DevOps 조직 연결
비고
Azure DevOps를 클라우드용 Defender에 연결하면 DevOps용 Microsoft Defender 컨테이너 매핑 확장이 자동으로 공유되어 연결된 모든 Azure DevOps 조직에 설치됩니다. 이 확장을 통해 클라우드용 Defender는 파이프라인에서 컨테이너의 다이제스트 ID 및 이름과 같은 메타데이터를 추출할 수 있습니다. 이 메타데이터는 DevOps 엔터티를 관련 클라우드 리소스와 연결하는 데 사용됩니다. 컨테이너 매핑에 대해 자세히 알아봅니다.
네이티브 커넥터를 사용하여 Azure DevOps 조직을 클라우드용 Defender에 연결하려면 다음을 수행합니다.
Azure Portal에 로그인합니다.
클라우드용 Microsoft Defender 환경 설정>로 이동합니다.
환경 추가를 선택합니다.
Azure DevOps를 선택합니다.
이름, 구독, 리소스 그룹 및 지역을 입력합니다.
구독은 클라우드용 Microsoft Defender가 Azure DevOps 연결을 만들고 저장하는 위치입니다.
다음: 액세스 구성을 선택합니다.
권한 부여를 선택합니다. Azure DevOps의 드롭다운 메뉴를 사용하고 클라우드용 Defender에서 올바른 Azure 테넌트에 있는지 확인하여 올바른 Azure 테넌트를 권한 부여하고 있는지 확인합니다.
팝업 대화 상자에서 권한 요청 목록을 읽은 다음 수락을 선택합니다.
조직의 경우 다음 옵션 중 하나를 선택합니다.
- 현재 프로젝트 컬렉션 관리자로 있는 조직의 모든 프로젝트와 리포지토리를 자동 발견하려면 모든 기존 조직을 선택합니다.
- 사용자가 프로젝트 컬렉션 관리자로 있는 모든 현재 및 향후 조직의 모든 프로젝트와 리포지토리를 자동 발견하려면 모든 기존 및 향후 조직을 선택합니다.
비고
각 Azure DevOps 조직에 대해 OAuth를 통한 타사 애플리케이션 액세스를
On으로 설정해야 합니다. OAuth 및 조직에서 OAuth를 사용하도록 설정하는 방법에 대해 자세히 알아봅니다.Azure DevOps 리포지토리는 추가 비용 없이 온보딩되므로 클라우드용 Defender가 전체 DevOps 에코시스템에서 보안 태세를 종합적으로 평가하고 보안 위협에 대응할 수 있도록 조직 전체에 자동 검색이 적용됩니다. 나중에 클라우드용 Microsoft Defender>환경 설정을 통해 조직을 수동으로 추가하고 제거할 수 있습니다.
다음: 검토 및 생성을 선택합니다.
정보를 검토한 후 만들기를 선택합니다.
비고
클라우드용 Defender에서 고급 DevOps 상태 기능의 적절한 기능을 보장하기 위해 Azure DevOps 조직의 인스턴스 하나만 커넥터를 만들고 있는 Azure 테넌트에 온보딩할 수 있습니다.
성공적으로 온보딩하면 DevOps 리소스(예: 리포지토리, 빌드)가 인벤토리 및 DevOps 보안 페이지에 표시됩니다. 리소스가 표시되는 데 최대 8시간이 걸릴 수 있습니다. 보안 검사 권장 사항에는 파이프라인을 구성하기 위한 추가 단계가 필요할 수 있습니다. 보안 결과의 새로 고침 간격은 권장 사항에 따라 다르며 세부 정보는 권장 사항 페이지에서 확인할 수 있습니다.
클라우드용 Defender에서 ID를 사용하는 방법
연결 권한을 부여한 후 클라우드용 Defender는 커넥터를 만든 계정의 권한을 사용하여 Azure DevOps에서 작업을 실행합니다.
리포지토리 인벤토리, 빌드 메타데이터 읽기, 끌어오기 요청 주석 및 에이전트 없는 코드 검색과 같은 작업은 모두 해당 ID에서 실행됩니다. 에이전트 없는 코드스캔은 분석을 위한 코드 및 코드형 인프라 정의를 검색하며, 해당 API 호출은 ID의 사용 할당량에 대해서도 계산됩니다.
Azure DevOps에서 이러한 작업은 해당 계정에서 수행된 것처럼 표시되며 감사 로그, 사용량 대시보드 및 PR 타임라인에 표시됩니다.
권한 부여 계정이 제거되거나 액세스가 끊어지면 커넥터에 다시 권한이 부여될 때까지 자동화된 작업이 중지됩니다.
비고
클라우드용 Defender API 호출은 커넥터에 권한을 부여한 ID에 대한 Azure DevOps 전역 사용량 제한에 포함됩니다. 클라우드용 Defender는 제한을 초과하지 않도록 API 사용량을 신중하게 관리하며 대부분의 고객은 제한을 경험하지 않습니다.
다음 단계
클라우드용 Defender의 DevOps 보안에 대해 자세히 알아봅니다.
에이전트 없는 코드스캔을 탐색하여 파이프라인 변경 또는 에이전트 없이 리포지토리 전체에서 코드 및 IaC 취약성을 검색하고 결과를 클라우드용 Defender에 직접 표시합니다.