Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het toewijzen van IaC-sjablonen (Infrastructure as Code) aan cloudresources helpt u bij het consistent, veilig en controleerbaar inrichten van infrastructuur. Het biedt ondersteuning voor snelle reacties op beveiligingsrisico's en een benadering van standaardbeveiliging. U kunt mapping gebruiken om foutconfiguraties in runtime-resources te detecteren. Herstel vervolgens op sjabloonniveau om ervoor te zorgen dat er geen drift is en om de implementatie te vergemakkelijken via CI/CD-methodologie.
Vereiste voorwaarden
Als u Microsoft Defender voor Cloud wilt instellen om IaC-sjablonen toe te wijzen aan cloudresources, hebt u het volgende nodig:
Een Azure-account met Defender for Cloud geconfigureerd. Als u nog geen Azure-account hebt, maakt u er gratis een.
Een Azure DevOps-omgeving die is ingesteld in Defender for Cloud.
Defender Cloud Security Posture Management (CSPM) ingeschakeld.
Azure Pipelines ingesteld om de Microsoft Security DevOps Azure DevOps-extensie uit te voeren met het IaCFileScanner-hulpprogramma actief.
IaC-sjablonen en cloudresources die zijn ingesteld met tagondersteuning. U kunt opensource-hulpprogramma's zoals Yor_trace gebruiken om automatisch IaC-sjablonen te taggen. Tagwaarden moeten unieke GUID's zijn.
Ondersteunde cloudplatforms: Microsoft Azure, Amazon Web Services, Google Cloud Platform
- Ondersteunde broncodebeheersystemen: Azure DevOps
- Ondersteunde talen voor sjablonen: Azure Resource Manager, Bicep, CloudFormation, Terraform
Opmerking
Microsoft Defender voor Cloud gebruikt alleen de volgende tags van IaC-sjablonen voor toewijzing:
yor_tracemapping_tag
Bekijk de toewijzing tussen uw IaC-sjabloon en uw cloudresources
Om de koppeling tussen uw IaC-sjabloon en uw cloudresources in Cloud Security Explorer te bekijken, volgt u deze stappen:
Meld u aan bij het Azure-portaal.
Ga naar Microsoft Defender voor Cloud> Cloud Security Explorer.
Zoek en selecteer al uw cloudresources in de vervolgkeuzelijst.
Als u meer filters wilt toevoegen aan uw query, selecteert u +.
Voeg in de categorie Identity & Access het subfilter toe dat is ingericht door.
Selecteer codeopslagplaatsen in de categorie DevOps.
Nadat u de query hebt gebouwd, selecteert u Zoeken om de query uit te voeren.
U kunt ook de ingebouwde sjabloon Cloud resources ingericht door IaC-sjablonen met configuratiefouten van hoge ernst selecteren.
Schermopname van de Cloud Security Explorer IaC-mapping-sjabloon.
Opmerking
Het kan tot 12 uur duren voordat de koppeling tussen uw IaC-sjablonen en uw cloudresources verschijnt in Cloud Security Explorer.
(Optioneel) Voorbeeld van IaC-toewijzingstags maken
Om voorbeeldtags voor IaC-toewijzing in uw codeopslagplaatsen te maken, moet u het volgende doen:
Voeg in uw opslagplaats een IaC-sjabloon toe die tags bevat.
U kunt beginnen met een voorbeeldsjabloon.
Als u rechtstreeks wilt doorvoeren naar de hoofdbranch of een nieuwe vertakking wilt maken voor deze doorvoering, selecteert u Opslaan.
Controleer of u de Microsoft Security DevOps-taak hebt opgenomen in uw Azure-pijplijn.
Controleer of in pijplijnlogboeken een bevinding wordt weergegeven met de mededeling dat er een IaC-tag(s) is gevonden op deze resource. De bevindingen geven aan dat Defender for Cloud tags heeft gedetecteerd.
Verwante inhoud
- Meer informatie over DevOps-beveiliging in Defender voor Cloud.