Compartilhar via

Mapear a infraestrutura como modelos de código para recursos de nuvem

Mapear modelos de IaC (Infraestrutura como Código) para recursos de nuvem ajuda a garantir o provisionamento de infraestrutura consistente, seguro e auditável. Ele dá suporte à resposta rápida a ameaças à segurança e a uma abordagem de segurança por design. Você pode usar o mapeamento para descobrir configurações incorretas em recursos de runtime. Em seguida, corrija no nível do modelo para ajudar a garantir que não haja descompasso e facilitar a implantação por meio da metodologia de CI/CD.

Pré-requisitos

Para definir o Microsoft Defender para Nuvem para mapear modelos de IaC para recursos de nuvem, você precisa:

  • Uma conta do Azure com o Defender para Nuvem configurado. Caso você ainda não tenha uma conta do Azure, crie uma conta gratuitamente.

  • Um ambiente do Azure DevOps configurado no Defender para Nuvem.

  • Gerenciamento de Postura de Segurança na Nuvem do Defender (CSPM) está habilitado.

  • O Azure Pipelines está configurado para executar a extensão Microsoft Security DevOps Azure DevOps com a ferramenta IaCFileScanner em execução.

  • Modelos de IaC e recursos de nuvem configurados com suporte a tags. Você pode usar ferramentas de software livre como Yor_trace para marcar automaticamente modelos IaC. Os valores de marca precisam ser GUIDs exclusivos.

  • Plataformas de nuvem com suporte: Microsoft Azure, Amazon Web Services, Google Cloud Platform

    • Sistemas de gerenciamento de código-fonte com suporte: Azure DevOps
    • Linguagens de modelo com suporte: Azure Resource Manager, Bicep, CloudFormation, Terraform

Observação

O Microsoft Defender para Nuvem usa apenas as seguintes marcas de modelos de IaC para mapeamento:

  • yor_trace
  • mapping_tag

Consulte o mapeamento entre seu modelo de IaC e seus recursos de nuvem

Para ver o mapeamento entre o modelo de IaC e os recursos de nuvem no Cloud Security Explorer:

  1. Entre no portal do Azure.

  2. Acesse Microsoft Defender para Nuvem>Cloud Security Explorer.

  3. No menu suspenso, pesquise e selecione todos os seus recursos de nuvem.

  4. Para adicionar mais filtros à consulta, selecione +.

  5. Na categoria Identidade &Acesso , adicione o subfiltro Provisionado por.

  6. Na categoria DevOps , selecione repositórios de código.

  7. Depois de criar sua consulta, selecione Pesquisar para executar a consulta.

Como alternativa, selecione o modelo interno Recursos de nuvem provisionados por modelos de IaC com configurações incorretas de alta severidade.

Captura de tela que mostra o modelo de mapeamento de IaC do Cloud Security Explorer.

Observação

O mapeamento entre seus modelos de IaC e seus recursos de nuvem pode levar até 12 horas para aparecer no Cloud Security Explorer.

(Opcional) Criar marcas de mapeamento IaC de exemplo

Para criar marcas de mapeamento de IaC de exemplo em seus repositórios de código:

  1. No seu repositório, adicione um modelo de IaC que inclua etiquetas.

    Você pode começar com um modelo de exemplo.

  2. Para confirmar diretamente no branch principal ou criar um novo branch para essa confirmação, selecione Salvar.

  3. Confirme se você incluiu a tarefa DevOps de Segurança da Microsoft no pipeline do Azure.

  4. Verifique se os logs de pipeline mostram uma detecção que diz que uma ou mais tags IaC foram encontradas neste recurso. A descoberta indica que o Defender for Cloud descobriu com êxito as tags.

Conteúdo relacionado

  • Last updated on