مشاركة عبر

دمج Defender for Cloud CLI مع مسارات CI/CD

  • مقالة

Defender for Cloud Command Line Interface (CLI) هو تطبيق يمكنك استخدامه في البنية الأساسية لبرنامج ربط العمليات التجارية للتكامل المستمر والنشر المستمر (CI/CD). يقوم بتشغيل أدوات تحليل ثابتة ويربط التعليمات البرمجية بالخدمات السحابية. يمكنك استخدام Defender for Cloud CLI في أي عملية بناء لفحص الصور بحثا عن الثغرات الأمنية باستخدام الماسحات الضوئية الأمنية المضمنة. يرسل نتائج الفحص إلى مدخل Defender for Cloud. يمكن لمستكشف أمان السحابة بعد ذلك الوصول إلى صورة الحاوية ونقاط الضعف الخاصة بها.

المتطلبات الأساسية

  • اشتراك Azure مع إلحاق Defender for Cloud. إذا لم يكن لديك حساب Azure بالفعل، فبادر بإنشاء حساب مجانا.

  • واحدة من أدوات البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD التالية: Jenkins، BitBucket Pipelines، Google Cloud Build، Bamboo، CircleCI، Travis CI، TeamCity، خدمات Oracle DevOps، AWS CodeBuild

  • تم تمكين إدارة وضع الأمان السحابي في Defender.

  • إذن مسؤول الأمان لإنشاء معرف العميل والسر.

الإعداد

في الأقسام التالية، نشرح كيفية استرداد معرف العميل والأسرار، وتحديث البرنامج النصي لمسار CI/CD، وإضافة متغيرات البيئة إلى البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD.

استرداد الرمز المميز لواجهة برمجة التطبيقات

للسماح بتمرير بيانات الأمان من Defender for Cloud CLI إلى الواجهة الخلفية ل Defender for Cloud، يجب على مسؤول الأمان في Defender for Cloud أولا إنشاء مفتاح API من Defender for Cloud للمصادقة.

عند إنشاء الرموز المميزة، يحدد مسؤول الأمان نطاق اشتراك ليتم إقرانه بالرمز المميز. يتم تحديد نطاق البيانات التي يتم "دفعها" إلى Defender for Cloud من هذا الرمز المميز إلى الاشتراك المقترن بالرمز المميز. هذه الرموز المميزة لواجهة برمجة التطبيقات غير قابلة للتغيير ولا يمكن إنشاؤها/حذفها إلا.

من هناك، يجب على مسؤول الأمان تمرير الرمز المميز بشكل آمن إلى المطورين لإضافته إلى البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD.

  1. قم بتسجيل الدخول إلى بوابة Azure.

  2. انتقل إلى Microsoft Defender for Cloud>Management>Environment Settings Integrations.>

    لقطة شاشة لإعدادات بيئة التكامل في Defender for Cloud.

  3. حدد Add integration ثم حدد DevOps Ingestion.

    لقطة شاشة لخيار استيعاب DevOps الجديد.

  4. أدخل اسما وصفيا للرمز المميز، يخزن المستأجر المحدد معلومات الرمز المميز. يتم إنشاء سر العميل عند إدخال وصف للسر وتاريخ انتهاء الصلاحية.

    لقطة شاشة لإضافة تكامل استيعاب DevOps.

  5. تمكين الرمز المميز في التكوين وإنشاء الرموز المميزة.

    لقطة شاشة لإنشاء استيعاب DevOps وإنشاء الرموز المميزة.

  6. انسخ كل رمز مميز. لا يمكن تحريرها أو استردادها بعد تحديد موافق.

    لقطة شاشة لاستيعاب DevOps الناجح الذي تم إنشاؤه.

  7. في جدول التكاملات، يتم عرض الاستيعاب الجديد.

    لقطة شاشة لجدول DevOps Integrations مع استيعاب جديد.

تحديث البرنامج النصي للبنية الأساسية لبرنامج ربط العمليات التجارية CI/CD

تحتوي كل أداة تدفق CI/CD على بناء جملة مختلف. هذه التعليمة البرمجية هي مثال على مسار Bitbucket:

image: atlassian/default-image:3
 
pipelines:
  default:
    - parallel:
      - step:
          name: 'MSDO trivy test'
          script:
            - curl -L -o ./msdo_linux.zip https://www.nuget.org/api/v2/package/Microsoft.Security.DevOps.Cli.linux-x64/
            - unzip ./msdo_linux.zip
            - chmod +x tools/guardian
            - chmod +x tools/Microsoft.Guardian.Cli
            - ls -lah .
            - tools/guardian init --force
            - tools/guardian run -t trivy --export-file ./ubuntu-test.sarif --publish-file-folder-path ./ubuntu-test.sarif

متغيرات البنية الأساسية لبرنامج ربط العمليات التجارية

بعد تلقي الرموز المميزة بشكل آمن، يجب على المطور تكوين متغير بيئة للمفتاح. يتم تمرير متغير البيئة إلى CLI من خلال البرنامج النصي shell الذي يمكن أن يتلقاه المطور من curl أو نسخ البرنامج النصي shell يدويا إلى مستودعهم.

الاسم القيمة‬
GDN_MDC_CLI_CLIENT_ID <معرّف العميل>
GDN_MDC_CLI_CLIENT_SECRET <سر العميل>
GDN_MDC_CLI_TENANT_ID <معرف المستأجر>
GDN_PIPELINENAME bitbucket, jenkins, gcp, bamboo, circle, travis, teamcity, oci, aws

مراجعة النتائج في Cloud Security Explorer

  1. بعد تشغيل المسار بنجاح، انتقل مرة أخرى إلى Microsoft Defender for Cloud.

  2. في قائمة Defender for Cloud ، حدد Cloud Security Explorer.

  3. حدد القائمة المنسدلة Select resource types ، وحدد DevOps، ثم حدد Done.

    لقطة شاشة لمسار CI/CD في Cloud Security Explorer.

  4. حدد الأيقونة + لإضافة معايير بحث جديدة.

    لقطة شاشة للبحث الجديد في Cloud Security Explorer.

  5. اختر القائمة المنسدلة تحديد شرط. ثم حدد البيانات، ثم حدد دفعات.

    لقطة شاشة لتحديد الشرط Cloud Security Explorer.

  6. اختر القائمة المنسدلة تحديد أنواع الموارد. ثم حدد حاويات، ثم صور الحاوية ثم حدد تم.

    لقطة شاشة لتحديد صور الحاوية في Cloud Security Explorer.

  7. حدد النطاق المحدد أثناء إنشاء التكامل في إعدادات البيئة.

    لقطة شاشة لتحديد Cloud Security Explorer.

  8. حدد بحث.

    لقطة شاشة للبحث في Cloud Security Explorer.

  9. راجع نتائج البنية الأساسية لبرنامج ربط العمليات التجارية لتعيين الصور.

ربط بالحاويات المراقبة

  1. في Cloud Security Explorer، أدخل الاستعلام التالي: CI/CD Pipeline ->Pipeline + Container Images ->Contained in + Container registers (group).

  2. راجع أسماء الموارد لمشاهدة تعيين الحاوية.

المحتوى ذو الصلة