Megosztás a következőn keresztül:

Felhőhöz készült Defender parancssori felület integrálása CI/CD-folyamatokkal

  • Cikk

Felhőhöz készült Defender parancssori felület (CLI) egy olyan alkalmazás, amelyet a folyamatos integrációs és folyamatos üzembehelyezési (CI/CD) folyamatokban használhat. Statikus elemzési eszközöket futtat, és kódot csatlakoztat a felhőszolgáltatásokhoz. A Felhőhöz készült Defender parancssori felület használatával bármilyen összeállítási folyamat során megvizsgálhatja a beépített biztonsági szkennerek biztonsági réseit. Elküldi a vizsgálati eredményeket a Felhőhöz készült Defender portálra. A Cloud Security Explorer ezután hozzáférhet a tároló lemezképéhez és biztonsági réseihez.

Előfeltételek

  • Azure-előfizetés Felhőhöz készült Defender előkészítéssel. Ha még nem rendelkezik Azure-fiókkal, hozzon létre egyet ingyenesen.

  • Az alábbi CI/CD-folyamateszközök egyike: Jenkins, BitBucket Pipelines, Google Cloud Build, Bambusz, CircleCI, Travis CI, TeamCity, Oracle DevOps services, AWS CodeBuild

  • A Defender CSPM engedélyezve van.

  • Biztonsági rendszergazdai engedély az ügyfélazonosító és a titkos kód létrehozásához.

Beállítás

A következő szakaszokban bemutatjuk, hogyan kérhető le az ügyfélazonosító és a titkos kódok, hogyan frissíthető a CI/CD-folyamat szkriptje, és hogyan adhat hozzá környezeti változókat a CI/CD-folyamathoz.

Az API-jogkivonat lekérése

Ahhoz, hogy a Felhőhöz készült Defender parancssori felület biztonsági adatait át lehessen adni a Felhőhöz készült Defender háttérrendszernek, a Felhőhöz készült Defender biztonsági rendszergazdájának először létre kell hoznia egy API-kulcsot Felhőhöz készült Defender hitelesítés.

A jogkivonatok létrehozásakor a biztonsági rendszergazda kiválasztja a jogkivonathoz társítandó előfizetési hatókört. A jogkivonatból Felhőhöz készült Defender "leküldés" alatt álló adatok hatóköre arra az előfizetésre terjed ki, amelyhez a jogkivonat társítva van. Ezek az API-jogkivonatok nem módosíthatók, és csak generálhatók/törölhetők.

Innen a biztonsági rendszergazdának biztonságosan át kell adnia a jogkivonatot a fejlesztőknek, hogy hozzáadják a CI/CD-folyamathoz.

  1. Jelentkezzen be az Azure Portalra.

  2. Nyissa meg a Felhőhöz készült Microsoft Defender> Management>környezeti beállítások>integrációját.

    Képernyőkép az integrációs környezet beállításairól Felhőhöz készült Defender.

  3. Válassza az Integráció hozzáadása lehetőséget, majd válassza a DevOps-betöltési lehetőséget.

    Képernyőkép az új DevOps-betöltési lehetőségről.

  4. Adjon meg egy leíró nevet a jogkivonatnak, a kijelölt bérlő tárolja a jogkivonat adatait. Az ügyfél titkos kódja akkor jön létre, amikor megadja a titkos kód leírását és a lejárati dátumot.

    Képernyőkép a DevOps-betöltési integráció hozzáadásáról.

  5. Engedélyezze a tokent a konfigurációban , és hozza létre a jogkivonatokat.

    Képernyőkép a DevOps-betöltés létrehozásáról és a jogkivonatok létrehozásáról.

  6. Másolja ki az egyes jogkivonatokat. Az OK gomb kiválasztása után nem szerkeszthetők és nem kérhetők le.

    Képernyőkép a sikeres DevOps-betöltési műveletről.

  7. Az Integrációk táblában megjelenik az új betöltés.

    Képernyőkép a DevOps Integrations tábláról új betöltéssel.

A CI/CD-folyamat szkriptjének frissítése

Minden CI-/CD-folyamat eszköz más szintaxist használ. Ez a kód egy Bitbucket-folyamat példája:

image: atlassian/default-image:3
 
pipelines:
  default:
    - parallel:
      - step:
          name: 'MSDO trivy test'
          script:
            - curl -L -o ./msdo_linux.zip https://www.nuget.org/api/v2/package/Microsoft.Security.DevOps.Cli.linux-x64/
            - unzip ./msdo_linux.zip
            - chmod +x tools/guardian
            - chmod +x tools/Microsoft.Guardian.Cli
            - ls -lah .
            - tools/guardian init --force
            - tools/guardian run -t trivy --export-file ./ubuntu-test.sarif --publish-file-folder-path ./ubuntu-test.sarif

Folyamatváltozók

A jogkivonatok biztonságos fogadása után a fejlesztőnek konfigurálnia kell egy környezeti változót a kulcshoz. A környezeti változót a rendszer a rendszerhéjszkripten keresztül továbbítja a parancssori felületnek, amelyet a fejlesztő megkaphat a curlből, vagy manuálisan másolhatja a rendszerhéjszkriptet az adattárba.

Név szerint Érték
GDN_MDC_CLI_CLIENT_ID <Ügyfélazonosító>
GDN_MDC_CLI_CLIENT_SECRET <Titkos ügyfélkód>
GDN_MDC_CLI_TENANT_ID <Bérlőazonosító>
GDN_PIPELINENAME bitbucket, jenkins, gcp, bambusz, kör, travis, teamcity, oci, aws

Eredmények áttekintése a Cloud Security Explorerben

  1. A folyamat sikeres futtatása után lépjen újra a Felhőhöz készült Microsoft Defender.

  2. A Felhőhöz készült Defender menüben válassza a Cloud Security Explorer lehetőséget.

  3. Válassza az Erőforrástípusok kiválasztása legördülő menüt, válassza a DevOps lehetőséget, majd a Kész lehetőséget.

    Képernyőkép a CI/CD-folyamatról a Cloud Security Explorerben.

  4. Új keresési feltétel hozzáadásához válassza az + ikont.

    Képernyőkép a Cloud Security Explorer új kereséséről.

  5. Válassza a Feltétel kiválasztása legördülő menüt. Ezután válassza az Adatok, majd a Leküldések lehetőséget.

    Képernyőkép a Cloud Security Explorer feltétel kiválasztásáról.

  6. Válassza az Erőforrástípusok kiválasztása legördülő menüt. Ezután válassza a Tárolók, majd a Tárolólemezképek lehetőséget, majd a Kész lehetőséget.

    Képernyőkép a tárolólemezképek kiválasztásáról a Cloud Security Explorerben.

  7. Válassza ki a környezeti beállításokba való integráció létrehozása során kiválasztott hatókört.

    Képernyőkép a Hatókör Cloud Security Explorer kiválasztásáról.

  8. Válassza a Keresés lehetőséget.

    Képernyőkép a Cloud Security Explorerben való keresésről.

  9. Tekintse meg a folyamat és a képek leképezésének eredményeit.

Korreláció figyelt tárolókkal

  1. A Cloud Security Explorerben adja meg a következő lekérdezést: CI/CD Pipeline ->Pipeline + Container Images ->Contained in + Container registers (group).

  2. Tekintse át az erőforrásneveket a tárolóleképezés megtekintéséhez.

Kapcsolódó tartalom