Memetakan gambar kontainer dari kode ke cloud
Ketika kerentanan diidentifikasi dalam gambar kontainer yang disimpan dalam registri kontainer atau berjalan di kluster Kubernetes, mungkin sulit bagi praktisi keamanan untuk melacak kembali ke alur CI/CD yang pertama kali membangun gambar kontainer dan mengidentifikasi pemilik remediasi pengembang. Dengan kemampuan keamanan DevOps di Manajemen Postur Keamanan Cloud Microsoft Defender (CSPM), Anda dapat memetakan aplikasi cloud-native Anda dari kode ke cloud untuk dengan mudah memulai alur kerja remediasi pengembang dan mengurangi waktu untuk remediasi kerentanan dalam gambar kontainer Anda.
Prasyarat
Akun Azure dengan Defender untuk Cloud onboarding. Jika Anda belum memiliki akun Azure, buat akun secara gratis.
Untuk Azure DevOps:
Ekstensi Microsoft Security DevOps (MSDO) harus diinstal pada organisasi Azure DevOps.
Pastikan bahwa Ekstensi Pertahanan Microsoft untuk DevOps dibagikan dan diinstal di semua organisasi Azure DevOps yang terhubung. Untuk konektor yang baru di-onboarding, ini akan dilakukan secara otomatis. Ekstensi ini secara otomatis menyuntikkan tugas ke semua Azure Pipelines untuk mengumpulkan data untuk pemetaan kontainer.
Harus menggunakan Alur YAML karena Alur Klasik tidak lagi didukung.
Untuk GitHub:
Defender CSPM diaktifkan.
Gambar kontainer harus dibuat menggunakan Docker dan klien Docker harus dapat mengakses server Docker selama build.
Memetakan gambar kontainer Anda dari alur Azure DevOps ke registri kontainer
Setelah membangun gambar kontainer dalam alur CI/CD Azure DevOps dan mendorongnya ke registri, lihat pemetaan dengan menggunakan Cloud Security Explorer:
Masuk ke portal Azure.
Buka Microsoft Defender untuk Cloud> Cloud Security Explorer. Diperlukan waktu maksimal 4 jam agar pemetaan gambar kontainer muncul di Cloud Security Explorer.
Untuk melihat pemetaan dasar, pilih Gambar+>>Kontainer yang Didorong oleh repositori kode.
(Opsional) Pilih + menurut Gambar Kontainer untuk menambahkan filter lain ke kueri Anda, seperti Memiliki kerentanan untuk memfilter hanya gambar kontainer dengan CVE.
Setelah menjalankan kueri, Anda akan melihat pemetaan antara registri kontainer dan alur Azure DevOps. Pilih ... di samping tepi untuk melihat detail selengkapnya tentang tempat alur Azure DevOps dijalankan.
Berikut ini adalah contoh kueri tingkat lanjut yang menggunakan pemetaan gambar kontainer. Dimulai dengan beban kerja Kubernetes yang terekspos ke internet, Anda dapat melacak semua gambar kontainer dengan CVE tingkat keparahan tinggi kembali ke alur Azure DevOps tempat gambar kontainer dibangun, memberdayakan praktisi keamanan untuk memulai alur kerja remediasi pengembang.
Catatan
Jika organisasi Azure DevOps Anda membuat konektor Azure DevOps sebelum 15 November 2023, buka Pengaturan organisasi>Ekstensi > Bersama dan instal dekorator pemetaan gambar kontainer. Jika Anda tidak melihat ekstensi yang dibagikan dengan organisasi Anda, isi formulir berikut.
Memetakan gambar kontainer Anda dari alur kerja GitHub ke registri kontainer
Pastikan Anda melakukan onboarding konektor GitHub ke Defender untuk Cloud.
Jalankan alur kerja MSDO berikut ini:
name: Build and Map Container Image
on: [push, workflow_dispatch]
jobs:
build:
runs-on: ubuntu-latest
# Set Permissions
permissions:
contents: read
id-token: write
steps:
- uses: actions/checkout@v3
- uses: actions/setup-python@v4
with:
python-version: '3.8'
# Set Authentication to Container Registry of Choice.
# The example below is for Azure Container Registry. Amazon Elastic Container Registry and Google Artifact Registry are also supported.
- name: Azure Container Registry Login
uses: Azure/docker-login@v1
with:
login-server: <containerRegistryLoginServer>
username: ${{ secrets.ACR_USERNAME }}
password: ${{ secrets.ACR_PASSWORD }}
# Build and Push Image
- name: Build and Push the Docker image
uses: docker/build-push-action@v2
with:
push: true
tags: ${{ secrets.IMAGE_TAG }}
file: Dockerfile
# Run Mapping Tool in MSDO
- name: Run Microsoft Security DevOps Analysis
uses: microsoft/security-devops-action@latest
id: msdo
Setelah membuat gambar kontainer dalam alur kerja GitHub dan mendorongnya ke registri, lihat pemetaan dengan menggunakan Cloud Security Explorer:
Masuk ke portal Azure.
Buka Microsoft Defender untuk Cloud> Cloud Security Explorer. Diperlukan waktu maksimal 4 jam agar pemetaan gambar kontainer muncul di Cloud Security Explorer.
Untuk melihat pemetaan dasar, pilih Gambar+>>Kontainer yang Didorong oleh repositori kode.
(Opsional) Pilih + menurut Gambar Kontainer untuk menambahkan filter lain ke kueri Anda, seperti Memiliki kerentanan untuk memfilter hanya gambar kontainer dengan CVE.
Setelah menjalankan kueri, Anda akan melihat pemetaan antara registri kontainer dan alur kerja GitHub. Pilih ... di samping tepi untuk melihat detail selengkapnya tentang tempat alur kerja GitHub dijalankan.
Berikut ini adalah contoh kueri tingkat lanjut yang menggunakan pemetaan gambar kontainer. Dimulai dengan beban kerja Kubernetes yang terekspos ke internet, Anda dapat melacak semua gambar kontainer dengan CVE tingkat keparahan tinggi kembali ke repositori GitHub tempat gambar kontainer dibangun, memberdayakan praktisi keamanan untuk memulai alur kerja remediasi pengembang.
Langkah berikutnya
- Pelajari selengkapnya tentang keamanan DevOps di Defender untuk Cloud.