Shrnutí

Dokončeno

Pamatujete si, jak tým Contoso DevOps nasazuje účty pro úložiště bez zapnutého režimu pouze HTTPS? Chybějící konfigurace teď nikdy nedosáhne produkčního prostředí. Vývojář otevře pull request s šablonou Bicep, akce zabezpečení od Microsoftu DevOps spustí Analyzátor šablon a Checkov a nález zabezpečení se zobrazí jako vložená poznámka v rámci kontroly pull requestu. Vývojář opraví konfiguraci před sloučením a i když se pokusí nasadit šablonu nedodržující předpisy ručně, efekt Azure Policy Odepřít ho zablokuje ve vrstvě Azure Resource Manager.

Nakonfigurovali jste zabezpečení od Microsoftu DevOps tak, aby kontroloval infrastrukturu jako kód ve vašem kanálu CI/CD, čímž se zjištění zpřístupňují přímo v žádostech o přijetí změn a doporučení se podávají do Defender for Cloud. U úložišť bez integrace pipeline jste povolili kontrolu bez agenta pro denní kontroly zabezpečení bez jakýchkoli změn pracovního postupu. Použili jste účinky zamítnutí Azure Policy pro vytvoření vrstvy prosazení na úrovni platformy, která brání nevyhovujícímu nasazení bez ohledu na to, jak se aktivují. Nakonec jste prozkoumali Podnikovou politiku jako kód (EPAC) pro správu definic a přiřazení zásad v měřítku skupiny pro správu prostřednictvím řízení verzí a průběžného nasazování.

Dokončili jste implementaci zásad správného řízení zabezpečení a dodržování právních předpisů. Tým Společnosti Contoso začal s prostředky nasazenými bez konfigurací zabezpečení. Společnost Contoso měla trezory záloh, které nemají ochranu před odstraněním, 37 identit s nadměrným přístupem a bez automatizované kontroly zabezpečení infrastruktury jako kódu. V rámci této vzdělávací cesty jste vytvořili vynucování zásad a zámky prostředků, standardizované základy souladu, optimalizované řízení přístupu na základě rolí, chráněnou infrastrukturní zálohování a předem zabránili nasazení nezabezpečených konfigurací.

Další informace