Pendahuluan
Tim DevOps Contoso mengimplementasikan 15 akun penyimpanan dalam satu implementasi dengan Bicep. Tidak satu pun dari mereka mengaktifkan persyaratan transfer khusus HTTPS atau transfer aman. Defender untuk Cloud menandai semua 15 sebagai tidak patuh dalam beberapa menit penyebaran—tetapi pada saat itu, mereka sudah dalam produksi. Perbaikan ini membutuhkan waktu tiga jam kerja remediasi untuk mengatasi perubahan dua baris dalam bahasa Bicep.
Masalahnya bukan karena tim ceroboh. Masalahnya adalah tidak ada yang memeriksa templat sebelum menyebarkan. Waktu terbaik untuk memperbaiki kesalahan konfigurasi keamanan adalah sebelum templat ditemplasikan—bukan setelah 15 sumber daya sudah aktif digunakan dalam lingkungan produksi. Defender untuk Cloud melihat pelanggaran pasca-penyebaran, tetapi tidak dapat mendeteksinya di alur sebelum penyebaran dimulai.
Di sini, Anda mempelajari cara menggunakan Microsoft Security DevOps (MSDO) untuk memindai templat infrastruktur sebagai kode (IaC) di alur CI/CD sebelum penyebaran, menangkap kesalahan konfigurasi saat masih dalam kontrol sumber. Anda juga mempelajari cara menggunakan Azure Policy untuk memberlakukan kepatuhan sebagai backstop tingkat platform—bahkan untuk penyebaran yang melewati alur sepenuhnya. Bersama-sama, kedua lapisan ini membentuk model pertahanan mendalam lengkap untuk keamanan IaC.
Tujuan pembelajaran
Pada akhir modul ini, Anda dapat:
- Konfigurasikan Microsoft Defender untuk DevOps dan ekstensi MSDO untuk memindai templat Bicep dan ARM di GitHub Actions dan Azure Pipelines.
- Menginterpretasikan hasil pemindaian IaC dan mengidentifikasi kesalahan konfigurasi sebelum templat mencapai produksi.
- Konfigurasikan Azure Policy dalam alur kerja policy-as-code untuk memberlakukan kepatuhan keamanan pada waktu penyebaran IaC.
- Jelaskan bagaimana pemindaian alur dan Azure Policy bekerja sama sebagai lapisan pertahanan mendalam pelengkap untuk keamanan IaC.