Wprowadzenie
Zespół DevOps firmy Contoso wdraża 15 kont pamięci masowej w pojedynczym wdrożeniu Bicep. Żaden z nich nie ma włączonych wymagań dotyczących transferu tylko przy użyciu protokołu HTTPS ani bezpiecznego transferu. Defender dla Chmury flaguje wszystkie 15 jako niezgodne w ciągu kilku minut od wdrożenia— ale do tego czasu są one już w środowisku produkcyjnym. Poprawka wymaga trzech godzin pracy korygującej w przypadku zmiany, która dotyczyła dwóch linii kodu w Bicep.
Problem nie polega na tym, że zespół był niedbały. Problem polega na tym, że nikt nie sprawdził szablonów przed wdrożeniem. Najtańszym momentem naprawienia błędnej konfiguracji zabezpieczeń jest przed zatwierdzeniem szablonu — a nie po wdrożeniu 15 zasobów w środowisku produkcyjnym. Defender dla Chmury widzi naruszenia po wdrożeniu, ale nie może wykryć ich w pipeline'u przed rozpoczęciem wdrażania.
Tutaj dowiesz się, jak używać narzędzia rozwiązania zabezpieczające firmy Microsoft DevOps (MSDO) do skanowania szablonów infrastruktury jako kodu (IaC) w potoku CI/CD przed wdrożeniem, wychwytywać błędy konfiguracji, gdy są jeszcze w kontroli źródła. Dowiesz się również, jak za pomocą Azure Policy wymuszać zgodność, pełniącą rolę zabezpieczenia na poziomie platformy — nawet w przypadku wdrożeń, które całkowicie pomijają pipeline. Razem te dwie warstwy tworzą kompletny model ochrony w głębi systemu na potrzeby zabezpieczeń IaC.
Cele nauczania
Po ukończeniu tego modułu możesz wykonywać następujące czynności:
- Skonfiguruj Microsoft Defender dla DevOps i rozszerzenie MSDO, aby skanować szablony Bicep i ARM w GitHub Actions i Azure Pipelines.
- Zinterpretuj wyniki skanowania IaC i zidentyfikuj błędy konfiguracji, zanim szablony dotrą do środowiska produkcyjnego.
- Skonfiguruj Azure Policy w przepływie pracy zasad jako kodu, aby wymusić zgodność z zabezpieczeniami w czasie wdrażania IaC.
- Wyjaśnienie sposobu, w jaki skanowanie potoków i Azure Policy współpracują ze sobą jako uzupełniające warstwy ochrony w celu zapewnienia bezpieczeństwa IaC.