บทนำ
ทีม DevOps ของ Contoso ปรับใช้บัญชีพื้นที่จัดเก็บข้อมูล 15 บัญชีในการปรับใช้ Bicep ครั้งเดียว ไม่มีใครเปิดใช้งานข้อกําหนดการถ่ายโอน HTTPS เท่านั้นหรือการถ่ายโอนที่ปลอดภัย Defender for Cloud ตั้งค่าสถานะทั้ง 15 รายการว่าไม่เป็นไปตามข้อกําหนดภายในไม่กี่นาทีหลังจากการปรับใช้ แต่เมื่อถึงเวลานั้น พวกเขาก็อยู่ในการผลิตแล้ว การแก้ไขใช้เวลาสามชั่วโมงในการแก้ไขสําหรับการเปลี่ยนแปลง Bicep สองบรรทัด
ปัญหาไม่ใช่ว่าทีมประมาท ปัญหาคือไม่มีใครตรวจสอบเทมเพลตก่อนปรับใช้ เวลาที่ถูกที่สุดในการแก้ไขการกําหนดค่าความปลอดภัยที่ไม่ถูกต้องคือก่อนที่เท็มเพลตจะถูกคอมมิต ไม่ใช่หลังจากที่ทรัพยากร 15 รายการอยู่ในการผลิต Defender for Cloud จะเห็นการละเมิดหลังการปรับใช้ แต่ไม่สามารถตรวจจับการละเมิดเหล่านั้นในไปป์ไลน์ได้ก่อนที่การปรับใช้จะเริ่มขึ้น
ที่นี่ คุณจะได้เรียนรู้วิธีใช้ Microsoft Security DevOps (MSDO) เพื่อสแกนโครงสร้างพื้นฐานเป็นเทมเพลตโค้ด (IaC) ในไปป์ไลน์ CI/CD ก่อนการปรับใช้ โดยตรวจจับการกําหนดค่าที่ไม่ถูกต้องในขณะที่ยังอยู่ในการควบคุมแหล่งที่มา คุณยังได้เรียนรู้วิธีใช้ Azure Policy เพื่อบังคับใช้การปฏิบัติตามข้อกําหนดเป็นแบ็คสต็อประดับแพลตฟอร์ม แม้กระทั่งสําหรับการปรับใช้ที่ข้ามไปป์ไลน์ทั้งหมด ทั้งสองชั้นนี้ร่วมกันสร้างแบบจําลองการป้องกันเชิงลึกที่สมบูรณ์สําหรับการรักษาความปลอดภัย IaC
วัตถุประสงค์การเรียนรู้
เมื่อจบมอดูลนี้ คุณจะสามารถ:
- กําหนดค่า Microsoft Defender for DevOps และส่วนขยาย MSDO เพื่อสแกนเทมเพลต Bicep และ ARM ใน GitHub Actions และ Azure Pipelines
- ตีความผลการสแกน IaC และระบุการกําหนดค่าที่ไม่ถูกต้องก่อนที่เทมเพลตจะไปถึงการผลิต
- กําหนดค่า Azure Policy ในเวิร์กโฟลว์นโยบายเป็นโค้ดเพื่อบังคับใช้การปฏิบัติตามข้อกําหนดด้านความปลอดภัยในเวลาการปรับใช้ IaC
- อธิบายว่าการสแกนไปป์ไลน์และ Azure Policy ทํางานร่วมกันเป็นเลเยอร์การป้องกันเชิงลึกเสริมสําหรับการรักษาความปลอดภัย IaC อย่างไร