บทนำ

เสร็จสมบูรณ์เมื่อ

ทีม DevOps ของ Contoso ปรับใช้บัญชีพื้นที่จัดเก็บข้อมูล 15 บัญชีในการปรับใช้ Bicep ครั้งเดียว ไม่มีใครเปิดใช้งานข้อกําหนดการถ่ายโอน HTTPS เท่านั้นหรือการถ่ายโอนที่ปลอดภัย Defender for Cloud ตั้งค่าสถานะทั้ง 15 รายการว่าไม่เป็นไปตามข้อกําหนดภายในไม่กี่นาทีหลังจากการปรับใช้ แต่เมื่อถึงเวลานั้น พวกเขาก็อยู่ในการผลิตแล้ว การแก้ไขใช้เวลาสามชั่วโมงในการแก้ไขสําหรับการเปลี่ยนแปลง Bicep สองบรรทัด

ปัญหาไม่ใช่ว่าทีมประมาท ปัญหาคือไม่มีใครตรวจสอบเทมเพลตก่อนปรับใช้ เวลาที่ถูกที่สุดในการแก้ไขการกําหนดค่าความปลอดภัยที่ไม่ถูกต้องคือก่อนที่เท็มเพลตจะถูกคอมมิต ไม่ใช่หลังจากที่ทรัพยากร 15 รายการอยู่ในการผลิต Defender for Cloud จะเห็นการละเมิดหลังการปรับใช้ แต่ไม่สามารถตรวจจับการละเมิดเหล่านั้นในไปป์ไลน์ได้ก่อนที่การปรับใช้จะเริ่มขึ้น

ที่นี่ คุณจะได้เรียนรู้วิธีใช้ Microsoft Security DevOps (MSDO) เพื่อสแกนโครงสร้างพื้นฐานเป็นเทมเพลตโค้ด (IaC) ในไปป์ไลน์ CI/CD ก่อนการปรับใช้ โดยตรวจจับการกําหนดค่าที่ไม่ถูกต้องในขณะที่ยังอยู่ในการควบคุมแหล่งที่มา คุณยังได้เรียนรู้วิธีใช้ Azure Policy เพื่อบังคับใช้การปฏิบัติตามข้อกําหนดเป็นแบ็คสต็อประดับแพลตฟอร์ม แม้กระทั่งสําหรับการปรับใช้ที่ข้ามไปป์ไลน์ทั้งหมด ทั้งสองชั้นนี้ร่วมกันสร้างแบบจําลองการป้องกันเชิงลึกที่สมบูรณ์สําหรับการรักษาความปลอดภัย IaC

วัตถุประสงค์การเรียนรู้

เมื่อจบมอดูลนี้ คุณจะสามารถ:

  • กําหนดค่า Microsoft Defender for DevOps และส่วนขยาย MSDO เพื่อสแกนเทมเพลต Bicep และ ARM ใน GitHub Actions และ Azure Pipelines
  • ตีความผลการสแกน IaC และระบุการกําหนดค่าที่ไม่ถูกต้องก่อนที่เทมเพลตจะไปถึงการผลิต
  • กําหนดค่า Azure Policy ในเวิร์กโฟลว์นโยบายเป็นโค้ดเพื่อบังคับใช้การปฏิบัติตามข้อกําหนดด้านความปลอดภัยในเวลาการปรับใช้ IaC
  • อธิบายว่าการสแกนไปป์ไลน์และ Azure Policy ทํางานร่วมกันเป็นเลเยอร์การป้องกันเชิงลึกเสริมสําหรับการรักษาความปลอดภัย IaC อย่างไร