Bulut için Microsoft Defender ile GitHub Gelişmiş Güvenlik tümleştirmesi nedir?

Microsoft Defender for Cloud ile Gelişmiş Güvenlik (GHAS) tümleştirmesi GitHub kaynak kodunuzu çalışan bulut iş yüklerinize bağlar ve tam tersi de geçerlidir; böylece güvenlik ekipleri üretim ortamına ulaşan güvenlik açıklarına öncelik verebilir ve mühendislik ekipleri bunları GitHub çıkmadan düzeltebilir.

Bu entegrasyonu şunun için kullanın:

  • Çalışma zamanı güvenlik açıklarını kaynak depoya ve kod sahibine geri gönderin.

  • Kod dağıtımına, üretime maruz kalma ve çalışma zamanı riskine göre düzeltmelerin önceliklerini belirleyin.

  • Paylaşılan bağlam ve durum ile GitHub kod depoları ve Bulut ortamları arasında düzeltmeyi koordine edin.

  • Yapay zeka destekli (Copilot) düzeltmelerle düzeltmeleri hızlandırın.

Bu genel bakış, tümleştirmenin nasıl çalıştığını açıklar ve dağıtımdan önce temel özelliklerini anlamanıza yardımcı olur.

Kullanılabilirlik ve önkoşullar

Katılmadan önce aşağıdakileri onaylayın:

Category Details
Çevre gereksinimleri - Defender for Cloud'da oluşturulan bir bağlayıcı ile GitHub hesabı
- GHAS lisansı
- Abonelikte Defender Bulut Güvenliği Duruş Yönetimi (DCSPM) etkinleştirildi
- Microsoft Security Copilot (otomatik düzeltme için isteğe bağlı)
Roller ve izinler - Güvenlik Yöneticisi izinleri
- Azure aboneliğinde Güvenlik Yöneticisi (Defender for Cloud bulguları görüntülemek için)
- GitHub kuruluş sahibi
Bulut ortamları - Yalnızca ticari bulutlarda kullanılabilir (Azure Kamu'da, 21Vianet tarafından sağlanan Azure'da veya diğer bağımsız bulutlarda kullanılamaz)

Kişilikler ve ağrı noktaları

Bulut Güvenliği, AppSec ve Geliştirici ekipleri için zorlukları ve çözümleri listeleyen sütunları içeren kişi ve sorun noktalarının ekran görüntüsü.

Ana akışlar

Güvenlik tümleştirme işlemlerini adım adım gösteren, ekleme, bulut güvenliği, AppSec ve geliştirici akışları diyagramı ve GitHub güvenlik tümleştirme süreçleri.

Ana özellikler

Otomatik koddan çalışma zamanı eşleme

GitHub kuruluşunuzu veya deponuzu GitHub bağlayıcı aracılığıyla Microsoft Defender for Cloud bağladığınızda, sistem kaynak depolarını otomatik olarak çalışan bulut iş yükleriyle eşler. Her iş yükünün orijinine ait deposuna (veya tersine) izlenmesini sağlamak için Defender for Cloud'un özel kodun çalışma zamanına dönüşümü yöntemlerini kullanır.

Bu özellik size anında uçtan uca görünürlük sağlar, böylece hangi kodun dağıtılan her uygulamayı çalıştırdığı ve hangi çalışan kapsayıcılı iş yüklerinin hangi kaynak kod deposuna eşlendiğini el ile eşleme yapmadan bilirsiniz.

Düzeltme içgörüleri sekmesinde geliştirme aşamalarının ekran görüntüsü.

Üretime duyarlı uyarı önceliklendirmesi

Gürültülü güvenlik uyarılarını kesin ve gerçekten önemli olan güvenlik açıklarına odaklanın.

GitHub'daki GHAS güvenlik bulguları, Bulut için Defender'ın gerçek çalışma zamanı bağlamı tarafından önceliklendirilir. bunlar İnternet'e Maruz Kalma, Hassas Veriler, Kritik Kaynaklar ve YanAl Hareket gibi Çalışma Zamanı Risk Faktörlerini vurgular. Bu risk faktörleri Defender CSPM saldırı yolu analizinden gelir:

  • İnternet'e Maruz Kalma - genel İnternet'ten erişilebilen iş yükü
  • Hassas Veriler - iş yükü düzenlenen veya gizli verileri işler
  • Kritik Kaynaklar - iş yükü etiketli veya iş açısından kritik olarak sınıflandırılmış
  • Yanal Hareket - sistem, bir saldırganın geçiş yapabileceği bir yolda bulunmaktadır

Çalışma zamanı iş yüklerinde tanımlanan bu riskler, bu iş yüklerinin kaynak kod depolarına ve GitHub'deki belirli derleme yapıtlarına dinamik olarak bağlanır.

Hem Defender for Cloud hem de GitHub'da gerçek üretim etkisi olan güvenlik sorunlarını filtreleyebilir, önceliklendirebilir ve bu sorunlar üzerinde işlem yapabilirsiniz. Bu özellik, ekibinizin verimli kalmasına ve en önemli uygulamalarınızı güvende tutmanıza yardımcı olur.

Uygulamada

contoso/payments-api deposundan oluşturulan bir kapsayıcı görüntüsü AKS'ye dağıtılır. Defender for Cloud, iş yükünde İnternet'e maruz kalmanın yanı sıra hassas veri işlemeyi algılar. Görüntünün içindeki CVE, GitHub güvenlik sekmesinde otomatik olarak Kritik seviyeye yükseltilir ve depo CODEOWNERS’a tam çalışma zamanı ve SDLC bağlamı eklenmiş şekilde tek tıklamayla bir GitHub sorunu atanır.

Birleşik yapay zeka temelli düzeltme

Tümleşik iş akışları ve ilgili bağlam ile güvenlik ve mühendislik ekipleri arasındaki boşluğu kapatma.

Bulut için Defender'da, güvenlik yöneticileri mühendislik ekibinin zaten hangi güvenlik sorunlarını bildiğini ve bu sorunların durumunu görebilir. Güvenlik yöneticileri GitHub görünüm bağlantısını seçerek bu görünümü açar.

Güvenlik yöneticileri, GitHub sorun ataması oluşturarak ilgili mühendislik ekiplerine çözüm için güvenlik önerileri atayabilir.

Atama, kaynağın deposunda oluşturulur. Mühendislik düzeltmesini kolaylaştırmak için çalışma zamanı bilgileri ve bağlamı sağlar.

Mühendislik yöneticileri daha fazla çözüm için bir sorunu geliştiriciye atayabilir. Atanan, yapay zeka destekli otomatik düzeltmeler için Copilot kodlama aracısını kullanabilir.

AppSec ekipleri, GHAS bulgularının bir parçası olarak Çalışma Zamanı Risk faktörlerini kullanabilir ve mühendislik çalışmalarını gerçekten dağıtılan ve çalışan kodla ilişkili bulgular üzerinde odaklar.

Bu filtreler, GHAS uyarılarını doğrudan filtrelemek için veya kampanyalar aracılığıyla zamanlanmış öncelik belirlemeye devam etmek için kullanılabilir.

Filtre çubuğu, arama kutusu ve yapıt meta verilerine göre filtreleme hakkında açılan pencere içeren kod tarama kampanyası oluşturma sayfasının ekran görüntüsü.

GitHub sorun düzeltmeleri, ilerleme durumu ve kampanya ilerlemeleri gerçek zamanlı olarak izlenir. Durumlar hem GitHub'a hem de Bulut için Defender'a yansıtılır.

 Defender for Cloud'da çalışma zamanı riski bulgusuna yönelik GitHub bileti oluşturulduğunu gösteren ekran görüntüsü ve bilet ayrıntıları açılır penceresi.

Bu yaklaşım, düzeltmelerin hızlı bir şekilde teslim edilmesini sağlar, net bir sorumluluk oluşturur ve işbirliğini kolaylaştırır. Tüm bu avantajlar, ekiplerinizin zaten kullandığı araçların içinde gerçekleşir.