通过将源代码存储库、CI/CD 管道、容器注册表和运行时工作负载连接到 Microsoft Defender for Cloud 中的 DevOps 安全性,保护从代码到云的开发生命周期。 这样,你的安全和工程团队就有一个统一的视图,可以尽早捕获风险,专注于生产中实际可利用的风险,并且在不妨碍开发人员的情况下解决问题。
从代码到云,进行连接、扫描和追踪。
- 将存储库和管道连接到 Defender for Cloud 中,将 GitHub、Azure DevOps 和 GitLab 环境加入到 Defender for Cloud 中,以便在一个位置跨代码存储库、管道、基础结构即代码(IaC)模板和容器映像获得统一的可见性。
- 在代码和基础结构交付之前扫描代码和基础结构 - 启用无代理代码和 IaC 扫描,以捕获拉取请求阶段的错误配置和漏洞。 为了进行更严格的控制,请将 Defender for Cloud CLI 直接添加到 CI/CD 管道,以在每个生成过程中强制扫描。
- 从代码到运行工作负载的漏洞跟踪——通过代码到云的上下文分析,将发现映射回构建工件、注册表和运行时环境中。 这样,便可以优先处理在生产环境中实际可触及的漏洞,而不是处理每一个发现的漏洞。
- 锁定容器供应链 — 在生成时扫描容器映像、强制实施基于策略的检查来阻止易受攻击的映像进行部署,并将生成时发现与运行时行为相关联,以捕获部署后出现的威胁。 有关详细信息,请参阅 Defender for Containers 中的“启用封闭部署”。
管理、路由并保护运行时环境
- 审核 DevOps 姿态:检查 CI/CD 管道、存储库配置和服务连接,查找不安全的设置、过多的权限和薄弱的访问控制。 使用 DevOps 状况管理建议系统地强化开发基础结构。
- 将修补程序分配给正确的开发人员 - 启用拉取请求批注,这样开发人员就可以在他们的工作流程中直接看到安全发现。 使用所有权映射和工作流自动化将修正分配给拥有代码的团队,并与他们已使用的工具集成。
- 将 GitHub 高级安全发现引入 Defender,如果你使用 GitHub 高级安全性,请将其连接到 Defender for Cloud,以显示代码扫描、机密检测和依赖项发现,与云状况和运行时风险一起呈现,为安全操作中心(SOC)提供从提交到生产的完全可见性。
- 降低开发者设备的供应链风险 - 使用 GitHub Codespaces 或 Microsoft Dev Box 提供经过预先强化的隔离云开发环境,并提供限定的代码库访问、加密的机密管理以及完整的审计日志记录。 在开发人员帐户上强制实施终结点保护和条件访问策略。 有关详细信息,请参阅:
- 检测运行 Kubernetes 工作负荷中的威胁 — 通过启用 Microsoft Defender for Containers 运行时保护来超越扫描时漏洞检测。 部署到 Kubernetes 节点(例如 Azure Kubernetes 服务 (AKS)、Amazon Elastic Kubernetes 服务 (EKS)、Google Kubernetes 引擎 (GKE) 和已启用 Arc 的群集)的轻型传感器监视恶意活动,包括加密挖掘、横向移动和偏移二进制文件,以及映射到 MITRE ATT&CK 框架的实时警报。 有关详细信息,请参阅 Defender for Cloud 中的容器保护。
机密和管道强化
- 在组织级别启用敏感信息扫描和推送保护,并为新存储库自动启用这些功能。
- 对于 GitHub:启用 GitHub 机密保护。 有关详细信息,请参阅 关于机密扫描。
- 对于 Azure DevOps: 在 GitHub 高级安全性中为 Azure DevOps 启用机密保护。 有关详细信息,请参阅 配置 Azure DevOps 的 GitHub 高级安全性。
- 使用集中管理的模板、最低特权标识和基于 OpenID Connect(OIDC)的身份验证强化生成管道。
- 使用集中管理的管道模板在所有管道中注入所需的扫描程序、软件材料清单(SBOM)生成、签名和符合性入口。 有关详细信息,请参阅 在管道中使用 YAML 模板实现可重用和安全的进程。
- 在生成发布项目之前,需要两个审阅者在中心模板中进行拉取请求批准和代码签名。
- 将长期凭据替换为工作负载联合身份验证 (OIDC),以便进行管道到云身份验证。 有关详细信息,请参阅 工作负荷标识联合概念。
- 对限定为最低特权的 Defender for Cloud DevOps 连接器使用专用服务标识。 有关详细信息,请参阅 将 Azure DevOps 环境连接到 Defender for Cloud。
- 强化自托管生成代理。 仅将出站网络访问限制为所需的高级安全性和 Defender 终结点,并确保存在 CodeQL 捆绑包。 有关详细信息,请参阅 配置 Azure DevOps 的 GitHub 高级安全性。
AI 支持的代码评审和风险关联
- AI 提供支持的代码评审 - 可以将 GitHub Copilot 分配为 PR 审阅者,以使用 AI 和 CodeQL 捕获安全问题。 GitHub Copilot 已完成超过 6000 万次评论。 有关详细信息,请参阅 使用 GitHub Copilot 代码评审。
- 使用 Defender for Cloud 将代码发现与云暴露相关联,以便你可以首先修复实际可访问的内容。
- 将源代码管理组织连接到 Defender for Cloud 并启用 Defender 云安全状况管理(CSPM)。 有关详细信息,请参阅:
- 在 Microsoft安全暴露管理中跟踪组织范围的漏洞暴露,该管理将 Defender 产品的信号聚合为生成端到端暴露分数并设置修正优先级。 请参阅 什么是Microsoft安全暴露管理?
使用 AI 支持的代理加速
- Microsoft Defender 中的 威胁搜寻代理 使分析人员能够使用自然语言查询调查代码、管道和运行时工作负载中的可疑活动,将其转换为 Kusto 查询语言(KQL)并呈现上下文见解,而无需手动查询组合。 有关详细信息,请参阅高级搜寻中的 Microsoft Security Copilot 威胁搜寻代理。