Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Quando Defender para Nuvem encontra uma vulnerabilidade em uma imagem de contêiner, pode ser difícil rastrear essa imagem de volta para a execução original do pipeline de CI/CD. Esse desafio é comum se a imagem está em um registro de contêiner ou em execução em um cluster do Kubernetes. Sem o contexto do pipeline, é mais difícil encontrar o desenvolvedor certo e iniciar a correção rapidamente. Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) inclui recursos de segurança de DevOps que mapeiam cargas de trabalho de contêiner de código para nuvem, para que as equipes possam iniciar a correção mais rapidamente.
Código para tempo de execução – requisitos técnicos
Os pré-requisitos a seguir são necessários para estabelecer o código para relações de tempo de execução.
Pré-requisitos gerais (todos os métodos)
Os seguintes pré-requisitos se aplicam independentemente do método de mapeamento usado:
-
GPSN do Defender (Gerenciamento de Postura de Segurança de Nuvem) ou Defender para Contêineres deve estar habilitado em seu ambiente de nuvem.
- Um conjunto limitado de recursos de mapeamento é incluído no Defender para Contêineres.
- As imagens de contêiner devem ser criadas por meio de um pipeline de CI/CD.
- Não há suporte para imagens criadas manualmente e enviadas por push, embora algumas imagens criadas manualmente ainda possam aparecer nos resultados do mapeamento.
- As imagens de contêiner devem ser detectáveis pelo Defender para Nuvem, por meio de:
- Sendo armazenado em um registro de contêiner com suporte ou
- Em execução em um ambiente Kubernetes com suporte
Opção 1: conectar seu ambiente de código ao Defender para Nuvem
Quando você conecta seu ambiente de código ao Defender para Nuvem, um conjunto de ferramentas automatizadas é disparado automaticamente. Essas ferramentas não afetam seus fluxos de trabalho de DevOps existentes e habilitam o mapeamento de código para runtime.
Observação
- Atualmente com suporte para o Azure DevOps e o GitHub
- Imagens de contêiner criadas e implantadas antes da conexão podem ter suporte limitado
Para obter as etapas de instalação, consulte:
Opção 2: mapeamento baseado em rótulos do Docker
O mapeamento baseado em rótulos do Docker depende de metadados inseridos diretamente na imagem do contêiner no momento da compilação. O Defender para Nuvem extrai esses metadados do manifesto de imagem do OCI/Docker e o usa para correlacionar a imagem ao repositório de origem.
Para obter mais informações, consulte:
- Especificação de anotações de imagem do Docker OCI
- Adicionar rótulos OCI/Docker no Azure DevOps
- Adicionar rótulos no GitHub
-
Forneça manualmente rótulos usando a instrução Dockerfile
LABEL
Observação
- Esse método não requer um conector DevOps.
- O mapeamento é executado para ambientes do Kubernetes cobertos por GPSN do Defender ou Defender para contêineres.
Opção 3: mapeamento baseado em atestados do GitHub
O mapeamento baseado em atestado usa metadados de procedência criptograficamente verificáveis gerados durante fluxos de trabalho do GitHub Actions. Esses atestados conectam as imagens de contêiner exatamente ao repositório de origem, ao commit e à identidade de build.
Para obter mais informações, consulte:
Verifique o mapeamento entre seu código e o tempo de execução (portal do Azure)
Depois de criar uma imagem de contêiner em um pipeline de CI/CD do Azure DevOps e enviá-la para um registro, use Cloud Security Explorer para exibir o mapeamento:
Conecte-se ao portal do Azure em portal.azure.com.
Vá para Microsoft Defender para Nuvem>Cloud Security Explorer. O mapeamento de imagens de contêiner pode levar até quatro horas para ser exibido.
Para ver o mapeamento básico, selecione Imagens de Contêiner>+>Enviadas por repositórios de código.
(Opcional) Selecione + ao lado de Imagens de Contêiner para adicionar filtros à sua consulta, como Tem vulnerabilidades, para mostrar apenas imagens de contêiner com vulnerabilidades e exposições comuns identificadas (CVEs).
Depois de executar a consulta, você verá o mapeamento entre o registro de contêiner e o pipeline. Selecione ... ao lado da linha de conexão (borda) para ver mais detalhes.
Próximas etapas
- Para obter mais informações, consulte DevOps security in Defender para Nuvem.
- Para obter mais informações, consulte Codificar em runtime para fins de recomendações.